Es müssen Szenen wie aus einem Thriller gewesen sein. Am 19. Mai spuckten sämtliche Drucker der Stotzheimer Papierserviettenfabrik Fasana Erpresserschreiben aus. Das Unternehmen, das erst jüngst von der Powerparc AG übernommen wurde, ist Opfer eines Cyberangriffs geworden.

„Es ging nichts mehr“, berichtete ein Fasana-Mitarbeiter im Gespräch mit dieser Zeitung. Sämtliche Rechensysteme sowie Laptops und PCs seien „platt“, an Produktion sei nicht mehr zu denken gewesen. Lediglich die Aufträge, die noch in den Maschinen gespeichert waren, hätten noch ausgeführt werden können.

Nach Cyberattacke: massive Umsatzeinbußen bei Fasana

Die Folge: massive Umsatzeinbußen. Das wiederum führte zur Zahlungsunfähigkeit des Unternehmens. Fasana stellte zum 1. Juni einen entsprechenden Insolvenzantrag.

Allein am 20. Mai habe man Aufträge im Wert von mehr als 250.000 Euro nicht ausführen können, beschreibt ein Mitarbeiter das Dilemma, in das die Firma geriet. Insgesamt wurden nach Informationen dieser Zeitung sogar zwei Wochen lang kaum nennenswerte Umsätze generiert, was einem fehlenden Umsatzvolumen von etwa zwei Millionen Euro entspreche, verlautete aus gut informierten Kreisen.

Insolvenzverwalter Dr. Dirk Wegener sagte auf Anfrage dieser Zeitung: „Man konnte noch nicht mal einen Lieferschein ausdrucken. Das Geschäft lag komplett brach – mit allen negativen Konsequenzen.“

Nach dem Hackerangriff liefen die Maschinen noch ein bis zwei Tage weiter. „Dann war das Werk praktisch tot“, sagte ein Mitarbeiter. Lediglich Wartungs- und Reinigungsarbeiten hätten noch vorgenommen werden können.

Als er Anfang Juni ins Boot geholt worden sei, „brannte das Feuer lichterloh“, erklärte Insolvenzverwalter Wegener: „Es drohte dem Unternehmen sogar, dass der Strom abgestellt wird.“ Das habe man mit vereinten Kräften verhindern können, so Wegener, der der Belegschaft ein großes Kompliment ausspricht. Jeder gebe alles dafür, dass der Betrieb auf Dauer aufrechterhalten werden könne.

Mai-Gehalt konnte nach Hackerangriff nicht pünktlich gezahlt werden

Die Cyberattacke hatte nicht nur Folgen für die Produktionsabläufe des Unternehmens mit seiner mehr als 100-jährigen Firmengeschichte, sondern auch für die rund 240 Mitarbeitenden. Wie die Redaktion aus deren Umfeld erfuhr, konnte das Mai-Gehalt nicht pünktlich gezahlt werden. Das wiederum hat Auswirkungen auf das begleitende Insolvenzverfahren. Statt der üblichen zwölf Wochen habe man grundsätzlich nur acht Wochen Zeit, einen potenziellen Käufer für das Unternehmen zu finden.

„Wir suchen jemanden, der den Betrieb übernimmt, also die organisatorische Einheit aus Produktionsmitteln, Arbeitnehmern und so weiter“, erklärte Insolvenzverwalter Wegener im Gespräch mit dieser Zeitung: „Das muss die Marschrichtung sein, aber wir brauchen aufgrund der Größenordnung einen Gläubigerausschuss. Der wird aktuell installiert. Dann suchen wir national und international nach einem Übernehmer – mit dem Ziel, den Betrieb dauerhaft zu erhalten. Und natürlich auch alle Arbeitnehmer.“

Dieser Prozess sei allerdings kein Selbstläufer, so Wegener. Als Gründe führt er ein schwieriges Marktumfeld und gestiegene Rohstoffpreise an. Zudem komme erschwerend hinzu, dass man kurz vor den Sommerferien stehe. Aber der Insolvenzverwalter macht auch Hoffnung: „Es gibt erste Interessenbekundungen.“ Davon, dass bei Fasana die Lichter ausgingen, sei man derzeit weit entfernt. Er könne zudem beantragen, dass der Findungsprozess um einen Monat verlängert wird, sollte ein positiver Ausgang in Aussicht stehen.

Zurück zum Hackerangriff: Die unbekannten Verfasser des Erpresserschreibens machten die Intention ihrer Attacke recht deutlich. Es handele sich nicht um einen politisch motivierten Angriff, man habe einzig und allein finanzielle Interessen. Kontakt könne man über das Darknet aufnehmen. Das Darknet ist ein Teil des Internets, der nicht über herkömmliche Suchmaschinen zugänglich ist und dessen Inhalte verschlüsselt und anonym sind.

190 Laptops und Rechner sofort aus dem Verkehr gezogen

Auf den Cyberangriff reagierte das Unternehmen in Stotzheim prompt. Wie zu erfahren war, wurden etwa 190 Laptops und PCs eingesammelt, gescannt und sämtliche Programme neu aufgespielt. Hinzugerufene IT-Spezialisten bauten sogenannte digitale Parallelwelten auf, um möglichst schnell wieder miteinander kommunizieren zu können und im Idealfall die Produktion zum Laufen zu bringen.

Aber auch drei Wochen nach der Attacke kann nach Informationen dieser Zeitung offenbar noch nicht die komplette Bandbreite der Programme genutzt werden. So könne im Customer-Service derzeit nur ein Rechner genutzt werden, hieß es. In der Abteilung sind aber etwa zehn Mitarbeitende beschäftigt. „Die IT läuft wieder halbwegs stabil. Wir sind zumindest arbeitsfähig“, berichtete Wegener. Auch auf das Pfingstgeschäft hatte der Hackerangriff Einfluss gehabt.

Das Unternehmen muss nämlich für die Produktion an Feiertagen Sondergenehmigungen bei der Bezirksregierung beantragen – eigentlich Routine. Das Problem nach dem Cyberangriff: Das Schreiben an die Bezirksregierung blieb im Internet hängen. Die Folge: keine Produktion am Pfingstmontag. Auch sonst wurde und wird teilweise noch analog miteinander kommuniziert, berichtete ein Mitarbeiter. „Wir haben Zettel an jede Tür gehängt, mit Edding beschrieben, um Dinge den Kollegen mitzuteilen“, sagt er.

Nach der Cyberattacke

Stadt Euskirchen kann wieder Kita-Beiträge einziehen

Merken

Euskirchens Bürgermeister Sacha Reichelt machte sich am Dienstagnachmittag ein Bild vor Ort. Wie zu erfahren war, ist auch die Polizei Bonn mit ihren Cyberexperten mit dem Fall beschäftigt, denn das Unternehmen hatte Anzeige gegen Unbekannt gestellt.

Kommunen im Kreis Euskirchen wurden bereits Ziel eines Hackerangriffs

Die Cyberattacke auf der Stotzheimer Unternehmen Fasana ist kein Einzelfall. Im Kreis Euskirchen sind auch die Kommunen Euskirchen und Schleiden sowie die Kreisverwaltung bereits Opfer eines Cyberangriffs geworden.

Im November 2023 erfolgte ein Hackerangriff auf das Rechenzentrum der Südwestfalen IT (SIT), an das auch Verwaltungen im Kreis Euskirchen angeschlossen sind. Kall und Hellenthal leisteten Schleiden Amtshilfe, wo es ging.

Auch in der Stadt Euskirchen hatte die Cyberattacke Folgen für die Einwohner. Bürgerbüro und Standesamt arbeiteten lange unter einschränkenden Bedingungen. Die Haushaltsberatungen des Stadtrates für 2024 mussten vertagt werden, da die Finanzabteilung auch betroffen war. Beim Kreis Euskirchen war als einzige Abteilung die Ausländerbehörde in ihrer Arbeit eingeschränkt.

Der Erpresser-Software-Angriff auf die Südwestfalen IT hatte nach Angaben des Unternehmens Mehrkosten von mindestens 2,8 Millionen Euro verursacht.

BBK stellt Kommunen einen Wegweiser zur Verfügung

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat einen Wegweiser zur Bewältigung und Prävention für „Kommunale IT-Krisen“ herausgebracht. Das BBK will nach eigenen Angaben „das Bewusstsein für IT-Krisen schärfen und den Schutz vor Cybergefahren stärken“. Cyberangriffe auf IT-Infrastrukturen finden nach Angaben des Bundesamts täglich statt. Oft werde für eine Cyberattacke so genannte Ransomware eingesetzt, um die Daten in einem IT-System zu verschlüsseln. Eine Entschlüsselung werde erst gegen Zahlung eines Lösegeldes (Englisch: Ransom) in Aussicht gestellt, so das BBK.

Der Wegweiser biete einen Einstieg in das Thema kommunale IT-Krisen. Ziel sei es, Daten und Infrastrukturen in Kommunalverwaltungen vor Gefahren zu schützen, um die negativen Folgen von Cyberangriffen so gering wie möglich zu halten.