Der IT-Riese und das lange Schweigen nach der Cyberattacke

Über Monate blieb eine Hackerattacke beim Dortmunder IT-Spezialisten Adesso unbemerkt. Kritik gab es an der Informationspolitik des Unternehmens. Die soll sich nun ändern. © FUNKE Foto Services | Jakob Studnar

Dortmund. Das Dortmunder IT-Unternehmen Adesso bemerkte einen Hackerangriff erst nach Monaten und informierte dann die Kunden spät. Was sich ändern soll.

Beinahe ein Jahr ist es her, dass sich für einen Moment ein Einfallstor in das System des IT-Dienstleisters Adesso SE bot. Das Dortmunder Unternehmen gehört zu den größten und erfolgreichsten Softwareentwicklern Deutschlands, ist insbesondere in den vergangenen Jahren rasant gewachsen, bei Umsatz und Belegschaft auf mittlerweile mehr als 900 Millionen Euro und rund 8500 Beschäftigten.

Zu Beginn dieses Jahres offenbarte sich, dass weder Spitzenexpertise noch zahlreiche IT-Profis im eigenen Haus davor schützen, Opfer eines Hacker-Angriffs zu werden – und es lange nicht zu merken. Bei Adesso verging nach eigenen Angaben mehr als ein halbes Jahr, ehe der Cyber-Angriff am 11. Januar dieses Jahres auffiel. Bis Geschäftspartner und Beschäftigte informiert wurden, vergingen noch einmal Wochen. „Rückblickend würden wir unsere Mitarbeitenden und Kunden schneller informieren“, räumt das Unternehmen gegenüber dieser Zeitung heute ein. „Auch wenn wir nur sagen könnten, dass es einen Sicherheitsvorfall gibt und wir die Auswirkungen untersuchen“, erklärt eine Sprecherin für Adesso.

Inzwischen wisse man genau, wie und wann Cyberkriminelle eindringen konnten. Ende Mai 2022 sei es durch ein Software-Update des australischen Anbieters Atlassian, mit dem Adesso zusammenarbeitet, zur Sicherheitslücke im System gekommen. Zwar wurde die wenige Tage später geschlossen, da waren die Hacker allerdings bereits in Teile des Adesso-Systems spaziert, ohne dass in Dortmund zu diesem Zeitpunkt jemand etwas davon ahnte. In der Folge hatten sich die Angreifer längst in die Tiefen der IT weiter vorgearbeitet, sogar bis ins interne Netzwerk von Adesso.

Wie es Profi-Hackern immer wieder gelingt, selbst bei gut geschützten Unternehmen Lücken im IT-Sicherheitssystem zu finden, damit beschäftigen sich deutsche Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das auch in diesem Fall mit eingeschaltet worden sei, so Adesso. In der jüngeren Vergangenheit sind immer wieder russische und chinesische Hackergruppen für solche Cyberattacken auf deutsche Unternehmen und Behörden verantwortlich gemacht worden.

Eine hundertprozentige Sicherheit gegen solche Angriffe scheint es nicht zu geben. Der bei Adesso war aber offenbar von besonderer Qualität: „Der Cyberangriff war nichts, was wir regelmäßig erleben. Der Angriff sticht aus dem Security-Grundrauschen hervor“, so die Adesso-Sprecherin.

Neue IT-Infrastruktur bei Materna

Das erfolgreiche Dortmunder IT-Unternehmen Materna erlebte in diesem Frühjahr ebenfalls einen veritablen Hackerangriff (wir berichteten). Wie bei Adesso holte man sich bei Materna Experten-Hilfe von außen und schaltete Spezialisten der Behörden ein.

Rein technisch sei der Angriff anderer Art gewesen als bei Adesso, sagt ein Materna-Sprecher. Die Außenwirkung ist indes erst einmal identisch: Selbst IT-Vollprofis können sich nicht gänzlich gegen diese Gefahren aus dem Netz schützen. So kurios es klingt: Materna bietet als Dienstleister Unternehmen sogar Hilfe für die Verbesserung der IT-Sicherheit an. Kernerkenntnis: Ein großes Sicherheitsproblem sitzt vor dem PC und öffnet Tür und Tor für Cyberkriminelle.

Bei Materna laufen nach Informationen dieser Zeitung noch letzte Untersuchungen zum Vorfall. „Aber wir kennen den genauen Zeitpunkt und den Angriffswinkel der Attacke“, erklärt der Materna-Sprecher. Inzwischen seien die Mitarbeiterinnen und Mitarbeiter im Unternehmen wieder vollständig arbeitsfähig. Es sei umgehend eine neue IT-Infrastruktur aufgesetzt (also installiert) worden. Kunden und Geschäftspartner seien von Materna über den aktuellen Sicherheitsvorfall vollständig informiert worden. Selbst die Öffentlichkeit wurde bereits drei Tage nach Bekanntwerden der Hacker-Attacke Ende März dieses Jahres informiert.

Vom Cyberangriff auf Adesso erfuhr die Öffentlichkeit dagegen erst einmal nichts, bis das Internetportal „Heise.de“ berichtete. Öffentliche Kritik gab es genau daran, dass Geschäftspartner erst im Februar über den Vorfall und damit auch über mögliche Gefahren informiert worden seien. Zu den Adesso-Kunden gehören systemrelevante Unternehmen wie die größten Energieversorger aus NRW, Eon und RWE, und nicht zuletzt Behörden, die sich von den Dortmunder Spezialisten bei Softwarelösungen beraten oder mit eigens für sie entwickelten Produkten versorgen lassen: Versicherungen, Banken, Premium-Automobilhersteller ebenso.

Softwareentwicklung ist ein mächtiger Wachstumsmarkt. Materna und erst recht Adesso sind in den vergangenen Jahren enorm schnell gewachsen. Dass selbst die Vorzeige-IT-Firmen sich kaum gegen hochprofessionelle Cyberangriffe schützen können, scheint zur Normalität zu gehören und schreckt die Kundinnen und Kunden offenbar wenig. Wahrscheinlich bleibt nicht viel anderes übrig, als sich mit einem Restrisiko zu arrangieren.

Umsatz auf Rekordkurs

Ende März präsentierte Adesso ein Rekordergebnis für 2022. 900 Millionen Euro Umsatz (Vorjahr: 680 Mio. Euro) und mehr als 8500 Beschäftigte (2021: 6300). Am Ziel für 2023 hält das Unternehmen fest. Eine Milliarde Euro Umsatz. Am Montag legte Adesso die Zahlen für das erste Quartal 2023 vor: Zu Buche steht ein Umsatzplus von 32 Prozent auf 276 Millionen Euro (Vorjahr: knapp 210 Mio. Euro). Die Auftragsbücher sind demnach weiter prall gefüllt. Dass die Profitabilität gegenüber dem Vorjahr gesunken ist, führt Adesso im Wesentlichen auf den Faktor Mensch und ein Virus im richtigen Leben zurück: Extrem hohe Krankenstände zum Jahresende und bis ins erste Quartal hinein hätten dem Unternehmen zu schaffen gemacht.