Rosenheimer Hausverwaltung zahlt Lösegeld an Cyber-Erpresser

Angriff aus dem Darknet

Die Alpina Hausverwaltung in Rosenheim ist Opfer eines Cyber-Kriminellen geworden – weil das Unternehmen die IT-Sicherheit vernachlässigt hat, wie Geschäftsführer Martin Metzger heute einräumt. Drei Tage lang bangte er um die Zukunft seiner Firma.

 

Erpresser kapern Daten mittels Schadsoftware. Foto: T. Zajda/Adobestock
Erpresser kapern Daten mittels Schadsoftware. Foto: T. Zajda/Adobestock

Weil die Geschäftsführer der Hausverwaltung das Thema "IT-Sicherheit" nicht ernst genug genommen haben, waren die technischen und organisatorischen Schutzwälle gegen Hacker-Angriffe lückenhaft. So konnte eine Schadsoftware über den VPN-Tunnel, der den zentralen Rechner der Alpina-Hausverwaltung mit den Home-Office-Arbeitsplätzen der Mitarbeiter verbindet, in den Server eindringen. Die sogenannte Ransomware legte sich wie ein unsichtbares Schloss über sämtliche Dateien des Unternehmens. Die Dateibezeichnungen endeten alle auf "no_more-ransom"; frei ins Deutsche übersetzt heißt das, "nichts geht mehr,  dies ist eine Erpressung".

Die Wirkung war für die 17 Mitarbeiter der Hausverwaltung gerade zu schockierend. Niemand konnte auf irgendeine Datei zugreifen, das Unternehmen war paralysiert, am zweiten Tag der Erpressung wurden alle Mitarbeiter beurlaubt. Der Geschäftsleitung wurde schnell klar, dass die eigenen IT-Mitarbeiter dem Problem nicht Herr werden konnten. Das sofort eingeschaltete bayerische Landeskriminalamt, Abteilung "Cyberkriminalität", ermittelte: Sämtliche Daten waren auf dem Server vorhanden, aufgrund einer Verschlüsselung durch eine Schadsoftware kam man aber nicht an sie heran. Es handelte sich also nicht um einen Datendiebstahl, sondern um eine Erpressung. Die LKA-Beamten rieten dringend von einer Kontaktaufnahme mit dem Erpresser und von der Bezahlung einer möglichen Lösegeldforderung ab, andernfalls würde die Hausverwaltung eine Straftat begünstigen.

Niemand hatte eine Lösung

Derweil machte sich in der Hausverwaltung Verzweiflung breit. Allen Beteiligten dämmerte es, dass die digitale Paralyse – ausgelöst durch eine Schadsoftware, die der Erpresser ins Internet ausgesandt hat – eine existenzielle Bedrohung darstellte. Unter diesem Druck ging man verschiedene Wege. Das Unternehmen nahm Kontakt auf zu einem namhaften deutschlandweiten Informatiker-Netzwerk: Wer hat Erfahrung mit diesem Verschlüsselungsvirus? Allen deutschen Antivirensoftwarehäusern wurde der Virus bekannt gegeben und um Hilfe nachgesucht. Die IT-Experten der Hausverwaltung begannen damit, eine Antisoftware gegen den Virus zu programmieren, der Aufwand war jedoch immens, die Erfolgsaussichten gering.

Unter dem Gefühl absoluter Ohnmacht entschloss sich die Geschäftleitung entgegen des Rates der Polizei, doch Kontakt zum Täter aufzunehmen. Daraufhin verlangte dieser ein Lösegeld von 2.500 Dollar. Stunden nach der Überweisung dieser Summe schickte der Erpresser den digitalen Schlüssel zur Freigabe der "gekaperten" Dateien.

Die Lehren aus der Erpressung

Geschäftsführer Martin Metzger weiß heute, dass er mit einem blauen Auge davon gekommen ist. Der tatsächliche Schaden der Erpressung belaufe sich auf über 10.000 Euro. Im schlimmsten Fall, wenn also der Erpresser die Daten nicht freigegeben hätte, wären 10.000 Arbeitsstunden vernichtet worden. Das Unternehmen hätte nicht die Kapazität, diesen Datenbestand komplett neu aufzubauen.

„Inzwischen“, sagt Martin Metzger, „besteht ein solides IT-Sicherheitssystem“ und ein ausgefeiltes Datenhaltungskonzept. Man hat damit begonnen, die Datenbestände in eine Cloud auszulagern. Einmal wöchentlich werde der Datenbestand auf externen Servern abgespeichert, auch weil die Büros durch Feuer vernichtet werden können. Der Zugriff auf den Server sei nunmehr „nur über Umwege“ möglich. Für den umfangreichen Prozess für mehr Datenschutz wurde ein Budget von 10.000 Euro freigegeben – gut angelegtes Geld nach dieser Existenzbedrohung, sagt Martin Metzger, der an die Kollegen aus der Branche appelliert: „Bitte nehmen Sie IT-Sicherheit ernst!“

Thomas Engelbrecht

 

 

Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass zu Prozessen, bei denen personenbezogene Daten verarbeitet werden, der Verantwortliche Verfahrensverzeichnis führen muss. Insbesondere bei einer Prüfung durch die Datenschutzbehörden muss der Verantwortliche...
Printer Friendly, PDF & Email
22.3.2021
TÜV fordert mehr IT-Sicherheit
Immer mehr Aufzüge werden in das Internet der Dinge integriert (IoT). Der TÜV warnt vor der Manipulation von Aufzugsanlagen durch Hacker.
7.11.2019
Datenfriedhof bei einem der größten Wohnungsunternehmen:
Die Berliner Datenschutzbeauftragte hat gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung erlassen. Die...
26.2.2021
Verstöße gegen Datenschutz
Die Deutsche Wohnen muss ein Rekord-Bußgeld von 14,5 Millionen Euro wegen Verstoßes gegen den Datenschutz nicht zahlen. Auf den Einspruch des Unternehmens hin hat das Berliner Landgericht das...
27.8.2020
Digitale Technologien im Baugewerbe
Nicht nur städtebauliche Großprojekte dauern in Deutschland mitunter länger als geplant. Auch kleinere Bauvorhaben verzögern sich durch wandelnde Anforderungen im Projektverlauf und das aufwendige...
12.3.2021
Geisterhaft
So bitte nicht: Wenn Sie als WEG-Verwalter eine Eigentümerversammlung veranstalten, dürfen Sie nicht von vorne herein den Großteil der Eigentümer ausschließen. Die in einer solchen Versammlung...
9.4.2020
Frohes Fest trotz Corona
Sie als Vermieter oder Verwalter sind genug gebeutelt von der Corona-Krise. Das Geschäft muss weitergehen, Sie sitzen im Homeoffice. Wir stellen Ihnen die aktuelle Ausgabe unserer Publikation bis auf...