ZEIT für X
Coder

„Schicken Sie Crypto!“

30. November 2022
ZEIT Redaktion

Wie ist das, wenn man übers Internet angegriffen wird? Der Recycling-Unternehmer Thomas Buhck hat es erlebt – und investiert heute in mehr Sicherheit

von Felix Leitmeyer

Redaktioneller Beitrag aus: „ZEIT für Unternehmer Ausgabe 3/2021.“ Geschäftspartner der ZEIT Verlagsgruppe haben auf die journalistischen Inhalte der ZEIT Redaktion keinerlei Einfluss.

Thomas Buhck ist ein Mann, den wenig aus der Fassung bringen kann. Besucht man ihn in Wentorf bei Hamburg, wo er das Recyclingunternehmen Buhck mit seinem Bruder in vierter Generation leitet, trifft man einen Menschen, der ruhig davon erzählt, wie seine Firma einen Hackerangriff abwehren musste.

Tag eins: Die vergiftete E-Mail

Auf den ersten Blick war es eine gewöhnliche Mail, die ein Mitarbeiter unseres Unternehmens bekommen hatte. Der Absender gab sich als ein Kunde aus und ahmte seinen Stil nach. Dort stand etwa: „Sieh dir mal diese Dateien an und sag mir, was du davon hältst.“ Sogar die E-Mail-Adresse schien auf den ersten Blick zu stimmen. Also öffnete der Mitarbeiter die Excel-Tabelle im Anhang – und ließ dabei das Öffnen eines Makros zu. Das war der Fehler! Dadurch wurde eine Schadsoftware installiert. Den Angreifern stand die Tür zu unserem System offen.

Tag drei: Der Schock

Nun begannen die eigentlichen Probleme mit den Hackern. Auf einem Bildschirm erschien ein Banner, das überraschend professionell aussah. Dort stand: „Die Daten in Ihrem System wurden verschlüsselt.“ Die Forderung lautete sinngemäß: „Schicken Sie uns die folgende Summe in Crypto-Geld, sonst löschen oder veröffentlichen wir Ihre Daten.“ Zum Glück war auf unsere IT-Leute Verlass. Die haben sofort reagiert: Sie fuhren alle Systeme herunter, schalteten die Rechner aus. Für Panik war keine Zeit. Wir mussten schnell unsere rund 1200 Mitarbeiter informieren. Das ist in solchen Momenten wichtig, um Ruhe zu verbreiten und Gerüchten vorzubeugen. Wie unser Team zusammengehalten hat, war einzigartig. Natürlich haben wir die Polizei eingeschaltet. Und wir mussten die Kunden benachrichtigen, dass sich ihre Aufträge wohl verzögern. Diese Transparenz kam gut an, die Kunden haben alle solidarisch reagiert.

Eine Woche später: Der Notbetrieb

Unsere Einsatzpläne schreiben wir am Computer, unsere Auftraggeber bestellen per E-Mail oder Telefon. Ohne IT war das vorerst nicht mehr möglich. So wussten wir nicht mehr, welche Aufträge wir noch abzuarbeiten hatten. Also wo und wann unsere Fahrzeuge beispielsweise Abfälle einsammeln sollten. Anfangs mussten wir auf das Erinnerungsvermögen der Mitarbeiter vertrauen und hoffen, dass Kunden von sich aus anrufen – auf dem Handy, die Telefonanlage war außer Betrieb. Unsere Waage konnte nun nicht mehr digital melden, welche Menge Abfälle von einem Kunden stammen. Also mussten wir händisch wiegen. Solche Abläufe finden sich zum Glück in einem Notfallplan, den wir analog aufbewahren. Wir konnten auch keine Rechnungen mehr schreiben – und ohne Rechnungen fehlt Geld, um die laufenden Kosten zu bezahlen. Wir standen also vor der Frage, ob es billiger ist, schnell das Lösegeld zu bezahlen – viele Unternehmer entscheiden sich dafür. Das schadet aber dem gesamten System: Wenn keine Firmen mehr Lösegelder bezahlen würden, gäbe es schnell keine Hacker mehr, die einen erpressen: Ihre Geschäftsgrundlage wäre futsch.

Zwei Wochen später: Der Überblick

Wir wissen nicht, wer die Hacker waren. Sie haben in perfektem Englisch kommuniziert, hatten sogar ein Logo. Unternehmerkollegen meinten: Wenn man das Lösegeld zahlt, geben solche Firmen vielleicht sogar Tipps, wie man seine Sicherheit verbessern kann. Wir hatten stattdessen Forensiker beauftragt: hoch spezialisierte Dienstleister, die den Schaden isoliert und behoben haben. Es zeigte sich, dass die Hacker nur 20 Rechner verschlüsseln konnten. Unser Back-up war zu 95 Prozent intakt. Also haben wir entschieden: Wir zahlen kein Lösegeld.

Drei Wochen später: Der Wiederaufbau

Wir sind auf Nummer sicher gegangen und haben alle Daten samt Betriebssystem von unseren 700 Rechnern entfernt, die Rechner „gewaschen“. Danach mussten wir sie wieder neu aufsetzen. Die zehn Kolleginnen und Kollegen in der IT-Abteilung waren vier Wochen lang quasi durchgehend und teilweise sogar am Sonntag bis Mitternacht hier – eine herausragende Arbeit!

Heute: Die Vorbeugung

So arbeitsfähig wie vor dem Angriff waren wir nach etwa drei Monaten wieder. Und wir haben ein neues, deutlich erweitertes Sicherheitskonzept eingeführt. Allein das verursacht Kosten in sechsstelliger Höhe jedes Jahr. Zudem überwacht eine IT-Sicherheitsfirma rund um die Uhr unser Netz. Das ist absolut notwendig, denn Firmen wie unsere sind auch rund um die Uhr Ziel von Schadprogrammen. Mit diesem Grundrauschen muss man wohl heute leben.