Cyber-Attacke: "Ich hätte nicht gedacht, dass es so krass ist!"
Das Handwerksunternehmen PLA aus Kaltenkirchen wird Opfer eines Hackerangriffs. Was folgt, ähnelt einer Geiselnahme - einer Daten-Geiselnahme: ein Erpresserschreiben, Polizei-Forensiker, Gespräche mit dem Hacker, ein Rabattangebot und Existenzangst.
Es ist Sonntag, der 22. August 2021: Patrick Reinert ist auf dem Weg zum Bäcker, um Brötchen für seine Familie zu holen. Der Mittfünfziger ist Geschäftsführer und Inhaber eines Betriebes für den Einbau und Service von Pumpen- und Lüftungsanlagen in Kaltenkirchen (Kreis Segeberg). 30 Mitarbeiter und Mitarbeiterinnen arbeiten für ihn, betreuen Kunden wie die Messehallen in Hamburg und die Elbphilharmonie.
Es gibt viel zu tun, daher entscheidet sich Reinert, auf einen kurzen Abstecher bei seiner Firma vorbeizufahren. Als er sein Büro betritt, bemerkt er sofort einen eigenartigen Geruch in der Luft. Es ist der Geruch von Laserdruckern, die die ganze Nacht unerlässlich Papier bedruckt haben. "Das kann nicht sein. Was ist hier los?!" denkt Reinert. Er geht zum Drucker.
Schwarz auf weiß: Der Geruch der Erpressung
"Das Papier war alle. Alles war ausgedruckt. Überall war ein Stapel an Papieren," erinnert sich Reinert. Ein Hacker hatte über Nacht die vier Druckergeräte gekapert, gelangte über sie ins Firmennetzwerk, weiter auf sämtliche Computer der Firma, auf den Server, an den die Festplatten für Backups angeschlossen waren und in die Cloud, wo weitere Backups lagerten.
Lediglich eine knappe Stunde, das wird später der Datenforensiker der Polizei rekonstruieren können, hat der Hacker benötigt, um Daten von 20 Jahren Unternehmensgeschichte zu verschlüsseln. Lieferscheine, Projektstände, Konstruktionszeichnungen, Rechnungen, E-Mails - alles ist an diesem Sonntagmorgen weg. Das einzige, was der Hacker dagelassen hat, liegt in den Druckern: ein Erpresserschreiben in tausendfacher Ausführung. Darauf steht: Für 50.000 Dollar in der Kryptowährung Bitcoin könnte die Firma die Daten freikaufen. Sollte nicht gezahlt werden, würden sie zum Verkauf im Darknet angeboten, einem versteckten Teil des Internets. Patrick Reinert ruft seinen IT-Dienstleister an. Erst zwei Tage zuvor hatte dieser alle notwendigen Sicherheitsupdates gefahren, eine Woche zuvor eine neue Firewall installiert.
Trotz neuer Firewall: auch der EDV-Mann verzweifelt
"Geh hoch in den Serverraum, hol ein Backup, hol den Rechner", erinnert sich Reinert an dessen Worte. "Nimm das mit und komme schnell zu mir". Dann die Ernüchterung: Der IT-Experte kann nicht helfen, die Daten sind auch für ihn unerreichbar. Für Patrick Reinert steht fest, dass er den Erpressern kein Geld geben wird: "Das mache ich nicht, das ist kriminell." Er kontaktiert das Landeskriminalamt und meldet den Vorfall beim ULD, dem unabhängigen Landeszentrum für Datenschutz.
Die Verhandlung beginnt: Hall-of-Fame im Darknet
Kurz darauf sitzen Reinert und sein IT-Fachmann mit einem Datenforensiker der Polizei zusammen. Über den Tor-Browser gelangen sie ins Darknet. Von dort geht es weiter auf die Seite jener Gruppe, für die der Hacker arbeitet: LockBit, eine Bande, die Erpressungssoftware auf professionellem Niveau an jeden vermietet, der Bedarf hat. Was Reinert auf der Seite sieht: "Firmen, die gehackt worden sind, werden dort ausgestellt." Es ist eine Art Hall-of-Fame, ähnlich einer Trophäenwand in einer Jagdhütte. "PLA ist wie eine kleine Gams mit so einem abgebrochenen Hörnchen. Andere große Firmen wie so Zwölfender", beschreibt Reinert die Webseite. Und unter den Namen einiger Unternehmen findet sich folgender Hinweis: Die Daten würden noch nicht zum Kauf zur Verfügung stehen, da die Geiselnahme derzeit noch andauere.
Discount auf das Lösegeld
Reinert geht in Kontakt mit der Gruppe. "Die waren total nett. Die haben sich als Dienstleister verkauft. Die sagten, sie müssen halt Geld verdienen." Und dann erhält Reinert einen Ratschlag: Das System seiner Firma sei schlicht anfällig gewesen. Er solle den Angriff als Lehrstunde sehen. Es entsteht ein Dialog. Die Gruppe bietet Reinert einen Discount von 10 Prozent auf das Lösegeld an. "Das war surreal", sagt Reinert. Aber es ändert nichts an seinem Entschluss, nicht zu zahlen.
In den folgenden Tagen konfisziert die Polizei alle Rechner in Reinerts Firma. Der sieht sich derweil mit der Gefahr einer existenziellen Krise konfrontiert. Er kann keine Rechnungen schreiben, da die dafür notwendigen Daten fehlen, die Kosten laufen aber weiter. Der Kontostand sinkt. "Man wird sehr empfindlich, man ist sehr dünnhäutig", erinnert sich Reinert. Die Hausbank zeigt Verständnis für die Situation, sie greift dem Unternehmer unter die Arme. Dann meldet sich ein IT-Unternehmen aus Hamburg. Es habe im Darknet gesehen, dass Reinerts Firma gehackt wurde. Sie würden gerne einmal versuchen, die Daten zu entschlüsseln.
Am Ende: eine Überraschung und jede Menge Backups
"Wir sind dann nach Hamburg gefahren in die Europa Passage, haben dann bei der Firma diesen Datenträger abgegeben", sagt Reinert. Die Firma schafft das, womit nicht einmal die beteiligten Experten gerechnet hatten: Sie entschlüsselt die Daten. Bis das Unternehmen von Patrick Reinert wieder rund läuft, dauert es dennoch über acht Monate. Die Kosten für diese "Lehrstunde": 80.000 Euro und "Backups hier, Backups zu Hause, Backups in der Bank", sagt Reinert. Jeden Monat. "Punkt. Aus. Ende. Das möchte ich nicht noch mal erleben."