Kaltenkirchen. Ein Mittelständler soll 50.000 Dollar für seine Daten zahlen. Wie der Firmenchef reagiert und was dann passiert, ist erstaunlich.
Es ist genau dieser eine Satz, den kein Unternehmer jemals von einem IT-Fachmann hören möchte. „Patrick, wir haben ein Problem.“ Patrick Reinert ist Gründer und Geschäftsführer von PLA (Pumpen und Anlagenbau) mit Sitz in Kaltenkirchen. Der Diplom-Ingenieur teilt seine Erfahrungen zu einem weitreichenden Hacker-Angriff auf seine Firma, der einen fünfstelligen Schaden verursachte und ihn viel lehrte darüber, wie anfällig der Mittelstand ist gegen Infiltrationen von hoch professionellen Cyber-Kriminellen.
PLA ist ein Dienstleister im Bereich der Pumpentechnik für Abwasser, Abwasser und Lüftungen für die Industrie, Baugewerbe, Zweckverbände und zahlreiche weitere Projektpartner. Es gibt 30 Mitarbeiterinnen und Mitarbeiter. Das Unternehmen ist in der Region weiträumig tätig, betreut unter anderem die Elbphilharmonie, die Hamburger Messe, baute damals die Infrastruktur für das große Impfzentrum mit auf, arbeitet für den Aurubis-Konzern.
Erpressung: Wie Hacker eine Kaltenkirchener Firma angriffen
Doch das ganze Leben der Firma befindet sich, so ist es in einer digitalen Welt üblich, auf Datenträgern und Cloud-Speichern. So war das auch schon am 21. August 2021, jenem folgenschweren Tag. Es war ein Sonntag, Patrick Reinert fuhr trotzdem in den Betrieb, wie es Selbstständige eben manchmal machen.
Was er dann sah, beschreibt er als „surreal“, denn: „Wir hatten am Freitag alles ausgeschaltet. Und als ich reinkam, war alles an.“ Die Drucker waren voller Papier, um die 5000 Blätter stapelten sich. Auf Englisch stand dort eine Nachricht. Es war die Botschaft eines Erpressers. „Über diese Darknet-Adresse können Sie mit mir in Verbindung kommen“, stand dort.
Er rief sofort seinen EDV-Betreuer an. Dieser konnte von extern nicht mehr auf das Firmennetz zugreifen. Schnell wurde das Ausmaß deutlich. „Das Backup war verschlüsselt, die Rechner auch. Und die Cloud war leer. Auf unserem Server war die ganze Firma von 2002 bis zu dem Tag – Zeichnungen, Entwicklung, die Kundendatenbank, alles.“
Es handelte sich um einen Angriff mit der Lockbit 2.0-Ransomware („Ransom“: englisch für „Lösegeld“). Die Drahtzieher dieser Gruppe sitzen in Russland und Kanada. Sie nutzten eine Schwachstelle bei Microsoft Exchange. Und da die Drucker über ein Fernwarte-Tool online waren, konnte so auch auf die anderen Geräte zugegriffen werden, die auf Standby waren.
Die Ausnahme: zwei ältere Computer. Warum? „Eine Ikea-Steckdose für 2,99 Euro mit rotem Ausschalter.“ Reinert lacht, weil es so skurril klingt.
Erpressung: Sofort übernimmt die Cybercrime-Einheit des LKA
Er alarmierte die Polizei, landete bei der Cybercrime-Einheit des Landeskriminalamtes. Auch das Landeszentrum für Datenschutz erhielt eine Nachricht. „Die Polizei kam dann am Nachmittag, hochgerüstet mit Waffen und schusssicheren Westen.“ Das sei so Standard, wurde ihm versichert.
Zusammen mit dem LKA loggte sich Patrick Reinert über den Thor-Browser im Darknet ein. Für ihn war das Neuland: „Ich wusste gar nicht, was man dort alles so bestellen kann.“ Er nahm tatsächlich Kontakt zum Hacker auf. „Der wollte 50.000 Dollar, zu zahlen in Bitcoin, innerhalb einer Woche.“ Als Beweis, dass er es ernst meinte, zeigte der Erpresser reale Daten, die ohne Zweifel von dem Kaltenkirchener Unternehmen waren. Die Drohung: Ohne Zahlung würde alles online zum Verkauf angeboten.
„Am Mittwoch konfiszierte das LKA dann die gesamte EDV. Ich stand mit nichts mehr da.“ Ein weiteres Mal wurde mit dem Hacker kommuniziert. „Herr Reinert, wir geben Ihnen zehn Prozent Discount.“
Überraschung: Eine Firma aus Hamburg verspricht, die Daten zu entschlüsseln
Dann wurde Reinert überrascht. Es meldete sich eine Firma aus Hamburg, die im Darknet gesehen hatte, wie die PLA-Daten offeriert wurden – für 75.000 Dollar. „Wir können Ihre Daten entschlüsseln“, versprach der Anrufer. „Unmöglich“, meinten die LKA-Beamten. Aber Reinert wollte nichts unversucht lassen. „Wir können es ja mal probieren.“
Ihm wurde eine Adresse in der Hamburger City genannt, in der Europa-Passage, ein Büro im dritten Stock. Mit dem verschlüsselten Backup von fünf Terabyte Daten machte er sich auf den Weg. „Am Empfang saßen drei topgestylte Damen. Herr Reinert, geben Sie uns Ihre Daten“, baten diese. Reinert war skeptisch, doch machte es trotzdem. „Abends um 20 Uhr kam der Anruf: Herr Reinert, wir können Ihre Daten entschlüsseln.“
Eine Dauer von vier Wochen würde 25.000 Euro kosten, je schneller, desto teurer. Doch er blieb misstrauisch, rief eine Wirtschaftsauskunftei an. Dort gingen sofort rote Lampen an: ein Geschäftsführer saß in Brasilien, der andere in Chile. Die Firma: Eine „Limited“, also im internationalen Raum das Äquivalent zur GmbH, mit 1000 Euro Einlage und 200.000 Euro Schulden. „Meine Schrott-Tonne war mehr wert.“
Mit dem Erpresser verhandelt er nicht
Nun war Zeit für Verhandlungen. Reinert wollte nicht in Vorkasse gehen, sondern auf Rechnung zahlen. Man hatte sich beraten: Mehr als 20.000 Euro seien ihm die Daten nicht wert. „Und an den Erpresser zahlen wir nicht.“
Einverstanden, sagten die Verschlüsselungs-Experten. Und luden zu einer virtuellen Demonstration ihres Könnens ein. Auch das Landeskriminalamt saß dabei, als über die Software TeamViewer das von PLA genutzte Handwerksprogramm geöffnet wurde. Wider Erwarten war die vom Hacker gesetzte Sperre außer Kraft gesetzt worden. „Wir haben uns dann virtuell die Daten angeguckt. Es war alles da.“
Das überzeugte ihn. Online überwies er zunächst 6000 Euro. Am nächsten Tag holte er den Datenträger in Hamburg ab, zahlte die zweite Tranche. Dann hatte Reinert zwei Tage Zeit, alles zu testen – und überwies dann den Rest. Insgesamt: 21.420 Euro inklusive Umsatzsteuer.
Den Empfang der Festplatte musste er nicht per Unterschrift quittieren. Ungewöhnlich – aber er nahm das so hin. Erst einmal landete das gerettete Backup für zwei Wochen auf einem Quarantäne-Server des LKA. Doch es gab keine Auffälligkeiten. „Wir hatten unsere Daten wieder.“ Was rettungslos verloren blieb, waren sämtliche Mails der Firma, da konnten auch die brasilianisch-chilenischen Digital-Nomaden nichts machen.
Die Reaktion des Landeszentrums für Datenschutz empört ihn
Das war aber längst nicht alles. Beim Landeszentrum für Datenschutz hatte Patrick Reinert eine Selbstanzeige aufgegeben. Denn rein formal handelte es sich um einen Verstoß von seiner Seite aus, schließlich waren ihm Daten verloren gegangen, die daraufhin im Darknet, also quasi öffentlich, verfügbar wurden. Ihm wurde vorgerechnet: Pro Kunde wäre das eine Geldbuße von 16 bis 25 Euro. „Das müssen Sie akzeptieren.“
Es wären um die 50.000 Euro gewesen. Reinert fiel aus allen Wolken. Erst nachdem er empört unter anderem Kaltenkirchens Bürgermeister Hanno Krause und sogar den „Spiegel“ eingeschaltet hatte und die Behörde von diesen kontaktiert wurde, lenkte das Amt ein. „Wohlwollend“ mache man erst einmal nichts.
Die Hardware von PLA wurde derweil komplett erneuert – Server, PC, Laptops, alle Speichermedien. Das war während der Corona-Zeit ein hoher Aufwand, schließlich rüsteten viele Unternehmen um, ermöglichten Mitarbeitern Home-Office. Für PLA beliefen sich die Kosten – zusammen mit der Entschlüsselung – auf rund 80.000 Euro.
Zeitgleich wurden mehr als 1000 Einrichtungen und Firmen attackiert
Was der Firmeninhaber erst viel später erfuhr: Er war nicht annähernd allein. In dieser einen Augustwoche gab es mehr als 1000 vergleichbare Angriffe allein in Schleswig-Holstein – auf Kliniken, Ärzte, Apotheken, andere Mittelständler, Stadtwerke, Energieversorger. Es muss davon ausgegangen werden: Nicht wenige Betroffene haben das Lösegeld gezahlt. „Ich würde niemals den Erpresser bezahlen, damit stütze ich ein System.“
Datenforensiker des LKA haben den Fall von PLA genau nachverfolgt. „Sie haben sekundengenau beschrieben, was der Hacker auf meinem Server gemacht hat“, so Patrick Reinert, „über welche Router und Knotenpunkte es anfing und ging – bis zur weißrussischen Grenze.“ Dort verläuft sich die Spur. „45 Minuten hatte der Hacker Zeit.“
„Zwei Wochen nur mit Papier gearbeitet“
Er wird emotional, wenn er sich an den Zusammenhalt in seiner Firma und bei Partnern erinnert nach dem Angriff. „Zwei Wochen lang haben wir nur mit Papier gearbeitet. Es war frustrierend, wie leicht Hacker auf unserem Server rumspielen können. Die Stimmung bei uns war unheimlich solidarisch. Die Kundenresonanz war klasse, auch der Banken, die Lieferanten waren hilfsbereit. Alle haben gesagt: Patrick, entspann‘ dich.“ Auch die Löhne konnten gezahlt werden, denn die Firmenkonten wurden nicht geplündert. Genauso konnten Kunden ihre Rechnungen weiter begleichen.
Was der Unternehmer gelernt hat: „Die Datensicherung ist das A und O.“ Wöchentlich, monatlich, im Quartal, im Halbjahr, jährlich – so regelmäßig wird bei PLA nun alles gesichert. Er sagt: Die Politik dürfe niemals für Bitcoin als verlässliche Digitalwährung werben. „Das ist steuerfreies Cash Money.“ Und damit für Kriminelle prädestiniert, findet Reinert. Und wenn sich die Schäden bei den Unternehmen auf mehrere Milliarden summieren, fehlen dem Staat erhebliche Gewerbesteuereinnahmen.
Hacker: Zum Jahreswechsel wurde die Firma erneut angegriffen
Und auch eine Versicherung gegen Cybercrime hat er jetzt – für 1593 Euro im Jahr und eine maximale Schadenssumme von 1 Million Euro. Wie wichtig der umfassende Schutz ist, sah er jetzt wieder zum Jahreswechsel. „Wir hatten jetzt am 30. Dezember einen Hacker-Angriff, am Montag danach schon wieder. Zurzeit werden massive Attacken aus Russland auf mittelständische Unternehmen gemeldet. Das LKA sagte mir: Nichts ist sicher.“
- Cyberangriffe: Hacker nehmen Hamburg ins Visier – Gefahr aus dem Netz
- HAW Hamburg: Cyberangriff – erste Entscheidungen im Krisenstab
- Hamburg: Cyberangriffe bei HAW und Friedhöfen – LKA ermittelt
Diesmal schlug der Versuch fehl. „Unsere Firewall musste geplättet werden, wir haben die Verbindung händisch per Knopfdruck wiederhergestellt, nach vier Stunden war alles wieder schick.“
Cyberkriminalität: Infoveranstaltung über IT-Sicherheit für Unternehmen
Über den Hacker-Angriff aus dem August 2021 und seine Erkenntnisse wird Reinert auf einem Workshop am Donnerstag, 26. Januar, 15 bis 17.30 Uhr (über Zoom), berichten. Veranstalter sind die Wirtschaftsentwicklungsgesellschaft des Kreises, die Initiative Mittelstand-Digital und die Gemeinde Henstedt-Ulzburg.
In fünf Themenbereichen sprechen zudem Experten aus der Datentechnik, vom Mittelstand-Digital-Zentrum in Chemnitz, einer Unternehmensberatung, vom Landeskriminalamt und der Transferstelle IT-Sicherheit über Schwachstellen, Maßnahmen, Cloud-Sicherung, das Phänomen Cyberkriminalität und Prävention. Um eine Anmeldung über wks-se.de oder anmeldung@wks-se.de wird gebeten. Ein Zoom-Link wird dann zugeschickt.