beck-aktuell: Ausgerechnet am Tag des Cyberangriffs waren Sie zum Geschäftsführenden Partner für den Bereich Organisation gewählt worden. In einem Interview danach erzählten Sie, Ihnen sei Ihr Brötchen im Hals stecken geblieben, als Sie am Folgetag vom Angriff erfuhren. Danach stellten Ihre Kinder Ihnen zwei Tage lang das Essen vor die Tür, weil Sie Ihr Arbeitszimmer 48 Stunden lang nicht verlassen haben. Und das war damals erst der Anfang, der Betrieb lag lahm. Wie geht es der Kanzlei, wie geht es Ihnen ein Jahr danach?
Dr. Thomas Jelitte: Wenn man Bilanz zieht und die aktuelle Situation sieht, dann muss man sagen, dass die Kanzlei den Angriff und die Folgen hervorragend gemeistert hat. Es geht natürlich immer alles noch besser, aber ich weiß von vielen Unternehmen, denen es deutlich schlechter erging. Das habe ich auf meinen zahlreichen Auftritten bei anderen Kanzleien, Unternehmen und Veranstaltungen erfahren, bei denen ich dafür werbe, die Gefahr ernst zu nehmen und in die IT-Sicherheit zu investieren.
Ich denke, der Angriff hat uns alle bei Kapellmann noch zusammengeschweißt. Unserer Kanzlei geht es aktuell sehr gut. Mit der Cyberrisk-Versicherung stehen wir kurz vor einem endgültigen Abschluss, IT-mäßig sind wir (so meinen wir jedenfalls) bestens aufgestellt und haben gerade in unserer Gesellschafterversammlung noch eine weitere Verstärkung des Systems beschlossen. Wir freuen uns vor allem auf ein normales Jahr 2024.
"Die Cyberrisk-Versicherung war für uns Gold wert"
beck-aktuell: Können Sie den Schaden beziffern, der der Kanzlei durch den Schaden entstanden ist? Und wie viel davon wird am Ende hängen bleiben?
Jelitte: Das ist nicht trivial, aber machbar, vor allem, wenn man auf Stundenbasis abrechnet, wie wir es überwiegend bei Kapellmann tun. Die Wiederherstellungskosten, die Kosten für die Dienstleister, um den Berichtspflichten gegenüber Sicherheitsbehörden und Mandanten zu genügen sowie die datenschutzrechtlichen Verpflichtungen zu erfüllen, sind insgesamt recht einfach zu ermitteln. Der hauptsächliche Schaden liegt aber natürlich in der Betriebsunterbrechung.
Diesem sogenannten Betriebsunterbrechungsschaden halten Versicherer gern entgegen, die in den Wochen nach dem Angriff nicht gearbeiteten Stunden seien sicherlich später nachgearbeitet worden. Wir konnten aber damals durch einen Vergleich mit den jeweiligen Vorjahresmonaten gut abbilden, dass das in den Folgemonaten nach dem Angriff gerade nicht der Fall war.
Derzeit sieht es so aus, als würden wir unseren Ansatz fast eins zu eins beim Versicherer durchbekommen. Ich bin allerdings sicher, dass das auch daran lag, dass wir von Beginn an sehr gut mit dem Versicherer und seinem Team zusammengearbeitet haben, bei dem wir eine Cyberrisk-Versicherung abgeschlossen hatten.
beck-aktuell: Der Versicherer hat die Kanzlei nach der Attacke aktiv mit einem Team unterstützt?
Jelitte: Als allererstes nach der Schadensmeldung stellte man uns sogenannte Incident Response Agents zur Verfügung, die uns "an die Hand genommen" und auch strategisch beraten haben. Das war eine große Hilfe für uns, die wir einer für uns völlig neuen Situation gegenüberstanden: Diese Agents hatten natürlich schon eine große Menge solcher Angriffe erlebt, sie kennen sich mit der Materie extrem gut aus, hatten einen Plan und sie haben sich an dessen Umsetzung beteiligt. Und das ganz operativ, zum Beispiel haben sie unter anderem mit den Erpressern verhandelt. Diese Unterstützung war aus unserer Sicht Gold wert, schon deshalb hat sich der Abschluss der Versicherung für uns gelohnt - einfach, weil da jemand ist, der weiß, was zu machen ist.
"Wir konnten zusehen, wie unsere Server abgeschaltet wurden"
beck-aktuell: Wenn es heute wieder zu einem Angriff käme, was wäre anders?
Jelitte: Ich hoffe doch stark, so einiges (lacht). Er wäre sicher schwieriger auszuführen, würde schneller entdeckt werden und hätte deswegen auch weniger weitreichende Folgen, weil wir IT-infrastrukturell stark aufgerüstet haben und daher besser vorbereitet sind.
Dank unserem IT-Leiter – den ich bis dahin nur vom Namen und vom Sehen kannte, aber in den folgenden Wochen sehr intensiv kennenlernte. Und wir verstehen uns immer noch gut - hatten wir schon damals einen Notfallplan, der nicht auf einem Laufwerk, sondern analog in der Schublade lag. Die Telefonnummern der Ansprechpartner in Rechenzentren und bei den Dienstleistern waren da, ebenso die wichtigsten ersten Schritte, die wir unternehmen mussten.
Aber den Rest mussten wir uns erarbeiten. Es war Samstag. Man konnte seinen Rechner hochfahren, alles sah aus wie immer, man konnte auf eingegangene Mails zugreifen. Aber es kamen keine neuen Mails mehr rein, man konnte keine Mails versenden und wir hatten keinen Zugriff mehr auf Laufwerke oder Drucker. Und sukzessive, während die Krisenbewältigung schon anlief, Sicherheits- und Datenschutzbehörden bereits informiert waren, wurden unsere zunächst dreifach verschlüsselten Server kalt abgeschaltet und waren dann irgendwann hinüber. Wir konnten dabei praktisch zusehen. Ihre Forderung stellten die Anrufer übrigens nicht per Mail oder Telefon: Unser IT-Leiter hat sich damals per Ausschlussverfahren durch die Server gefuchst – und fand am Ende eine Datei, die ins Darknet einlud.
beck-aktuell: Und heute wären Sie besser gewappnet?
Jelitte: Am ersten Wochenende habe ich mein Homeoffice buchstäblich nicht verlassen. Wir standen in ständigem Kontakt mit den Angreifern, mit der Cyberrisk-Versicherung und mit allen möglichen Abteilungen der Polizei – und natürlich mit den anderen Geschäftsführenden Partnern und Standorten, in teils ganz unterschiedlichen Konstellationen.
beck-aktuell: Wie haben Sie denn miteinander kommuniziert, wenn alles lahm lag?
Jelitte: Wir haben zuerst telefoniert, dann über WhatsApp kommuniziert. Dann gingen wir auf Videokonferenzen mit WebEx über, haben aber am Ende alles zentral über Teams gemacht – die Software ist als cloudbasierte Lösung ja nutzbar und man kann dort verschiedene Gruppen anlegen, was für die Kommunikation extrem hilfreich war, und auch Daten austauschen.
Es hat seine Zeit gedauert, bis wir die Kommunikationskanäle in einer Art Pyramidensystem von den Geschäftsführenden Partnern, dann später aus der dafür gegründeten Krisen-Taskforce bis zu den einzelnen Standorten aufgesetzt hatten. Heute wissen wir, dass neben diesen Kommunikationskanälen regelmäßige Besprechungen auch mit den Mitarbeiterinnen und Mitarbeitern sinnvoll sind. Einerseits herrscht auch in der Belegschaft Unsicherheit, andererseits muss man sicherstellen, dass nicht ohne Absprache nach außen kommuniziert wird.
"Offen zu kommunizieren, war absolut richtig"
beck-aktuell: Das überrascht ein wenig, schließlich ist Kapellmann doch proaktiv mit dem Cyberangriff an die Öffentlichkeit gegangen – eher ungewöhnlich für eine Kanzlei.
Jelitte:In dieser Frage wurden wir auch beraten, vor allem auch von den Incident Response Agents. Sie rieten uns, den Angriff offen zu kommunizieren. Wir haben uns dazu intern natürlich beraten, waren aber sehr schnell einverstanden. Nicht nur, weil man so etwas heutzutage ohnehin nicht wirklich verheimlichen kann, sondern auch, weil wir damit auch die Kommunikation steuern und das Erpressungspotenzial reduzieren konnten: Die Erpresser drohen ja in der Regel auch damit, den Angriff zu veröffentlichen und setzen darauf, dass es den Opfern peinlich ist.
Trotzdem gab es aber natürlich eine "offizielle Sprachregelung", die an alle Mitarbeiterinnen und Mitarbeiter kommuniziert wurde und an der sich alle orientieren sollten … und das auch getan haben. Das war wirklich ein tolles Gefühl, dass alle in der Kanzlei an einem Strang gezogen haben.
beck-aktuell: War das aus heutiger Sicht die richtige Entscheidung?
Jelitte: Absolut richtig, wir würden es jederzeit genauso wieder machen. Wir haben für diese Vorgehensweise sowohl damals in der aktuellen Situation als auch im Nachgang viel positives Feedback und auch viel Unterstützung bekommen: von den Datenschutzbehörden, von den Versicherern, denen gegenüber uns diese Offenheit nach meiner Überzeugung auch in späteren Verhandlungen genutzt hat, und auch Gerichte und Mandanten erwiesen sich fast durchweg als sehr verständnisvoll. Auch die Mandanten, denen gegenüber wir dazu nicht vertraglich verpflichtet waren, schätzten unsere Offenheit und unsere proaktive Kommunikation sehr.
beck-aktuell: Heute halten Sie Vorträge darüber, wie man sich gerade als mittelständisches Unternehmen oder auch als Kanzlei schützen kann und was die wichtigsten Lektionen sind, die Sie gelernt haben.
Jelitte: Ich werbe dabei vor allem für ein Bewusstsein für die Gefahr und dafür, dass Investitionen in Cybersicherheit und in die Vorbereitung auf eine solche Attacke schlicht erforderlich sind. So eine Gefahr wabert ja eher theoretisch herum - bis sie einen dann ereilt. Das gilt nach meinen Erfahrungen auch, aber vielleicht etwas weniger für große Unternehmen, die mittlerweile viel in ihre IT-Sicherheitsstrukturen investieren und für den Fall eines Angriffs gut aufgestellte Teams und einen detaillierten Notfallplan in der Schublade haben.
Vor allem kleine und viele mittelgroße Unternehmen, aber auch Kanzleien schieben das Thema Cybersecurity hingegen immer noch vor sich her, weil sie aus irgendeinem Grund glauben, sie werde es schon nicht treffen. Das ist ein fataler Trugschluss, denn Hacker machen da keinen Unterschied. Sie nehmen unter Umständen gerade KMU stärker ins Visier, vermutlich weil sie wissen, dass viele davon nicht gut vorbereitet sind. Kanzleien sind, schon weil sie viele sensible Daten haben, deren Veröffentlichung sie fürchten wie der Teufel das Weihwasser, ohnehin beliebte Opfer. Und egal, wen es trifft: Im besten Fall legt ein solcher Angriff wochen- bis monatelang den gesamten Betrieb lahm. Im schlimmsten Fall kann er existenzvernichtend sein.
beck-aktuell: Was sind die drei wichtigsten Lektionen, die Sie Kolleginnen und Kollegen mitgeben möchten?
Jelitte: Beschäftigen Sie sich mit der Gefahr, entwickeln Sie ein Bewusstsein! Nehmen Sie IT-Sicherheit ernst und sorgen Sie dafür, dass Ihre Mitarbeiterinnen und Mitarbeiter das auch tun. Investieren Sie, egal, ob in Dienstleister oder in eigene Mitarbeiter, aber investieren Sie in funktionierende, miteinander kompatible Systeme, gerade auch standortübergreifend.
Sorgen Sie für einen Notfallplan, der ausgedruckt in einer Schublade liegt. Er muss mindestens die Notfallnummern, die Telefonnummern der Dienstleister und der Serverzentren enthalten, mit denen man arbeitet. Die Personen, die das Krisenteam bilden sollen und die Nummern derjenigen, die man informieren muss, im besten Fall noch die wichtigsten to dos für den Krisenfall.
Und schließlich: Denken Sie über eine Cyberrisk-Versicherung zumindest nach – weniger, weil man nachher Umsatzausfälle erstattet bekommt, sondern eher, weil Sie für den Notfall kompetente Ansprechpartner bekommen, die Sie ganz aktiv unterstützen.
Dr. Thomas Jelitte ist Geschäftsführender Partner und Standortleiter Düsseldorf bei Kapellmann und Partner Rechtsanwälte mbB.
Das Interview führte Pia Lorenz.