Foto: dpa
Cyber-Attacken werden immer gezielter und ausgeklügelter. Hacker aus Russland haben im Sommer eine Schadsoftware ins Firmennetzwerk eines mittelständischen Unternehmers aus dem Brettener Umland eingeschleust. Innerhalb weniger Stunden ging im Betrieb nichts mehr.

Cyber-Attacke legt Firma lahm

„Da kommt die blanke Existenzangst hoch“

Anzeige

„Es fing damit an, dass keine E-Mails mehr rausgingen“, erzählt Peter M., der aus geschäftlichen Gründen seinen richtigen Namen nicht in der Zeitung lesen möchte. Was dann folgt, ist die schlimmste Erfahrung, die der Chef eines mittelständischen Unternehmens im Raum Bretten in seinem Berufsleben je gemacht hat. Spät an diesem Sommerabend spricht der EDV-Beauftragte seiner Firma den Verdacht aus, dass sich im System ein Virus ausgebreitet haben könnte. Am nächsten Tag ist die Befürchtung Wirklichkeit geworden: Nichts geht mehr. Das Unternehmen war das Opfer einer Cyber-Attacke geworden.

Trojaner eingeschleust

Der umgehend alarmierte Software-Dienstleister des Unternehmens bestätigt, dass sich ein Trojaner über eine Sicherheitslücke im System eingenistet und alle Firmendaten verschlüsselt hat. Zwar macht die Firma täglich Sicherheitskopien aller Daten, doch diese Sicherungsmedien sind alle am Netz und damit ebenfalls dem Zugriff der digitalen Einbrecher ausgesetzt. Die letzte rückspielbare Speicherdatei mit Firmendaten ist vier Wochen alt, zu groß die Lücke, um sie per Reset einfach zu verschmerzen.

Nicht vorbereitet auf Cyber-Attacke

„Wir waren auf alles vorbereitet, nur nicht auf das“ bekundet der Firmenchef ernüchtert. Von solchen Cyberattacken hatte er zwar schon gehört oder im Film gesehen. „Ich hätte aber nie gedacht, dass das auch so ein kleines Unternehmen wie unseres treffen könnte“.
Die Verursacher des Übels hatten allerdings eine kleine Nachricht hinterlassen: Bei Zahlung von 50 000 Dollar in Bitcoins könne die Verschlüsselung wieder aufgehoben und die Firmendaten wieder hergestellt werden. Dafür stünden allerdings maximal zwei Wochen Zeit zur Verfügung.

Bereits 117 Fälle in diesem Jahr

„Solche Cyber-Attacken mit Erpressersoftware kommen häufig vor“, sagt Christian Hertel, einer der Cybercrime-Ermittler des Polizeipräsidiums Karlsruhe. 117 Unternehmen hätten in diesem Jahr solche Erpressungsversuche angezeigt. 86 000 Fälle hat das Bundeskriminalamt im Jahr 2017 bearbeitet und beziffert den Schaden mit 50 bis 70 Millionen Euro. Dabei würden kaum zehn Prozent dieser Straftaten angezeigt, so die Fachleute.
„Wir haben natürlich die Polizei verständigt und auch mit dem Bundeskriminalamt in Wiesbaden Kontakt aufgenommen“, berichtet der Firmenchef weiter. Die hätten zwar geraten, nicht zu bezahlen. „Doch mir war schnell klar, dass wir bezahlen mussten“, sagt Peter M., denn im papierlosen Büro seines Betriebs habe man keinen Zugriff auf nichts mehr gehabt. Die Mitarbeiter im Büro hat er deshalb gleich nach Hause geschickt. In der Werkstatt gab es noch Arbeit für drei Tage. Danach hätte er die Produktion einstellen müssen.

Versicherung greift bei Cyber-Attacke nicht

„Meine Stimmung schwankte zwischen manisch-depressiv und hochaggressiv“, beschreibt er im Rückblick seine Gemütslage – immer das Ende der Firma im Auge, und dazu noch die persönliche Haftung als geschäftsführender Gesellschafter. „Da kommt die blanke Existenzangst hoch, zumal unsere Versicherung solche Fälle seinerzeit nicht abdeckte“, sagt er.
Doch eine Überlegung half ihm, kühlen Kopf zu bewahren: „Die wollen ja ihr Geschäftsmodell nicht zerstören, sondern Geld verdienen. Und wenn sie die versprochene Entschlüsselung nicht liefern, dann zahlt ja keiner mehr“, beschreibt er den seidenen Faden, an dem er sich durch die Krise hangelte.
Zur Vertrauensbildung hatten die Erpresser überdies angeboten, zwei eingesandte Dateien zu entschlüsseln. Aals Demoversion sozusagen, was dann auch problemlos erfolgte. Selbstredend, dass weder der Mailkontakt, noch der spätere Geldfluss nachverfolgbar war.

Geld verschwindet in dunklen Kanälen

„Bei dieser Cyber-Attacke waren Profis am Werk, die vermutlich mit der gleichen Ransomware arbeiteten, die im Mai das britische Gesundheitswesen attackiert und ganze Kliniken lahmgelegt hatte“, sagt Kripomann Hertel. Die Ermittlungen seien durch die Anonymisierung der IP-Adressen und die Kryptowährungen schwierig. Darüber hinaus agierten die Kriminellen international. „Meine Kompetenzen reichen aber nur bis zur Landesgrenze“.
Für Peter M. galt es nun, in wenigen Tagen ein Bitcoin-Konto zu eröffnen, was sich als gar nicht so einfach erwies. Denn in der Regel ist es Neueinsteigern anfangs gar nicht erlaubt, so hohe Umsätze zu tätigen. Doch über diverse Ecken und Beziehungen funktionierte dies. Über einen langen Zahlencode verschwanden schließlich 50 000 Dollar in Bitcoins in dunklen Kanälen. „Wenn wir auch nur zwei Tage nicht arbeiten können, ist der Schaden noch größer“, benennt der Firmenchef die einfache Rechnung, die ihn zur Überweisung der Summe veranlasst hat. Unterm Strich fiel der Schaden allerdings deutlich höher aus – rund 300 000 Euro, so schätzt der Unternehmer, der seine EDV runderneuern musste.

Erpresser hielten Wort

Doch die Erpresser hielten wenigstens Wort: Vier Stunden nach der Überweisung kam eine Datei zurück und wieder vier Stunden später lief das System wieder als ob nichts gewesen wäre. „Da ist eine Riesenlast von mir abgefallen“, beschreibt Peter M. seine Gefühlslage. Und dies nicht nur im Blick auf sich und seine Familie. Schließlich hing ja auch die Zukunft der 120 Mitarbeiter und ihrer Familien von einem guten Ausgang ab. Die Polizei hat dann noch festgestellt, dass hinter dieser Cyber-Attacke wohl  russische Hacker stecken. Ein kleiner Trost: Chinesische Hacker seien schlimmer, meinen die Experten, denn sie lösten ihre Versprechen oft nicht ein.
Weitere Infos und Tipps zur Vorbeugung finden Interessierte und Betroffene auf der Webseite des Europäischen Cybercrime Centers.