JUVE: Können Sie uns schildern, wie Sie die ersten Tage und Stunden erlebt haben?
Fuchs: Es war ein Samstag nach unserer Partnerversammlung, auf der wir gerade eine neue Geschäftsführung gewählt hatten. Ich wollte morgens auf dem Handy noch ein paar Dinge per Mail klären und hatte keine Verbindung zum Server. Das ist ja erst mal nicht so ungewöhnlich, und auch unser IT-Leiter Martin Twesmann machte sich keine größeren Sorgen. Als er dann allerdings die Ursache gefunden hatte, war er nicht mehr so entspannt. Schockstarre ist da wohl der richtige Ausdruck.
Hacker hatten die Server lahmgelegt, es ging nichts mehr.
Allerdings. Martin fand im Rechenzentrum auf dem Server eine Datei namens „instructions_readme.txt“ und wusste sofort: Das ist der Worst Case! In der Datei hieß es, wir sollten uns ins Darknet einloggen und mit den Erpressern chatten, und das haben wir dann auch gemacht.
Wie hoch war denn die Lösegeldforderung und haben Sie bezahlt?
Das darf ich leider nicht sagen, weil die Ermittlungen noch laufen.
Und im nächsten Schritt haben Sie die Polizei angerufen?
Ja, auch. Aber zunächst haben wir uns bei unserer Cybersecurity-Versicherung gemeldet, die wir zum Glück vor einem halben Jahr abgeschlossen hatten. Die Versicherung hat uns sehr schnell einen Dienstleister vermittelt, einen sogenannten Incidence Response Agent. Das war wirklich eines der segensreichsten Features dieser Police, weil wir vom ersten Moment an Profis an unserer Seite hatten, die mit dieser Hackergruppe auch schon Erfahrung hatten. Im nächsten Schritt haben wir die Sicherheitsbehörden eingebunden. Das war allerdings auch gar nicht so leicht, wie man meinen könnte, denn die Notfallhotline von BKA und LKA für solche Fälle ist am Wochenende nicht erreichbar (schmunzelt). Wir haben unsere Anzeige dann u.a. auf einer Polizeiwache in Essen gestellt.
Wie haben Sie denn extern und intern kommuniziert?
Am Anfang nur über Telefon, vor allem zunächst intern. Ich glaube, wir haben übers Wochenende rund um die Uhr Calls in verschiedener Zusammensetzung geführt. Da alle unsere Server und damit auch alle unsere Standorte betroffen waren, haben wir erst einmal alternative Kommunikationskanäle aufgebaut. Gott sei Dank hat Microsoft Teams noch funktioniert, das war unsere Rettung. Es musste ja jeder informiert und auf dem Laufenden gehalten werden, Anwältinnen und Anwälte, Assistenzen, Marketing. Überall und immer wieder sind wir auf größere und kleinere Probleme gestoßen. Wir wollten zum Beispiel eine Telefonliste rumschicken. Das ging nicht, weil wir ja keine Mails hatten. Ausdrucken funktionierte auch nicht, weil die Drucker normalerweise übers Netzwerk laufen. Wir haben dann mit USB-Sticks gearbeitet und sogar unser altes Faxgerät reaktiviert. Es hat eine Woche gedauert, bis wir etwas Struktur hineingebracht hatten und das war einfach eine schreckliche Zeit. Es ist emotional sehr belastend, und es fühlt sich an, wie nach einem Wohnungseinbruch.
Und die Mandanten?
Die absolute Mehrheit war sehr verständnisvoll und unaufgeregt. Nur bei den Konzernen ist das etwas anders. Dort gibt es Compliance-Richtlinien und damit genaue Protokolle, die sie einhalten müssen, wenn ein Dienstleister von einem Hackerangriff betroffen ist. Und diese Maßnahmen sind etwas umfangreicher.
Können Sie den entstandenen Schaden schon materiell beziffern?
Ich würde sagen, es handelt sich um einen einstelligen Millionenbetrag. Arbeitsausfall der Anwälte, zusätzliche IT-Dienstleister, außerdem haben wir natürlich die IT mit zusätzlichen Sicherheitsmaßnahmen maximal aufgerüstet.
Klingt wahnsinnig teuer!
Ja, wir haben massiv in IT investiert. Man kann sich aber nicht nur auf die Hardware und die Software verlassen, man muss auch in entsprechend ausgebildetes Personal investieren. Und die Cybersecurity-Versicherungen werden auch nicht billiger. Insgesamt werden die Maßnahmen, die man ergreifen muss, immer umfangreicher. Unser IT-Chef sagt: ‚Bequem gleich gefährlich‘ und ‚Kein Back-up, kein Mitleid‘.
Was während des Hackerangriffs hinter den Kulissen in der Kanzlei ablief und was Heiko Fuchs anderen Kanzleien rät, lesen Sie im JUVE Rechtsmarkt 05/2023, der am 2. Mai erscheint.
