Cyberangriff: Lübecker IT-Unternehmer trickst Erpresser aus

von Ole ter Wey

Wie kommuniziert man am besten mit Erpressern aus dem Internet? Drohend - oder vielleicht besser flehend? Fabian Schmidt aus Lübeck stand im vergangenen Jahr vor genau dieser Frage, als sein Unternehmen gehackt wurde. 50.000 Euro wollten die anonymen Täter haben, sonst würden sie gestohlene sensible Unternehmensdaten im Darknet veröffentlichen. Und das ausgerechnet bei einer Firma, die mit dem Versprechen wirbt: "Wir zeigen Ihnen, wie effektive und sichere IT geht!" Bei den Verhandlungen über den Messenger-Dienst Telegram entschied sich der Geschäftsführer des IT-Unternehmens Melting Mind für eine andere Tonart: Stets freundlich, ja fast zuvorkommend trat er gegenüber seinen Erpressern auf.

"Also, dass ich diese Leute beschissen finde und das, was sie machen, noch viel mehr, ist ja klar. Aber beide Seiten haben ja ein Interesse. Und wenn man vorwärts kommen möchte in einer Verhandlung, muss man erstmal grundsätzlich freundlich sein." Fabian Schmidt, Chef des IT-Unternehmens Melting Mind

Gepaart mit gespielter Naivität und absichtlich schlechtem Englisch ging seine Taktik am Ende auf, wie er sagt. Heißt: Schmidt bezahlte wenig und gewann genug Zeit, um alle seine Kunden rechtzeitig warnen zu können. Der Lübecker Unternehmer war eines von vielen Hacker-Opfern.

Fast 4.000 Cybercrime-Fälle in SH im vergangenen Jahr

Das Landeskriminalamt hat in seiner kürzlich erschienenen Kriminalstatistik für das Jahr 2024 genau 3.789 Cybercrime-Fälle ausgewiesen. Das sind rund 500 mehr als noch im Jahr zuvor. Einer dieser Fälle in der Statistik war der Datenklau eben bei Fabian Schmidt. 1999 gründete er ein IT-Unternehmen, aktuell hat er zehn Mitarbeitende. "Es war ein Sonntag. Ich war gerade auf der Rückfahrt von einer Veranstaltung und habe dann eine E-Mail vom BSI gesehen. Da wurde mir klar: Es ist wirklich etwas passiert."

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, was die Hacker ihm zuvor auch schon per E-Mail geschrieben haben: Eine unbestimmte Menge Daten sind von den Servern des IT-Unternehmens gestohlen worden. "Solche E-Mails von angeblichen Hackern bekommen wir ständig, fast jeden Tag. Deshalb hatte ich die vorher nicht ernst genommen", erinnert sich Schmidt. Diesmal war es aber ernst.

Erpresser bieten "Rund-um-die-Uhr-Service"

Noch an jenem Sonntag traf er sich mit einer Kollegin, um gemeinsam die Speicher der Server durchzugehen. Bis zu 80 Gigabyte Daten könnten betroffen sein, ergab ihre erste Analyse, also auch viele der Firmenkunden. Die Forderungen der Erpresser waren in der E-Mail klar formuliert: 50.000 Euro in Bitcoin soll Schmidt bis zu einem bestimmten Datum überweisen, sonst würden die Daten veröffentlicht. Und als kleine "Serviceleistung" der Erpresser konnte Schmidt auf einer Seite im Darknet jederzeit einsehen, wie viel Zeit er noch für die Überweisung hat. Dort tickte ein Countdown.

170 Milliarden Euro Schaden durch Cyberangriffe

Überhaupt schienen die Erpresser von Fabian Schmidt großen Wert auf "Service" zu legen, ganz ähnlich wie große legale Unternehmen. In ihrer -E-Mail war ein Kontakt auf Telegram für Nachfragen hinterlegt, täglich 24 Stunden erreichbar. Den Leiter der Cybercrime-Abteilung vom Bundeskriminalamt, Carsten Meywirth, wundert dies nicht, wie er NDR Schleswig-Holstein sagt.

"Cybercrime ist ein riesiges Business. Das hat schon lange nichts mehr mit Script-Kiddies im Kapuzenpullover zu tun. Das ist ein knallhartes Geschäft." Carsten Meywirth, BKA-Experte für Cyberkriminalität

Laut einer Studie des Branchenverbands Bitkom haben deutsche Unternehmen im Jahr 2024 durch Cyberangriffe wirtschaftliche Schäden in Höhe von rund 170 Milliarden Euro erlitten.

Schmidt spielt den "hardcore überforderten Geschäftsführer""

Fabian Schmidt wollte den wirtschaftlichen Schaden für sein Unternehmen natürlich möglichst gering halten. Also versuchte er, durch Verhandlungen mit den Erpressern Zeit zu gewinnen, um seine Kunden rechtzeitig warnen zu können und ihnen beim Sichern der Daten zu helfen. Auf Telegram spielte er den "hardcore überforderten Geschäftsführer, der keinen Plan hat. Dabei hatten wir ja einen Plan", erzählt er. "Wir haben teilweise absichtlich falsches Englisch benutzt, um die Kommunikation zu verlangsamen. Außerdem haben wir gesagt, dass wir große Probleme hätten, an das Geld zu kommen." Und bei alledem gab sich Schmidt stets freundlich, bedankte sich zum Teil sogar überschwänglich.

Clevere Verhandlungstaktik geht auf

So gelang es ihm, eine Ratenzahlung auszuhandeln. Statt die kompletten 50.000 Euro zahlte der Unternehmer eine erste Rate von 3.000 Euro. Und noch bevor die zweite Rate fällig wurde, hatte er all seine Kunden warnen und ihnen beim Sichern der Daten helfen können. Die zweite Rate zahlte er dann nicht mehr. "Tatsächlich wurden die gestohlenen Daten dann veröffentlicht. Es waren nur ein paar Megabyte", sagt Schmidt. Die fehlerhafte Schutzsoftware sei gefunden und ausgetauscht worden. Größeren wirtschaftlichen Schaden konnte er für sein Unternehmen abwenden. Die Täter habe die Polizei jedoch noch nicht fassen können, so Schmidt.

Dass sein Unternehmen oder die ganze Branche durch Hacker an Reputation verlieren könnte, beobachtet er nicht. "Ganz im Gegenteil, wir beraten ja zum Thema IT-Sicherheit, und viele unserer Kunden sind nach diesem Cyberangriff auf uns zugekommen und wollten mehr Beratung. Niemand ist vor diesen Angriffen sicher, das hat man ja jetzt gesehen."

Hohe Dunkelziffer: Viele Betroffene erstatten keine Anzeige

Die Industrie- und Handelskammer (IHK) Lübeck rät betroffenen Unternehmen, sich bei den Verhandlungen mit den Erpressern Unterstützung zu holen. Eine gute Adresse sei die Zentrale Ansprechstelle Cybercrime (ZAC) in Kiel - und betroffene Unternehmen gebe es viele. "Eine aktuelle IHK-Umfrage in ganz Deutschland hat gezeigt, dass rund 20 Prozent aller Unternehmen entweder Ziel einer Cyberattacke waren oder glauben, ein Ziel gewesen zu sein. Auf Schleswig-Holstein runtergebrochen sehen die Zahlen ähnlich aus", berichtet Christian Wegener von der IHK. Das Landeskrimininalamt bestätigt auf Anfrage von NDR Schleswig-Holstein, dass es vermutlich deutlich mehr Cyberangriffe gegeben hat, als in der Kriminalstatistik erfasst wurden. Viele Betroffene hätten keine Anzeige erstattet.

"Wir müssen aus dieser Schmuddelecke raus"

Fabian Schmidt möchte daran etwas ändern. Deshalb hat er sich entschieden, seinen Fall publik zu machen. "Wir müssen aus dieser Schmuddelecke raus. Das wird jedem in seiner Zeit als Unternehmer passieren und wir müssen da mehr drüber sprechen." Denn wehrlos ausgeliefert seien Unternehmer wie er den Hackern definitiv nicht. Cleverness zum Beispiel kann helfen. Das beweist sein Fall.

