Cyberangriff: Lübecker IT-Unternehmer trickst Hacker aus
Anonyme Hacker haben einen Lübecker IT-Unternehmer nach einer Cyberattacke mit gestohlenen Daten erpresst. Er gewinnt mit cleveren Verhandlungen Zeit, warnt Kunden - und wendet so größeren Schaden ab.
Wie kommuniziert man am besten mit Erpressern aus dem Internet? Drohend - oder vielleicht besser flehend? Fabian Schmidt aus Lübeck stand im vergangenen Jahr vor genau dieser Frage, als sein Unternehmen gehackt wurde. 50.000 Euro wollten die anonymen Täter haben, sonst würden sie gestohlene sensible Unternehmensdaten im Darknet veröffentlichen. Und das ausgerechnet bei einer Firma, die mit dem Versprechen wirbt: "Wir zeigen Ihnen, wie effektive und sichere IT geht!" Bei den Verhandlungen über den Messenger-Dienst Telegram entschied sich der Geschäftsführer des IT-Unternehmens Melting Mind für eine andere Tonart: Stets freundlich, ja fast zuvorkommend trat er gegenüber seinen Erpressern auf.
"Also, dass ich diese Leute beschissen finde und das, was sie machen, noch viel mehr, ist ja klar. Aber beide Seiten haben ja ein Interesse. Und wenn man vorwärts kommen möchte in einer Verhandlung, muss man erstmal grundsätzlich freundlich sein." Fabian Schmidt, Chef des IT-Unternehmens Melting Mind
Gepaart mit gespielter Naivität und absichtlich schlechtem Englisch ging seine Taktik am Ende auf, wie er sagt. Heißt: Schmidt bezahlte wenig und gewann genug Zeit, um alle seine Kunden rechtzeitig warnen zu können. Der Lübecker Unternehmer war eines von vielen Hacker-Opfern. Henning Dibbern, Kriminalhauptkommissar der Cybercrime-Ermittlungsstelle in Kiel, sagt: "Einen hundertprozentigen Schutz in der Cyberwelt gibt es nicht. Es wird immer neue Lücken geben, die Kriminelle erkennen, zum Beispiel bei externer Software. Und diese Lücken gilt es dann zu schließen."
Fast 4.000 Cybercrime-Fälle in SH im vergangenen Jahr
Das Landeskriminalamt hat in seiner kürzlich erschienenen Kriminalstatistik für das Jahr 2024 genau 3.789 Cybercrime-Fälle ausgewiesen. Das sind rund 500 mehr als noch im Jahr zuvor. Einer dieser Fälle in der Statistik war der Datenklau eben bei Fabian Schmidt. 1999 gründete er ein IT-Unternehmen, aktuell hat er zehn Mitarbeitende. "Es war ein Sonntag. Ich war gerade auf der Rückfahrt von einer Veranstaltung und habe dann eine E-Mail vom BSI gesehen. Da wurde mir klar: Es ist wirklich etwas passiert."
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, was die Hacker ihm zuvor auch schon per E-Mail geschrieben haben: Eine unbestimmte Menge Daten sind von den Servern des IT-Unternehmens gestohlen worden. "Solche E-Mails von angeblichen Hackern bekommen wir ständig, fast jeden Tag. Deshalb hatte ich die vorher nicht ernst genommen", erinnert sich Schmidt. Diesmal war es aber ernst.
Erpresser bieten "Rund-um-die-Uhr-Service"
Noch an jenem Sonntag traf er sich mit einer Kollegin, um gemeinsam die Speicher der Server durchzugehen. Bis zu 80 Gigabyte Daten könnten betroffen sein, ergab ihre erste Analyse, also auch viele der Firmenkunden. Die Forderungen der Erpresser waren in der E-Mail klar formuliert: 50.000 Euro in Bitcoin soll Schmidt bis zu einem bestimmten Datum überweisen, sonst würden die Daten veröffentlicht. Und als kleine "Serviceleistung" der Erpresser konnte Schmidt auf einer Seite im Darknet jederzeit einsehen, wie viel Zeit er noch für die Überweisung hat. Dort tickte ein Countdown.
170 Milliarden Euro Schaden durch Cyberangriffe
Überhaupt schienen die Erpresser von Fabian Schmidt großen Wert auf "Service" zu legen, ganz ähnlich wie große legale Unternehmen. In ihrer E-Mail war ein Kontakt auf Telegram für Nachfragen hinterlegt, täglich 24 Stunden erreichbar. Den Leiter der Cybercrime-Abteilung vom Bundeskriminalamt, Carsten Meywirth, wundert dies nicht, wie er NDR Schleswig-Holstein sagt.
"Cybercrime ist ein riesiges Business. Das hat schon lange nichts mehr mit Script-Kiddies im Kapuzenpullover zu tun. Das ist ein knallhartes Geschäft." Carsten Meywirth, BKA-Experte für Cyberkriminalität
Laut einer Studie des Branchenverbands Bitkom haben deutsche Unternehmen im Jahr 2024 durch Cyberangriffe wirtschaftliche Schäden in Höhe von rund 170 Milliarden Euro erlitten.
Schmidt spielt den "hardcore überforderten Geschäftsführer"
Fabian Schmidt wollte den wirtschaftlichen Schaden für sein Unternehmen natürlich möglichst gering halten. Also versuchte er, durch Verhandlungen mit den Erpressern Zeit zu gewinnen, um seine Kunden rechtzeitig warnen zu können und ihnen beim Sichern der Daten zu helfen. Eine gute Entscheidung, bestätigt Kriminalhauptkommissar Dibbern. "Wir raten immer, nicht zu zahlen. Und der Schutz der Kundendaten musste in dem Fall trotzdem das Ziel sein."
Auf Telegram spielte Schmidt den "hardcore überforderten Geschäftsführer, der keinen Plan hat. Dabei hatten wir ja einen Plan", erzählt er. "Wir haben teilweise absichtlich falsches Englisch benutzt, um die Kommunikation zu verlangsamen. Außerdem haben wir gesagt, dass wir große Probleme hätten, an das Geld zu kommen." Und bei alledem gab sich Schmidt stets freundlich, bedankte sich zum Teil sogar überschwänglich.
Clevere Verhandlungstaktik geht auf
So gelang es ihm, eine Ratenzahlung auszuhandeln. Statt die kompletten 50.000 Euro zahlte der Unternehmer eine erste Rate von 3.000 Euro. Und noch bevor die zweite Rate fällig wurde, hatte er all seine Kunden warnen und ihnen beim Sichern der Daten helfen können. Die zweite Rate zahlte er dann nicht mehr. "Tatsächlich wurden die gestohlenen Daten dann veröffentlicht. Es waren nur ein paar Megabyte", sagt Schmidt. Die fehlerhafte Schutzsoftware sei gefunden und ausgetauscht worden.
Wirtschaftlicher Schaden entsteht trotzdem
Doch obwohl er nur einen Bruchteil des Lösegelds zahlte, blieb ein erheblicher wirtschaftlicher Schaden für sein Unternehmen. Denn der Verdienstausfall, als die Server nicht benutzbar waren, schlug laut Schmidt mit 50.000 bis 100.000 Euro zu Buche. Die Täter habe die Polizei noch nicht fassen können.
Dass sein Unternehmen oder die ganze Branche durch Hacker an Reputation verlieren könnte, beobachtet er nicht. "Ganz im Gegenteil, wir beraten ja zum Thema IT-Sicherheit, und viele unserer Kunden sind nach diesem Cyberangriff auf uns zugekommen und wollten mehr Beratung. Niemand ist vor diesen Angriffen sicher, das hat man ja jetzt gesehen."
Hohe Dunkelziffer: Viele Betroffene erstatten keine Anzeige
Die Industrie- und Handelskammer (IHK) Lübeck rät betroffenen Unternehmen, sich bei den Verhandlungen mit den Erpressern Unterstützung zu holen. Im vergangenen Jahr sind laut Kriminalstatistik 29 Prozent aller angezeigten Cybercrime-Fälle in Schleswig-Holstein aufgeklärt worden. Eine gute Adresse sei die Zentrale Ansprechstelle Cybercrime (ZAC) in Kiel - und betroffene Unternehmen gebe es viele. "Eine aktuelle IHK-Umfrage in ganz Deutschland hat gezeigt, dass rund 20 Prozent aller Unternehmen entweder Ziel einer Cyberattacke waren oder glauben, ein Ziel gewesen zu sein. Auf Schleswig-Holstein runtergebrochen sehen die Zahlen ähnlich aus", berichtet Christian Wegener von der IHK. Das Landeskrimininalamt bestätigt auf Anfrage von NDR Schleswig-Holstein, dass es vermutlich deutlich mehr Cyberangriffe gegeben hat, als in der Kriminalstatistik erfasst wurden. Viele Betroffene hätten keine Anzeige erstattet.
"Wir müssen aus dieser Schmuddelecke raus"
Fabian Schmidt möchte daran etwas ändern. Deshalb hat er sich entschieden, seinen Fall publik zu machen. "Wir müssen aus dieser Schmuddelecke raus. Das wird jedem in seiner Zeit als Unternehmer passieren und wir müssen da mehr drüber sprechen." Denn wehrlos ausgeliefert seien Unternehmer wie er den Hackern definitiv nicht. Cleverness zum Beispiel kann helfen. Das beweist sein Fall.
