Sie verwenden
iz.de als
Gastnutzer
Alle Leistungen ansehen

{{vm.izPaket[vm.user.izPaket].title}}

Ihre Leistungen

Digitales | 29.08.2019

Aus IZ35/2019, S. 11

Von Robin Göckes

In diesem Artikel:
  • Unternehmen:
    Alpina Hausverwaltung
  • Organisationen:
    Bundeskriminalamt (BKA), Bundesfachverband der Immobilienverwalter (BVI), Polizei, Landeskriminalamt München
  • Personen:
    Martin Metzger
  • Immobilienart:
    Büro

In den Fängen der Datenerpresser

Quelle: Pixabay, Urheber: Pexels
Werden die Daten eines Unternehmens verschlüsselt, kann schnell die gesamte wirtschaftliche Existenz auf dem Spiel stehen.

Quelle: Pixabay, Urheber: Pexels

Digitale Daten sind unverzichtbarer Bestandteil des täglichen Geschäfts in der Immobilienbranche. Doch längst nicht immer werden sie so gut geschützt, wie sie müssten. Eine Hausverwaltung aus Rosenheim hat während einer Onlineerpressung am eigenen Leib erfahren, wie schnell der Verlust der Daten die wirtschaftliche Existenz gefährden kann.

Als Martin Metzger an einem Mittwochmorgen Anfang März um kurz nach 7 Uhr den Rechner auf seinem Schreibtisch startet und keinen Zugriff auf seine Dateien erhält, glaubt er an ein kleineres IT-Problem. "Hat man ja immer mal wieder. Und wir haben eine Bürogemeinschaft mit einem Informatiker, der konnte bisher immer helfen", denkt er sich. Der Geschäftsführer der Hausverwaltung Alpina in Rosenheim bleibt zuversichtlich, doch noch ganz normal in den Arbeitstag starten zu können - wenn auch mit etwas Verspätung. Doch da irrt er sich.

Um kurz vor 8 Uhr nimmt sich der hauseigene Netzwerkadministrator des Problems an. Er stellt fest: Die Endungen aller Dateien, die er und seine Kollegen aufrufen wollen, lauten plötzlich "no_more_ransom". Der Verdacht schleicht sich ein, dass das doch kein ganz kleines IT-Problemchen sein könnte, sondern etwas Größeres. Vier Informatiker machen sich auf Fehlersuche und müssen erst einmal feststellen, was alles nicht mehr funktioniert.

Um 10 Uhr wird klar: Der Server und sämtliche Spiegelplatten sowie Back-ups sind unbrauchbar. Spätestens gegen Mittag wird dann klar: Metzger und seine Firma sind Opfer eines Cybererpressers geworden, der die Daten so verschlüsselt hat, dass niemand an sie herankommt. Um 12.30 Uhr wendet sich der Geschäftsführer an die Abteilung Cybersicherheit des Landeskriminalamts (LKA) München.

Um 13.15 Uhr nehmen zwei Ermittler des LKA ihre Arbeit in den Räumen der Hausverwaltung auf. "Die haben herausgefunden, dass unser Netzwerk über einen VPN-Tunnel, der von unseren Mitarbeitern für die Arbeit im Homeoffice genutzt wird, angegriffen worden ist", berichtet Metzger. In der Folge sind die gesammelten Stammdaten, Verträge, Dokumente, Belege, der Terminkalender ebenso wie das Onlinebanking nicht erreichbar. Die Rückverfolgung der digitalen Spuren des Erpressers führt nach Russland in den Großraum Moskau. Eine interessante Information, die Metzger und seinen Kollegen in ihrer akuten Lage jedoch auch nicht weiterhilft. Denn wie die Daten entschlüsselt werden könnten, wissen weder die Informatiker, die an dem Problem arbeiten, noch die Ermittler des LKA.

"In dieser Situation merkt man erst, wie machtlos man eigentlich ist, wenn der Zugriff auf die digitalen Daten weg ist, mit denen ansonsten jeden Tag ganz selbstverständlich gearbeitet werden konnte", erinnert sich Metzger heute noch an die ersten Stunden der Erpressung, aus denen Tage werden sollten. "Jeder hat uns gesagt, wir müssten nur ein halbes Jahr warten, dann wären wir technisch so weit, uns unsere Daten zurückzuholen. Aber das hätte uns ja komplett vom Markt genommen. Das wäre existenzbedrohend gewesen." Auch deshalb sei schließlich entgegen dem ausdrücklichen Rats der Ermittler des LKA die Entscheidung getroffen worden, sich auf verschlungenen Wegen per E-Mail mit dem Cybererpresser in Verbindung zu setzen.

Um 16.15 Uhr nimmt ein Informatiker Kontakt mit dem Erpresser per E-Mail in englischer Sprache auf. Es beginnen bange Stunden des Wartens auf eine Antwort, auf eine konkrete Forderung. "In der Nacht auf Donnerstag hat keiner von uns richtig geschlafen", erinnert sich Metzger.

Der zweite Tag der Erpressung beginnt mit einer Antwort des Kriminellen, in der er seine Forderung für die Freigabe der Daten der Hausverwaltung nennt. Er verlangt den Gegenwert von 2.500 USD in Bitcoin und sichert zu, im Gegenzug innerhalb von einer Frist von zehn Stunden eine Datei zu senden, mit der sich die Daten des Unternehmens wieder entschlüsseln lassen. Metzger und sein Team gehen auf die Forderungen ein und informieren danach das LKA über ihren Schritt. "Die waren nicht begeistert. Sie hatten uns ja davor gewarnt, diesen Schritt zu gehen. Unter anderem mit dem Argument, dass wir dem Erpresser kein Erfolgserlebnis verschaffen sollten. Das ist natürlich richtig. Aber für die Firma stand die Existenz auf dem Spiel", erinnert sich Metzger.

Wieder können Metzger und sein Team nur warten. Und darauf hoffen, dass der Kriminelle sein Versprechen hält. Um 20 Uhr am Donnerstag läuft die zehnstündige Frist ab - und nichts passiert. "Da machte sich die Depression breit. Und wir stellten uns auf eine weitere schlaflose Nacht ein", sagt Metzger. Es dauert bis Freitagabend ehe der Täter endlich die erhoffte Datei liefert, mit der sich die Daten des Unternehmens wieder entschlüsseln lassen. "Um kurz vor 23 Uhr am Freitagabend haben unsere Informatiker dann ein Foto an die Gesellschafter verschickt, auf dem sie mit Sekt anstoßen und befreit lachen. Da war klar, dass wir es geschafft haben", erinnert sich Metzger.

Für die Hausverwaltung Alpina ist die Erpressung damit noch einmal glimpflich ausgegangen. Drei Tage konnten die Mitarbeiter nicht arbeiten, der finanzielle Verlust von 2.500 USD als Lösegeldzahlung wiegt weit weniger schwer als die Konsequenzen, die dem Unternehmen gedroht hätten, wären die Daten verschlüsselt geblieben. "Im schlimmsten Fall wären nicht weniger als 10.000 Arbeitsstunden vernichtet worden und wir hätten uns bei unseren Kunden abmelden können", sagt Metzger, der die Erpressung rückblickend vor allem als Weckruf sieht. "Wir haben in Bezug auf unsere Datensicherheit viel zu viele Fehler gemacht. Wir waren anfällig und haben das Thema Cyberkriminalität unterschätzt", erklärt er. So seien etwa die Back-ups der Systeme auf externen Festplatten viel zu alt gewesen, um mit ihnen weiterarbeiten zu können. Damit jedoch ist nun Schluss. Knapp 20.000 Euro hat das Unternehmen von Metzger in ein umfassendes Update seiner IT-Sicherheitsinfrastruktur investiert, Schlupflöcher ge-schlossen und die Back-up-Praxis ausgebaut.

Mit seinen größten Kunden sei das Unternehmen während der Erpressung offen umgegangen. "Die haben sehr entspannt reagiert und empfanden es vor allem als fair, dass wir ihnen ehrlich gesagt haben, was bei uns los ist", sagt Metzger. Der Geschäftsführer ist sich sicher, dass ähnliche Erpressungsfälle viel öfter vorkommen als bekannt wird. Nur würden diese von den Betroffenen totgeschwiegen, um nicht in ein negatives Licht zu geraten. "Aber wenn keiner darüber spricht, entsteht auch kein Problembewusstsein. Deshalb gehen wir mit der Erpressung bei uns offensiv um."

Als Teil dieser Strategie berichtet Metzger nun auch bei den Landesverbänden des Bundesfachverbands der Immobilienverwalter (BVI) von den bangen Stunden der Erpressung. "Wir wollen sensibilisieren, damit in Zukunft möglichst wenige unserer Kollegen in diese Situation kommen", sagt der Alpina-Geschäftsführer, der auch Vorstandsmitglied im BVI ist. Schließlich gebe es gute Möglichkeiten sich zu schützen. Nicht zuletzt eine spezielle Versicherung. Die sei seinem Unternehmen im vergangenen Jahr noch angeboten worden - und er hatte abgelehnt. "Die hätte uns damals um die 500 Euro gekostet. Das ist wirklich gut angelegtes Geld, wie ich heute weiß."

Hilfe für Erpressungsopfer

Der derzeit aktuellste Lagebericht des Bundeskriminalamts (BKA) zu Cybercrime verzeichnet 2.772 Fälle von erpresserischer Ransomware innerhalb des Jahres 2017, die dem BKA von den Ländern gemeldet wurden. Das BKA spricht im Hinblick auf die eigenen Statistiken jedoch von einer hohen Dunkelziffer. Das IT-Sicherheitsunternehmen Norton geht von einer Schadenssumme von 2,2 Mrd. Euro im Jahr 2017 in Deutschland aus. Einer der bekanntesten Fälle der vergangenen Jahre war die Verbreitung der Verschlüsselungssoftware Wannacry, die Schätzungen zufolge mehr als 230.000 Systeme weltweit infizierte, darunter etwa die Rechner der Deutschen Bahn. Die Polizei empfiehlt Opfern einer Cybererpressung, nicht auf die Forderungen der Kriminellen einzugehen. Auch, da keine Garantie besteht, dass die Daten tatsächlich wieder freigegeben werden. Betroffene sollen sich an die Polizei wenden und können auch versuchen, über das Projekt "No more ransom", eine Initiative der National High Tech Crime Unit der niederländischen Polizei, Europols europäischem Cybercrime Center und des IT-Sicherheitsunternehmens McAfee, Hilfe zu bekommen. Dort werden passende Entschlüsselungscodes für bekannte Erpressungssoftware zur Verfügung gestellt. rgo

In Netzwerken weiterempfehlen

Kostenfrei für Abonnenten

Alle Zwangsversteigerungen in Deutschland

Unser Service für IZ-Abonnenten:
Alle Zwangsversteigerungen in Deutschland - täglich aktuell, übersichtlich geordnet und kostenfrei!