Praxisbericht: Wie es ist, Opfer von Cybererpressung zu werden
Stellen Sie sich vor, Sie fahren morgens die Systeme hoch, sind voller Tatendrang und freuen sich auf einen erfolgreichen Arbeitstag. Dann der Schock – Sie lesen: "All your work and personal files have been encrypted" auf Ihrem Bildschirm. Anfang April ist das dem Fensterbauunternehmen Sorpetaler passiert. Im Interview wollten wir von Stefan Appelhans (34), Vertriebsleiter und zuständig für die Digitalentwicklung erfahren, wie das Unternehmen auf die Cybererpressung (eine Form von Cyberterror) reagiert hat.
Herr Appelhans, ein Hackerangriff legte vor ein paar Wochen den Sorpetaler Fensterbau lahm. Sie wurden erpresst, Geld zu bezahlen, um wieder auf Ihre Daten zugreifen zu können. Haben Sie bezahlt?
Stefan Appelhans: Der Angriff ereignete sich Anfang April. Wir konnten morgens in der Früh unser Bearbeitungszentrum gar nicht mehr hochfahren, auch unsere Konstruktionsabteilung war direkt betroffen.
Wir wollten uns natürlich alle Optionen offen lassen, was bedeutete, dass wir auch Kontakt mit dem Erpresser aufgenommen haben. Es ging ja darum zu erfahren, welche Lösegeldsummen im Raum standen. Der Erpresser forderte 1,2 Bitcoins, also beim Wechselkurs an jenem Tag rund 5000 Euro. Die Summe galt jedoch nur, wenn wir sofort am ersten Tag bezahlen.
Am darauffolgenden Tag wären schon rund 10.000 Euro fällig gewesen. Die Polizei war zwar hilfsbereit, aber es war auch klar, dass sie in der Kürze der Zeit nicht viel machen können. Letztlich haben wir uns selbst geholfen und unsere Back-up-Daten vom Vortag aufgespielt. Bezahlt haben wir also nicht. Nach einem halben Ausfalltag ging es beim Bearbeitungszentrum wieder weiter.
Bis zur kompletten Wiederherstellung dauerte es jedoch Tage. Ein paar Aufträge mussten wir noch einmal neu eingeben. Der Schaden hielt sich aber noch in Grenzen. Andere Firmen haben nach einem Angriff teilweise mehrere Tage dafür gebraucht. Das kann sich dann auch schnell existenzbedrohend darstellen.
Welche Dimension hatte der Angriff? Was schätzen Sie, wie hoch ist der dadurch entstandene Schaden?
Die Dimension des Angriffs hat uns alle überrascht. Es waren mehrere Server betroffen. Alles, worauf der Trojaner zugreifen konnte, wurde auch verschlüsselt. Das galt für die Produktion und auch für die Entwicklung und Verwaltung. Wir waren total blockiert. In der Frühstückspause habe ich unsere Mitarbeiter informiert.
Die Ratlosigkeit und zum Teil auch Verärgerung war groß in der Belegschaft, dass man jetzt ausgebremst werde und abhängig von den IT-Systemen sei. Den Schaden selbst mit den Ausfallzeiten beziffern wir auf bis zu 30.000 Euro.
Wissen Sie, auf welchem Weg der Hacker in Ihr System gelangen konnte?
Wir sind uns sehr sicher, dass er über eine Sicherheitslücke eines Außendienstmitarbeiters kam, der noch mit einem Windows 7-Betriebssystem gearbeitet hatte. Dieser Mitarbeiter klinkt sich über einen Remote-Zugriff in unsere Systeme ein. Der Trojaner hat dann irgendwann zugeschlagen und ist in der Nacht durch unser System geschlichen.
Haben Sie aus diesem Hackerangriff Ihre Lehren gezogen? Haben Sie Ihre Cybersicherheit erhöht?
Wir hatten ja zum Glück die Dateien auf externen Festplatten gespeichert. Ich habe mich zwar immer gefragt, ob dieser Aufwand wirklich nötig ist. Jetzt wurde ich eines besseren belehrt, denn wir haben die Produktion dadurch relativ schnell wieder hochfahren können.
Wichtig ist tatsächlich diese physische Trennung der Daten im Back-up. Unsere Server haben wir nach dem Angriff noch weiter aufgerüstet und auch die Zugriffsrechte der Mitarbeiter besser organisiert. Früher war ich bei Weitem nicht so sensibilisiert und gutgläubiger.
Vielen Dank für Ihre Schilderungen!
Das Gespräch führte GLASWELT-Chefredakteur Daniel Mund. Das Interview ist zuerst erschienen in GLASWELT 07/2019.