So dreist kassieren Cyber-Erpresser Lösegeld von Wempe

Die Hauptfiliale des Traditions-Juweliers Wempe an der Ecke Jungfernstieg und Neuer Wall in Hamburg. © Imago

Hamburg. Kriminelle griffen Juwelier bereits vor einer Woche an. Die Firma ist nicht das erste Opfer. Polizei geht von Milliardenschäden aus.

Der Hamburger Traditions-Juwelier Wempe ist Opfer einer Cyber-Erpressung geworden. „Eine Gruppe professioneller Täter blockierte unser Computersystem mit einer speziellen Software. Durch diese Erpressungssoftware (sogenannte Ransomware) waren unsere Server verschlüsselt. Das war eine Geiselnahme unserer Daten auf unseren eigenen Servern“, sagte Sprecherin Nadja Weisweiler auf Abendblatt-Anfrage.

Wempe-Erpressung begann vor einer Woche

Der Vorfall ereignete sich bereits am Montag vor einer Woche. Auf den Servern hatten die Erpresser eine Nachricht und eine E-Mail-Adresse zur Kontaktaufnahme hinterlassen. Die Kriminellen forderten Lösegeld. Als Gegenleistung sollte der 1878 gegründete Juwelier – mit Filialen in der ganzen Welt – ein Passwort erhalten, um wieder auf die eigenen Server und damit auf die verschlüsselten Daten zugreifen zu können.

„Natürlich haben wir umgehend das Landeskriminalamt (LKA) der Hamburger Polizei informiert, das dann die Ermittlungen aufgenommen hat“, sagte Sprecherin Weisweiler. Die Server seien umgehend vom Netz genommen und externe Experten für IT-Forensik und IT-Sicherheit hinzugezogen worden.

Ein Sprecher der Hamburger Polizei bestätigte dem Abendblatt: „Wir führen derzeit ein Ermittlungsverfahren wegen Verdachts der Erpressung und der Datensabotage zum Nachteil eines Hamburger Unternehmens. Nach dem bisherigen Erkenntnisstand wurden dabei die auf einem Server abgelegten Daten des Unternehmens angegriffen, verschlüsselt und Forderungen zu deren Wiederherstellung gestellt.“

Wempe musste Rechnungen per Hand schreiben

Auf den Computern sind auch Tausende Kundendaten gespeichert. Aber auf diese hatten es die Täter offensichtlich nicht abgesehen: „Nach dem derzeitigen Stand der Analyse gibt es keine Hinweise auf die Entwendung der Daten unserer Kunden und Geschäftspartner“, sagte Weisweiler.

Neben dem LKA informierte Juwelier Wempe auch den Hamburgischen Beauftragten für Datenschutz über die Cyber-Attacke. Der Geschäftsbetrieb in den weltweit 34 Niederlassungen ging trotz des Vorfalls weiter. Die Kassen waren von der Cyber-Erpressung nicht betroffen. Allerdings konnten keine Rechnungen ausgedruckt werden und wurden deshalb per Hand geschrieben. Lediglich bei der Wartung von Uhren komme es zu Verzögerungen, sagte Weisweiler.

Abendblatt exklusiv: Wempe zahlte Lösegeld

Nach exklusiven Abendblatt-Informationen bezahlte Juwelier Wempe schließlich ein Lösegeld an die Kriminellen und erhielt daraufhin das Passwort. Die Höhe ist nicht bekannt. Aktuell liege das Hauptaugenmerk auf der Wiederherstellung der Systeme. Dabei werde vorsichtig und mit Bedacht vorgegangen, so Weisweiler. Auch der Hamburger Beiersdorf Konzern wurde in der Vergangenheit bereits Opfer einer Cyber-Attacke.

Wie die Erpresser via Internet vorgehen und wie sich Firmen schützen können, gibt eine kleine Übersicht:

Was ist Cyberkriminalität?

Weit überwiegend handelt es sich dabei um Computerbetrug, rund 75 Prozent aller Cybercrime-Straftaten gehen darauf zurück. Dabei greift der Täter ohne Erlaubnis in die Funktion eines Computerprogramms ein, verursacht so einen Vermögensschaden und verschafft sich selbst einen Vermögensvorteil. Weiter fallen unter Cybercrime zum Beispiel unrechtmäßige Abbuchungen von Online-Konten. Auch Computersabotage, das Ausspähen von Daten oder die missbräuchliche Nutzung von Telekommunikationsdiensten sowie Datenveränderung fallen in den Deliktbereich.

Wie gefährlich ist Cybercrime?

In kaum einen anderen Deliktbereich steigen die Fallzahlen derart rasant wie bei der Cyberkriminalität. Und doch sind die Fälle, die der Polizei gemeldet werden, nur die Spitze des Eisbergs, wie das Bundeskriminalamt (BKA) konstatiert. Die polizeiliche Kriminalstatistik gebe „nicht annähernd“ die tatsächliche Häufigkeit von übers Internet gesteuerten Attacken gegen Firmen oder private Nutzer wieder. „Es muss von einem sehr großen Dunkelfeld ausgegangen werden“, so das BKA. Häufig zahlen die Firmen dann lieber schweigend ein Lösegeld, als sich einem vermeintlichen Imageschaden auszusetzen. Die Täter wiederum verschleiern häufig ihre Identität und operieren anonym vom Ausland aus.

Wie gehen die Täter vor?

Insbesondere mittelständische Unternehmen sind von einem massenhaften Befall ihrer Daten und Netzwerke betroffen. Am häufigsten infizieren die Täter fremde Computersysteme mit Schadsoftware, um beispielsweise an sensible Daten zu gelangen oder um von den Unternehmen ein Lösegeld zu erpressen, indem sie durch Verschlüsselung ganze Firmennetzwerke lahmlegen und so den Zugriff sperren. Zuletzt hat der Trojaner „Emotet“ der Hamburger Polizei viel Sorge bereitet. Die Schadsoftware verwendet zur Tarnung täuschend echt aussehende Mails angeblicher Freunde oder Geschäftspartner. Es gibt aber auch die Variante mit verseuchten Bewerbungsmails. Wird die angefügte Datei geöffnet, verbreitet sich die Schadsoftware mitunter im gesamten Netzwerk.

Gibt es Fälle in Hamburg?

Sehr viele. Nur die wenigsten werden aber bekannt, wie der Hackerangriff auf den Konzern Beiersdorf im Juni 2017. Vermutlich gelang es den Tätern, die Buchhaltungssoftware einer Firmenfiliale in der Ukraine während eines Updates zu manipulieren. Folge: Der Trojaner verschlüsselte wichtige Dateien und machte die Computer im Netzwerk praktisch unbenutzbar. Von einem ähnlichen Schädling wurde auch die dänische Maersk-Gruppe im Juni 2017 heimgesucht — die gesamte digitale Infrastruktur des Reederei-Riesen brach zusammen. Die Täter verlangen dann meist ein Lösegeld zur Entschlüsselung der Dateien, zahlbar in der Krypto-Währung Bitcoin.

Wie hoch ist der Schaden?

Der Schaden durch Cybercrime kann auch aufgrund des zurückhaltenden Anzeigeverhaltens der Geschädigten nur geschätzt werden. Nach einer anonymen Befragung des Digitalverbandes Bitkom sind mittelständische Unternehmen am häufigsten von Attacken betroffen, aber auch Großfirmen und Handwerksbetriebe sind nicht davor gefeit. Laut Bitkom hat in den Jahren 2017 und 2018 ein Viertel aller deutschen Industrieunternehmen einen Angriff durch Schadsoftware registriert. Der Schaden geht in Deutschland in die Milliarden Euro, weltweit, so die Polizei, wird der Schaden durch Cyberkriminelle auf mehr als 350 Milliarden Euro geschätzt.

Operieren die Täter nur am Computer?

Nicht unbedingt. Wie akut existenzgefährdend sich digitale kriminelle Machenschaften im echten, analogen Leben auswirken können, hat eine mittelständische Hamburger Firma vor gut einem Jahr erfahren müssen: Ein Angestellter der IT, zuständig für das Computer-Netzwerk, wechselte damals zu einem Konkurrenten und brachte seinem neuen Arbeitgeber ein „Willkommensgeschenk“ mit: kurz vor seinem Abgang hatte sich der Mitarbeiter noch umfassenden Zugriff auf das Netzwerk seines alten Arbeitgebers verschafft. So gelang es dem neuen Arbeitgeber, die Kommunikation des Konkurrenten auszuspähen und ihn bei Ausschreibungen regelmäßig zu unterbieten. Bevor der Betrug aufflog, stand das bespitzelte Unternehmen mit dem Rücken zur Wand.

Wie kann man sich schützen?

Die Polizei rät dazu, bei der Sicherung der IT-Infrastruktur nicht zu sparen. Besser dran sind Unternehmen grundsätzlich, wenn sie auf ein „gutes und professionell gewartetes Backup-System setzen“, um im Ernstfall ihre Daten aus nicht infizierten Quellen wiederherstellen zu können, sagt Andreas Dondera, Leiter der Zentralen Ansprechstelle Cybercrime (ZAC) bei der Hamburger Polizei. Auch eine Schulung der Mitarbeiter ist entscheidend, denn in den meisten Fällen gelangt Schadsoftware überhaupt nur durch einen menschlichen Fehler ins Netzwerk. Die Polizei setzt auf Prävention, stellt für Unternehmen im Internet Tipps zur Cyber-Sicherheit zur Verfügung.