Yahoo Finanzen Wir waren in der geheimen "Kommandozentrale" der Lidl- und Kaufland-Mutter, von der aus Hacker bekämpft werden
Wir verlaufen uns. Der Raum, in dem ich den obersten Digitalchef der Schwarz-Gruppe, Deutschlands umsatzstärkstem Lebensmittelhändler, treffen soll, ist so geheim, dass wir den Eingang zunächst nicht finden. Bestimmt zehn Minuten irren wir umher, angeleitet per Smartphone, bis wir schließlich abgeholt werden müssen, weil der Eingang so versteckt ist. Fast erwarte ich eine versteckte Falltür wie im Agenten-Film, doch dann öffnet sich doch nur eine unauffällige Glastür.
Ein grinsender Rolf Schumann öffnet im matt-grau glänzenden Anzug die Tür. "Das passiert öfter, dass sich Gäste verlaufen", sagt er. Schumann ist Digital-Vorstand der Schwarz-Gruppe, seit Juli 2021 verantwortet er die gesamte Digitalisierungsstrategie des Milliardenkonzerns, zu dem unter anderem die bekannten Lebensmittelhändler Lidl und Kaufland zählen.
Schumann führt vergnügt zu dem Vorraum seines Digital-Reiches, das der langjährige Ex-SAP-Manager seinen IT-Leuten bei der Schwarz-Gruppe eingerichtet hat. Von hier aus schützt die Einheit für Cybersicherheit die gesamte digitale Infrastruktur der Unternehmensgruppe: 12.900 Filialen und über 550.000 Mitarbeiter weltweit, und natürlich die Systeme in der Zentrale hier im schwäbischen Neckarsulm. Um den Bereich bestmöglich zu schützen, ist der genaue Standort nur wenigen Eingeweihten bei dem Lidl- und Kaufland-Mutter-Unternehmen bekannt. Für große Unternehmen wie die Schwarz-Gruppe ist Cybersicherheit systemrelevant. Ransom-Ware, Hacker-Angriffe und Cyber-Kriminalität haben sich weltweit zu einer allgegenwärtigen Bedrohung für die Wirtschaft entwickelt. Allein den deutschen Unternehmen verursachen sie laut dem Digital-Verband Bitkom inzwischen jährliche Schäden von mehr als 220 Milliarden Euro, etwa doppelt so viel wie noch vor zwei Jahren.
Schwarz kaufte Cybersecurity-Unternehmen von einem ehemaligen Mossad-Agenten
Bereits im November 2021 hatte die Schwarz-Gruppe deshalb das israelische Cybersecurity-Startup XM Cyber übernommen und in die eigene Cyber-Sparte integriert – eine von Schumanns ersten Amtshandlungen als neuer Vorstandsvorsitzender für Digitales. Das IT-Sicherheits-Unternehmen wurde von dem ehemaligen Chef des israelischen Auslandsgeheimdienstes Mossad, Tamir Pardo, gegründet. XM Cyber hat eine Plattform entwickelt, die Schwachstellen in den unternehmensinternen Netzwerken von Lidl, Kaufland und Co. identifizieren und automatisch verbessern soll.
Nachdem Schwarz XM Cybers Dienste zuerst für den eigenen Schutz integriert hatte, gab die Unternehmensgruppe vor knapp einem Monat bekannt, die Services der Israelis jetzt auch großflächig anderen deutschen Kunden anzubieten. Im selben Monat gaben XM Cyber und der deutsche Lebensmittelhändler außerdem die Akquisition von Cyber Observer bekannt. Das ebenfalls in Israel ansässige Unternehmen bietet eine Plattform für Cloud-Sicherheit und Monitoring und ergänzt die Plattform von XM Cyber.
Die Israelis gaben Schumann klare Anforderungen, die sie für ihre "einzigartige Technologie", wie Schumann sagt, benötigten: Her musste also besagter Geheimraum inklusive der Kommandozentrale. Seit März ist dieser nun fertig und vorzeigebereit. Die Einladung an Journalisten ist an sich schon eine kleine Sensation, denn jahrelang hat Eigentümer Dieter Schwarz, der reichste Deutsche, sein Unternehmen von der Öffentlichkeit weitestgehend abgeschottet. Auch, weil die Strategie im Lidl-Discounter viele Jahrzehnte daraus bestand, an allen Enden zu sparen.
Bevor ich in den besagten Geheimraum eintreten darf, muss ich mein Handy in einem Spind einschließen. Kein Gerät, das nach außen kommunizieren kann, darf in den Bereich mitgenommen werden – zu groß wäre das Risiko, Daten zu stehlen oder das Netz zu stören. Fotos dürfen auch nicht gemacht werden. Überall sind Kameras und Sensoren installiert, die Tür öffnet sich nur über Scan von Schumanns Adern im Handgelenk. Scans des Fingerabdrucks oder der Iris sind in dieser Technologie-Hochburg schon wieder Schnee von gestern.
Über eine verspiegelte Wand kann man die Entwickler beobachten
Mit einem leisen Zischen geht eine Schiebetür auf und gibt den Blick frei auf einen weißen Raum ohne Fenster, in der Mitte ein großer, ovaler Konferenztisch, um den schwere Leder-Sessel mit hohen Lehen aus Chrom stehen. Ein bisschen sieht es aus, als ob hier gleich der Hohe Rat der Yedi aus den "Star Wars"-Filmen tagen würde. Schumann drückt einen Knopf und es wird dunkel in dem Raum, eine der weißen Wände hinter dem Tisch wird durchsichtig und man kann plötzlich hindurchsehen. Hinter der Wand befindet sich die wahre Kommandozentrale des "Raumschiff Lidl": In einem schwarzen Raum blinken und leuchten Zahlen und Balken auf riesigen Bildschirm-Wänden. Dahinter sitzen die IT-Fachkräfte an ihren Schreibtischen in zwei halbkreisförmigen Reihen hintereinander, den Blick entweder auf die großen Screens vor sie gerichtet oder fokussiert auf ihre eigenen Computer vor ihnen. Sie wissen nicht, dass wir sie gerade beobachten und können uns nicht sehen. Gespart wird bei der Discounter-Mutter offenbar mittlerweile nicht mehr. Wie viel diese Ausstattung des Raums gekostet hat, will Schumann nicht verraten.
Das übergroße Dashboard an der Wand zeigt die aktuell am stärksten gefährdeten Eintrittstore, die Hacker – intern oder extern – nutzen könnten, um die Systeme des Unternehmens zu unterwandern. Das Unternehmen simuliert dabei Angriffspfade in verwundbare Teile des IT-Systems, um diese zu schließen, wie Schumann erklärt. Ganz oben rechts in der Ecke zeigt das System einen "Sicherheits-Score", der anzeigt, wie gut die potenziellen Schwachstellen gerade geschützt sind. Zum Zeitpunkt des Besuches liegt er bei 93, laut Schumann ein sehr guter Wert. Die Begeisterung sprüht förmlich aus ihm heraus.
"Vor XM Cyber konnte uns kein Angebot im Markt angemessen mit diesem Ansatz zusätzlich vor Cyberangriffen schützen, deswegen war die Entscheidung, das Unternehmen zu kaufen quasi alternativlos", so Schumann. Er erzählt, dass große Unternehmen wie Schwarz Tag und Nacht angegriffen würden. Jede Filiale habe eine Verbindung zur Zentrale, aber ein offenes W-Lan, was sie anfällig für Angriffe von außen mache. Über den Online-Marktplatz Kaufland.de etwa sind über 8000 Händler an die Infrastruktur des Online-Shops angebunden, auch das sei ein Risiko. Darüber hinaus hat die gesamte Unternehmensgruppe Verbindungen zu über 650 Zahlungsinstituten. Täglich gibt es mehrere Tausend Angriffe, das sei das "Grundrauschen", so Schumann. Zu Beginn des Ukrainekrieges habe sich diese Zahl noch einmal stark erhöht, da viele Kriminelle die heikle politische Situation ausnutzen wollten, um deutsche Unternehmen in Bedrängnis zu bringen. Bislang habe es den Handels-Giganten jedoch nicht erwischt – sagt zumindest Schumann.
Wer gehackt wurde, will dies oft nicht preisgeben
Einen Lieferanten, der über Zugang zum Supply-Chain-System verfügt, habe es jedoch schon einmal getroffen – eine potenzielle Schwachstelle für den Lebensmittelhändler. Dass Cyber-Angriffe in der Branche auch gern verheimlicht werden, ist ein offenes Geheimnis. Schließlich schaden derlei Berichte der Reputation. Deshalb würden sich in der Branche viele lieber erpressen lassen und Lösegeld zahlen, berichtet Schumann. Die Dunkelziffer der tatsächlichen Angriffe ist hoch.
"Die Frage war nicht ob, sondern wann es uns erwischt", sagt Schumann. "Wir hatten auch bisher ein sehr starkes IT-Sicherheitsteam, kamen jedoch aus einer Position der Verteidigung, nicht der Offensive und das wollten wir ändern." Dafür gab das Unternehmen mutmaßlich rund 700 Millionen Euro aus, um XM Cyber zu kaufen, wird in der Branche geschätzt. Das Unternehmen gibt keine Information zu dem Kaufpreis und möchte die Zahl weder bestätigen noch verneinen. "Ein System wie jenes von Cyber Observer selbst zu entwickeln, hätte zwölf bis 18 Monate gedauert. Das war uns zu lang", sagt Schumann. Innovation kann dem Techie offenbar nicht schnell genug gehen. Außerdem wäre es aufgrund der fehlenden tiefgründigen Erfahrung und Kenntnis im Cyber Umfeld um ein Vielfaches schwieriger und fraglich, ob es überhaupt in der Art gelingen würde.
Das neue Abwehrsystem schaut sich rund mehrere Hunderttausend Referenzpunkte in Systemen an. Aber was wollen Hacker eigentlich stehlen? Besonders kritische und schützenswerte Daten sind unter anderem die Einkaufs- und Sortimentspreise. In den IT-Systemen der Unternehmensgruppe werden pro Tag mehrere Tausend Änderungen vorgenommen.
Wie Autoknacker – nur digital
"XM Cyber geht davon aus, dass diejenigen, die uns richtig angreifen wollen, längst da sind", sagt Schumann. Anders als herkömmliche Abwehrsysteme, die eher defensiv vorgehen, gehe jenes der Israelis davon aus, dass längst ein Bot eingeschleust sein könnte und fokussiert sich darauf, die systemkritischen Ressourcen zu schützen. Dazu werden diese rund um die Uhr von den eigenen Mitarbeitern angegriffen, um das System aus den Augen eines Hackers zu sehen. Sollte es zu einer realen Bedrohung kommen, werde händisch entschieden, ob das Einfallstor zugemacht wird.
Schumann erklärt das so: "Früher haben Autoknacker händisch geprüft, ob die Autotür offen ist. Hacker haben heutzutage Bots, die quasi einfach gucken, ob die Autotür beziehungsweise die Unternehmenstür offen ist." Das, was man früher mechanisch gemacht hat, passiere heute also digital.
Ein intakter Schutz gegen Cyberkriminelle ist insbesondere in den derzeitigen Krisenzeiten umso wichtiger. Das sagt auch der Verfassungsschutz. Deren Vizepräsident Sinan Selen wies erst vergangenes Jahr darauf hin, dass die Pandemie es für Firmen noch notwendiger gemacht habe, sich gegen Cyber-Angriffe zu rüsten. Das koste, sei aber gut investiertes Geld. Zudem müssten Schwachstellen etwa durch im Homeoffice genutzte Computer schnell geschlossen werden und Firmen grundsätzlich aufmerksam sein. "Die Hausaufgaben müssen gemacht werden", forderte der Verfassungsschützer. Die Schwarz-Gruppe lässt ihre Hausaufgaben von Yedi-Rittern – äh, Israelis – erledigen. Und hat sie in dieser Hinsicht sogar vor vielen anderen deutschen Unternehmen dieser Größenordnung fertig. Wer diesmal wohl abschreiben mag?
