Sundern. Cyber-Kriminelle legten die Firma von Stefan Appelhans in Sundern lahm und forderten Geld. Ein Fall, wie er sich fast täglich abspielt.
„Ohnmacht.“ Dieses Wort beschreibe treffend, so Stefan Appelhans, wie er sich fühlte, als er vor dem stillgelegten Herzstück seiner Firma stand. Über Nacht hatten Hacker die Computer des Unternehmens Sorpetaler Fensterbau in Sundern übernommen. Die verschlüsselte Konstruktions-Software der Profilmaschine unerreichbar, Fräsen, Sägen und Hobel verweigerten ihren Dienst. „Ohne diese Maschine war die gesamte Produktion nahezu lahmgelegt“, berichtet der 34 Jahre alte Juniorchef.
„Es war ein Donnerstag“, erinnert sich der Sauerländer. Am frühen Morgen des 4. April hatte ihn eine Mitarbeiterin angerufen. „Hier geht gar nichts mehr“, schallte es aus dem Mikro seines Smartphones.
Als Appelhans in der Firma eintraf, stand ein Großteil der 65 Mitarbeiter in den Gängen und im Büro und trank Kaffee. „Keiner arbeitete.“ Die Stimmung beschreibt der Juniorchef als eine Mischung aus Verunsicherung, Unmut und Schock. Schnell habe festgestanden: Hacker waren per Mail-Trojaner ins Netz gelangt und hatten die Daten der Firma verschlüsselt. Darunter auch die Auftragssoftware. „Im ersten Moment war ich hilflos“, sagt Appelhans. Um seinen unter Hochdruck tätigen IT-Experten habe er einen großen Bogen gemacht. „Der war so fokussiert, das Problem zu lösen, das er mich kaum wahrnahm.“
Cyberkriminelle fordern Bitcoins
Die Hacker hatten ihre Forderungen gleich im Schadprogramm „Nemesis“ verewigt: „Ihre gesamte Arbeit und ihre persönlichen Daten sind verschlüsselt“, stand dort auf Englisch, inklusive Mail-Adresse. Um die Daten wiederherzustellen, müsse eine spezielle Software gekauft werden. „Wir haben den Erpressern geschrieben, weil wir nicht genau wussten, ob wir über unsere Backups (Sicherheitskopien) alle wichtigen Daten retten konnten.“ Dreimal hat Appelhans mit den Cyberkriminellen, die 1,2 Bitcoins (5000 Euro) forderten, Mails ausgetauscht. Die drohten, bei Nichtzahlung am ersten Tag den Preis um fast ein Drittel zu erhöhen. Der 34-Jährige gab nicht nach und erstattete Anzeige.
Nach sechs Stunden war es dem IT-Sicherheitsexperten der Firma gelungen, die Profilmaschine wieder in Gang zu bringen. Drei Tage dauerte es, bis der Betrieb wieder so lief wie vor dem Angriff. „Und bis heute sind noch nicht alle Büro-Ordner wieder hergestellt“, erzählt der Juniorchef. Auf 20.000 bis 30.000 Euro schätzt er den Schaden. Für kleinere Betriebe gehe es in solchen Fällen oft um die Existenz.
Stefan Appelhans vermutet als Ausgangspunkt der Attacke einen Außendienst-Laptop . „Windows 7 hatte eine Sicherheitslücke, die wurde wohl ausgenutzt.“
IT-Forensiker empfiehlt mehr Schutz
Für Karsten Zimmer, einem der renommiertesten IT-Forensiker Deutschlands, kein Einzelfall: „Ich bekomme fast jeden Tag Anrufe von Unternehmern, die dringend Hilfe benötigen, weil Hacker die Produktion gefährden.“ Vor allem mittelständische Unternehmen würden immer öfter gezielt angegriffen, so der Mendener.
Laut Zimmer bereitet zurzeit vor allem der seit 2016 weiterentwickelte Trojaner „Emotet“ Firmen Probleme. „Der sammelt über Wochen und Monate Informationen, lädt Programme nach und sendet sogar Informationen an Dritte.“ Der Schaden durch Cyberkriminelle betrage für 2017 in Deutschland 50 Millionen Euro.
Der IT-Forensiker empfiehlt, die elektronische Datenverarbeitung im Unternehmen nicht länger stiefmütterlich zu behandeln, nur weil sie nicht sichtbar zum täglichen Erfolg beitrage. Eine mit der Fritzbox mitgelieferte Firewall reiche jedenfalls nicht aus. Backups könnten immer besser verschlüsselt werden, wichtige Daten sollten zusätzlich auf vom Netzwerk abgekoppelten Festplatten liegen.
Gut organisierte Kriminelle
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Monaten verstärkt vor „Emotet“. „Es gibt eine Bedrohungslage auf einem konstant hohen Niveau“, so Matthias Gärtner. Die perfide Spezialität des Trojaners sei neben dem Verschlüsseln von Dateien das Löschen von Backups. „Gerade das soll die Zahlungsbereitschaft der Erpressten erhöhen.“ Meist würden zwei bis drei Bitcoins gefordert, „die 7000 bis 20.000 Euro entsprechen“. Hinter den Erpressern, so Gärtner, steckten oft gut organisierte Kriminelle, die im Darknet einen eigenen Markt eröffnet haben. „Dort werden Hacker angeboten, inklusive Adresslisten von vermeintlich schlecht vor Cyberkriminalität gesicherten Firmen.“ Das BSI legt Unternehmern ans Herz, auch auf kleine IT-Sicherheitsvorfälle zu reagieren, da es sich um vorbereitende Angriffe handeln könnte. Auch der Abschluss einer Cyberversicherung sei sinnvoll.
Einmaliges Forschungsprojekt
Um den aufrüstenden Cyberkriminellen etwas entgegenzusetzen soll noch im Herbst an der Hochschule Hamm-Lippstadt ein in Deutschland einmaliges Forschungsprojekt mit dem sperrigen Namen „KMUeinfachSICHER“ an den Start gehen. Projektleiter Professor Dr. Matthias Mayer: „Gemeinsam mit der Universität Paderborn wollen wir Verfahren und Maßnahmen entwickeln, die es insbesondere kleinen und mittleren Unternehmen (KMU) ermöglichen, mit geringem Aufwand ihre IT-Sicherheit signifikant zu verbessern.“ Zu den Maßnahmenpaketen gehören unter anderem ein Risikobewertungsverfahren für Unternehmen und Lernvideos, die auf entsprechenden Plattformen zur Verfügung gestellt werden.
„Krass“, so bezeichnet Stefan Appelhans noch heute die damaligen Erlebnisse in seiner Firma. „Mittlerweile haben wir aufgerüstet.“ Zwar gebe es keine 100-prozentige Sicherheit, „aber so leicht wie am 4. April wird es für Hacker nicht mehr“.