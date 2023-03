Frau Zapreva, wie geht es Enercity jetzt, rund fünf Monate nach dem Cyberangriff?

Mittlerweile geht es uns sehr, sehr gut. Wir haben unsere IT und Systeme wieder auf einem Stand wie vor dem Cyberangriff. Aber das ist erst seit ein, zwei Monaten so.

Sie hatten am 26. Oktober die Öffentlichkeit über den Angriff informiert, aber bis heute keine Details bekanntgegeben. Was können Sie uns über die Tat sagen?

Am 26. Oktober haben wir festgestellt, dass unsere Business-IT angegriffen worden ist und begonnen hat, sich zu verschlüsseln, System für System. Im Nachhinein haben wir durch forensische Untersuchungen erfahren, dass die Hacker seit dem 18. Oktober in unseren Systemen waren und die Verschlüsselung vorbereitet hatten. Danach ging de facto gar nichts mehr, keine Mails, kein Telefon, nur Handys. Das ist schon ein Zustand, der einen sehr stark trifft.

Was verstehen Sie unter Business-IT?

Wir unterscheiden zwei Gruppen: Das eine ist die Technik für die Energieversorgung, mit der die Kraftwerke und die Netze für Strom, Gas, Wasser und Fernwärme gesteuert werden. Das ist die Infrastruktur-IT. Unter der Business-IT verstehen wir alle Prozesse im Unternehmen, die nicht unmittelbar mit der Versorgung zu tun haben, etwa die Abrechnungen und der Kundenservice.

Die Infrastruktur war also nicht betroffen?

Nein, zu keinem Zeitpunkt, da sind wir hundertprozentig sicher. Das hatten wir auch nach dem Angriff als Erstes überprüft, weil die Versorgung immer oberste Priorität hat. Bei der kritischen Infrastruktur gibt es sowieso ganz andere rechtliche und technische Sicherheitsstandards. Aber es war trotzdem schwierig. Als der Angriff kam, standen wir kurz vor dem Jahresabschluss. Wir hatten keinen Zugriff mehr auf unsere Finanzen und die Energiewirtschaft an den Börsen, also den An- und Verkauf von Energie. Wir waren blind. Ich muss ehrlich sagen, ich war schon etwas mitgenommen im ersten Moment.

Zum Glück nicht betroffen: Die Kraftwerke des Energieversorgers sowie insgesamt die Versorgung mit Strom, Gas, Wasser und Fernwärme liefen nach dem Cyberangriff weiter wie zuvor. © Quelle: Christian Behrens

Gab es eine Lösegeldforderung der Hacker?

Ja, als die Systeme begannen, sich zu verschlüsseln, war das Einzige, was Mitarbeitende noch auf ihren Bildschirmen gesehen haben, ein Erpresserschreiben mit einer Lösegeldforderung. Das war wie in einem bösen Film. Ein Betrag wurde nicht genannt, wir wurden aufgefordert, Kontakt zu den Kriminellen aufzunehmen. Der Aufforderung sind wir nicht nachgekommen.

Was haben Sie stattdessen gemacht?

Wir haben sofort mit den Behörden Kontakt aufgenommen. Auf deren Anraten haben wir uns professionelle Unternehmen ins Haus geholt, gleich am ersten Tag. Das BSI (Anm. d. Red.: Bundesamt für Sicherheit in der Informationstechnik) hat dafür eine Liste mit Beratungsunternehmen, die sie empfehlen. Dann haben wir eine Taskforce eingesetzt und begonnen, den Schaden zu minimieren. Zum Beispiel haben wir alle unsere Banken informiert, damit niemand mit einer geklauten Identität von unseren Konten Gelder überweist.

Wissen Sie, wie die Hacker ins System gekommen sind?

So wie in 85 Prozent aller Fälle: durch eine Phishing-Mail. In der Zeit sind viele solcher E-Mails im Namen ehemaliger Mitarbeiter eingegangen. Da muss sich jemand die Mühe gemacht haben, Adressen zu recherchieren von Menschen, die mal bei uns waren und es nicht mehr sind.

Wie haben Sie die Systeme wieder zum Laufen gebracht?

Die Backups waren aktuell, und das war unser Glück. Wir haben auf der grünen Wiese begonnen, alles wieder neu aufzubauen, die Systeme neu zu installieren und aus den Backup-Daten alles zu restaurieren. Das hat einige Tage gedauert, in denen wir nicht wussten, ob wir doch Kontakt zu den Kriminellen aufnehmen müssen, obwohl ich von Anfang an wusste, dass ich keinen Kontakt aufnehmen möchte. Das hängt halt immer davon ab, ob man seine Systeme wieder hochgefahren bekommt oder nicht.

Seit 2016 im Amt: Susanna Zapreva. © Quelle: Rainer Dröse

Das alles passierte ja genau in der Zeit, in der wir zum Energiesparen aufgerufen wurden und unklar war, ob wir genug Gas für den Winter haben…

Genau. Aber wir hatten extrem viel Glück mit dem Wetter, die Temperatur war jeden Tag gleich. Ich habe gebetet, dass sich das nicht verändert, denn ohne Zugriff auf Daten und Prognosen konnten wir nicht entscheiden, wie viel Energie wir zukaufen müssen. Wir konnten nur die Menge vom Vortag fortschreiben. Da hätten große Beträge danebengehen können. Außerdem mussten wir die Gaspreisbremse umsetzen und den Dezemberabschlag freischalten. Es hat etwa drei Tage gedauert, bis wir an der Börse wieder einsatzfähig waren.

Wie haben Sie in der Zeit kommuniziert?

Wir haben neue Kommunikationskanäle geschaffen, um unsere Mitarbeiterinnen und Mitarbeiter zu informieren und die wichtigsten Stakeholder, und viel via SMS.

Zur Person Susanna Zapreva, geboren 1973 in Wien, ist seit 2016 Vorstandsvorsitzende der Enercity AG. Die Betriebswirtin und promovierte Elektrotechnikerin ist seit mehr als 25 Jahren in der Energiewirtschaft tätig und leitete vor ihrer Zeit in Hannover unter anderem die Wien Energie, den größten Energieversorger Österreichs.

Und wie war die Stimmung in der Belegschaft? Viele konnten doch bestimmt wochenlang nicht arbeiten.

Da hat es unterschiedliche Konzepte gegeben, abhängig davon, wie die Teams betroffen waren. Unsere IT-Abteilung zum Beispiel hat im 24-Stunden-Dienst gearbeitet. Da hat es kein Wochenende gegeben und keine Nacht, die einen kamen, die anderen gingen. Die Situation war insgesamt schon für viele eine große Herausforderung. Aber wir haben sie in einem gemeinsamen Kraftakt hervorragend gemeistert. Enercity kann Krise, ist ein resilienter Konzern. Trotzdem gab es am Anfang die Frage, wer schuld ist an dem Ganzen. Wir haben sehr schnell die Schuld den Kriminellen zugeschrieben und die Diskussionen nach vorne gelenkt: Wir krempeln die Ärmel hoch und schauen, dass wir in die Gänge kommen. Aber Menschen, die sehr engagiert ihren Job machen, machen sich natürlich Gedanken, und damit muss man sorgsam umgehen.

Hat es im Nachgang nochmal einen Kontaktversuch von den Erpressern gegeben?

Ich glaube, wir hatten Glück im Unglück. Kürzlich gab es einen großen Schlag von internationalen Ermittlern gegen mehrere Hackerbanden, deren Server stillgelegt wurden. Unsere Berater vermuten, dass die Hacker, die uns attackiert haben, auch darunter waren. Da haben wir die richtige Strategie gewählt, indem wir keinen Kontakt zu den Erpressern aufgenommen haben. Eine Studie zeigt ja, dass 42 Prozent der von Cyberkriminellen erpressten Unternehmen in Deutschland das Lösegeld zahlen. Das sollte anders werden.

Wie im bösen Film: „Kriege werden heutzutage eben auch im World Wide Web geführt“, sagt Enercity-Chefin Susanna Zapreva. © Quelle: Jochen Tack

Inwiefern?

Deutschland sollte verbieten, dass Unternehmen Lösegeld an Cyberkriminelle zahlen. Dann gäbe es für jene keine Geschäftsgrundlage. Außerdem brauchen wir eine perfekt ausgestattete Cyberpolizei oder gar Cyberarmee. Kriege werden heutzutage eben auch im World Wide Web geführt. Damit der Wirtschaftsstandort Deutschland stark bleibt, braucht es eine Diskussion darüber, wie man der Cyberkriminalität proaktiv begegnen kann und sich sicherheitstechnisch und -politisch aufstellt. Eine Cyberpolizei müsste nicht nur rund um die Uhr im Darknet präsent sein, sondern auch verstärkt präventiv wirken. Der dritte Punkt ist, wir brauchen mehr digitale Bildung für alle Altersschichten. Es darf keiner die Schule verlassen, ohne digital umfassend ausgebildet zu sein. Damit steht und fällt alles im Kampf gegen Cyberkriminalität, für Privatpersonen und Unternehmen. Wahrscheinlich ist es nie genug, aber es wäre eine wichtige Maßnahme, um den Standort Deutschland zu sichern.

Was macht Enercity anders als vor dem Angriff?

Unsere Standards für die Business-IT sind nun praktisch so hoch wie bei der kritischen Infrastruktur. Außerdem gibt es einen externen Dienstleister, der rund um die Uhr unsere IT-Systeme überwacht und schaut, ob irgendetwas Abnormales passiert. Der Faktor Mensch wird immer bleiben, aber wir versuchen, mit vielen Schulungen und anderen Dingen vorzubeugen.

Wie hoch ist der Schaden, der Enercity durch den Angriff entstanden ist?

Wir haben einen Schaden von 20 Millionen Euro. Das ist der Verlust an Geschäft, der sich im Jahresergebnis niederschlägt. Hinzu kommen Folgekosten, allein die neuen IT-Sicherheitsmaßnahmen kosten uns eine Million Euro pro Jahr. Die Überstunden der Beschäftigten sind auch nicht eingerechnet. Und in den Wochen nach dem Angriff mussten wir Personal aufstocken, um all die liegengebliebenen Kundenanfragen zügig abarbeiten zu können. Auch wenn nur in einem sehr geringen Ausmaß, sind auch die entwendeten Daten, insbesondere die Kundendaten, ein Thema. Bei uns sind zum Beispiel nur 1,5 Prozent der Continental-Datenmenge abgeflossen. Wir gehen davon aus, dass diese Daten nun nach fünf Monaten nicht veröffentlicht werden, dennoch ist Vorsicht geboten. Wir lassen weiterhin das Darknet nach Enercity-Daten durchleuchten, nur für alle Fälle.

Gibt es aktuell noch Rückstände?

Es waren zigtausende Kundenanfragen, die liegengeblieben sind, aber im Großen und Ganzen ist das erledigt. Wir sind etwa auf Normalniveau.

Wie viel Zeit haben Sie bei Projekten wie dem Fernwärmeausbau verloren?

Im Schnitt drei bis vier Monate.

Es war zeitweise schwierig, von Ihnen Informationen zu bekommen, was nun funktioniert im Kundenservice und was nicht. In unserer Redaktion haben sich Leserinnen und Leser gemeldet und sich beschwert, weil einzelne Dienste nicht liefen. Wie schauen Sie im Nachhinein auf Ihre Kommunikationsstrategie?

Wir haben die Kundinnen und Kunden gleich informiert, zum Beispiel auf unserer Internetseite. Aber es war oftmals eine Gratwanderung. Denn als der Angriff kam, waren wir mitten in einer Migration. Heißt: Ein Teil der Beschäftigtenaccounts war in die Cloud migriert und konnte E-Mails empfangen und schreiben, ein anderer Teil noch nicht, ich selbst zum Beispiel. Genauso war es beim Kundenservice: Das eine ging, das andere nicht. Es gab aber keine scharfen Grenzen, nach dem Motto: Alle Stromkundinnen und -kunden können wir bearbeiten. Wie sollten wir das den Menschen erklären? Wir wollten auch keine Panik verbreiten, indem wir etwa sagen, dass wir Sorge haben, den Dezemberabschlag nur verzögert umsetzen zu können. Das hätte noch mehr Anrufe produziert, bei nicht funktionierender IT. Mitte November haben wir dann innerhalb von einer Woche alles zum Dezemberabschlag umgesetzt. Ein Kraftakt. Das hat dann pünktlich zum 1. Dezember funktioniert, aber wir hätten es vorher nicht versprechen können. Daher würde ich die Kommunikation wieder so oder so ähnlich gestalten. Wir waren ja trotz allem sehr transparent.

Das Interview erschien zuerst in der „Hannoverschen Allgemeinen Zeitung“.