Millionen-Schaden nach Hacker-Angriff auf Flensburger Firma
Angriffe auf die IT-Systeme von Firmen kommen auch in Schleswig-Holstein immer häufiger vor. Opfer sind nicht nur Konzerne, auch kleinere Unternehmen, sogar aus dem Sozialbereich. Erlebt haben das auch die Mürwiker aus Flensburg.
Die Angreifer waren schon länger da. Unbemerkt hatten sie sich ihre Wege gebahnt. Sie hatten alles für diesen Tag vorbereitet. Es ist der 12. Februar 2021, als Mitarbeiter der Mürwiker bemerken, dass mit ihrem IT-System etwas nicht stimmt – sie können sich nicht anmelden. Ihr Unternehmen betreibt unter anderem Werkstätten, Wohnheime und Beratungsstellen für Menschen mit Behinderungen. Später erinnert sich Geschäftsführer Thomas Stengel, dass alle zunächst von einem "kleinen Problem" ausgehen. Sein erster Gedanke: Vielleicht ein Virus, mit dem man nach einer Woche durch ist. Doch schon im Laufe des Tages, erinnert sich Stengel, war klar: "Wir sind einem echten umfassenden Hacker-Angriff zum Opfer gefallen." Man könnte auch sagen: Einer Millionen-Erpressung. "Das ist existenzbedrohend", sagt Stengel.
Denn die Angreifer haben alles verschlüsselt, was am Netzwerk der Firma und ihrer neun Tochterunternehmen hängt. Sie fordern, so wird sich später in den Verhandlungen herausstellen, umgerechnet 2,3 Millionen Euro für die passende Entschlüsselungssoftware. Nicht nur die Arbeitsplatzrechner sind betroffen, auch die Server und alle Geräte, die darauf zugreifen. Auch die Backups – Sicherungskopien - sind unbrauchbar. Das Unternehmen mit seinen 40 Betriebsstätten war nach eigenen Angaben sehr weit in der Digitalisierung fortgeschritten, vieles ging papierlos. Auf den Rechnern liefen viele Spezialanwendungen. Mails, Kontaktdaten, Mitarbeiterverzeichnisse, Kundendaten, Dokumentation, Buchhaltung – plötzlich war alles verschlüsselt. "Wir hatten eigentlich gar nichts mehr", sagt Stengel.
Viele Firmen informieren nicht mal die Polizei
Bei den Mürwikern war eine sogenannte Ransomware am Werk. Die Hinterleute dringen in so einem Fall in Netzwerke ein, verschlüsseln Rechner und fordern Lösegeld (engl. ransom) für die Entschlüsselung. Unternehmen und Behörden, die sich mit IT-Sicherheit beschäftigen, berichten, dass solche Angriffe stark zunehmen und immer noch die größte Bedrohung im Bereich der IT-Sicherheit sind. Die Kriminellen hinter den Angriffen verschleiern ihre Spuren, operieren aus dem Darknet und lassen sich mit Kryptowährungen wie Bitcoin bezahlen. Die Aufklärungsquoten sind äußerst niedrig, die Erträge hoch – ein eigener Bereich der organisierten Kriminalität ist entstanden, der quasi industriell arbeitet, wie Sicherheitsspezialisten berichten. "Uns überrollt das Phänomen – deutschlandweit, EU-weit und weltweit", sagt Lars Oeffner vom LKA Schleswig-Holstein. Viele Firmen informieren nicht mal die Polizei, öffentlich darüber reden will quasi niemand, alle fürchten einen Image-Schaden.
Die Verhandlungen mit den Erpressern führen bei den Mürwikern externe Spezialisten, das Unternehmen schaltet auch die Polizei ein. Das LKA übernimmt den Fall, laut Stengel kommt auch das BKA dazu, sogar das FBI habe einen Blick auf den Fall geworfen. Die verwendete Software Ryuk sorgt weltweit für Ärger – und großen Schaden. "Die Menschen vom LKA und BKA, haben uns empfohlen, nicht zu bezahlen", sagt Stengel. In anderen Fällen hätten sie den Schlüssel nicht herausgerückt, trotz der Lösegeldzahlung. Damit fällt diese Option für das Management aus. Die Mürwiker zahlen nicht. Ihre Daten bekommen sie nicht zurück.
"Verdachtsmomente gegen eine russische Tätergruppe"
Mit wem die Mürwiker da verhandelt haben und wer hinter dem Angriff steckt, ist bis heute nicht klar. "Es gibt Verdachtsmomente gegen eine russische Tätergruppe", sagt Peter Müller-Rakow von der zuständigen Schwerpunkt-Staatsanwaltschaft für Cybercrime in Itzehoe. Die Ermittlungen seien noch nicht abgeschlossen. Bei der verwendeten Software Ryuk gebe es Hinweise, dass dahinter eine russische Gruppe stehe, bestätigt auch Christine Schönig. Sie arbeitet für die weltweit operierende IT-Sicherheitsfirma Checkpoint, die sich auch darauf spezialisiert, solche Angriffe abzuwehren. Spezialisten des Unternehmens analysieren die gängigste Schadsoftware und suchen Muster. Doch herauszufinden, wer genau hinter welchem Angriff steckt, ist nicht einfach: teilweise nutzen verschiedene Gruppen die gleiche Erpressungssoftware.
Ohne Entschlüsselungssoftware bleiben die Daten der Mürwiker verschlüsselt, Rettungsversuche von Spezialfirmen scheitern – die Dateien sind weg. Das Unternehmen muss davon ausgehen, dass auf allen Geräten die Schadsoftware installiert ist, alle müssen komplett neu aufgesetzt werden. Ein Totalschaden. Der Wiederaufbau dauert. Am Anfang müssen Mitarbeiter zuhause bleiben, weil ihre Rechner nicht funktionierten, bei einigen gibt es Angst, ob sie jemals wiederkommen dürfen.
Mitarbeitende müssen Job neu lernen - wie er früher war
"Wir hatten zwar keine IT, waren aber ein funktionierendes Unternehmen", erinnert sich Stengel an diese Zeit. "Wir haben wieder viel auf Papier gearbeitet". Ein Beispiel: Rechnungen, die früher von den Verantwortlichen in einer Software freigegeben wurden, gehen nun wieder den langsamen Weg per Hauspost zwischen den Büros. Die befinden sich im Zweifel an verschiedenen Standorten - in Flensburg, im nördlichen Kreis Schleswig-Flensburg und in und um Niebüll sind die Mürwiker aktiv. Aus den sonst üblichen sieben Tagen Bearbeitungszeit für Rechnungen werden so schon mal bis zu 30. Und: Manche Mitarbeiter in der Verwaltung kennen die analogen Abläufe nicht mehr, müssen ihren Job fast noch mal neu lernen – so wie er früher mal war.
Und für vieles im Unternehmen fehlt nun einfach die Grundlage: Ganz exakte Lohnzahlungen etwa – ohne Personalakten und Lohnbuchhaltungssoftware - stattdessen gibt es viele Monate nur Abschläge. Auch ob die Auftraggeber der Werkstätten der Mürwiker alle ihre Rechnungen bezahlt haben, konnte die Firma nicht mehr nachvollziehen. Und wie das Unternehmen dasteht, das können Stengel und seine Kollegen nur versuchen aus den Kontoständen und den 5.000 bis 10.000 Kontobewegungen im Monat herauszulesen. Für feinere Analysen fehlen die Grundlagen: Software – und vor allem Daten.
Schaden des Angriffs bisher: Weit mehr als 1,2 Millionen Euro
Die vielen Spezialanwendungen im Unternehmen müssen nun alle neu eingerichtet werden. "Wir gehen davon aus, dass wir bis Herbst oder Winter 2022 brauchen, bis alle Systeme wieder so laufen, wie wir uns das vorstellen", sagt Stengel. Wie groß der finanzielle Schaden ist, den der Angriff angerichtet hat, ist noch nicht abzusehen. Allein für die Wiederherstellung der Hard- und Software seien bislang 1,2 Millionen Euro fällig geworden, so Stengel. Dazu kämen noch die Personalkosten für die eigenen IT-Mitarbeiter, die den Schaden bearbeiten, sowie zusätzliche Mitarbeiter in der Finanzbuchhaltung und Personalverwaltung.
Das Netzwerk wird allerdings nicht genau so aussehen wie vorher. "Unser neues IT-System ist anders gesichert", sagt Stengel. Die Firewall sei nun stärker und aktueller, es gebe auch Backup-Sicherungen, die nicht mit dem Netzwerk verbunden sind – und vor allem werde das Netzwerk anders aufgebaut, in Segmente aufgeteilt. Im Prinzip funktionieren die wie Schotten eines Schiffs: Gibt es einen Schaden, läuft nicht gleich das ganze Schiff voll. Sollte es wieder ein Angreifer ins System der Mürwiker schaffen, kann er nicht ohne weiteres das ganze Netzwerk unter seine Kontrolle bringen. Ob das reicht? Stengel macht sich keine Illusionen. "Hundertprozentigen Schutz gibt es sowieso nicht".
