Erpresser aus dem Internet

Cyber-Angriff auf die Delme-Werkstätten: Mit einem Klick ist alles weg

Der Serverraum der Delme Werkstätten in Bassum. Hier laufen sozusagen alle elektronischen Fäden aus 15 Standorten zusammen.
+
Der Serverraum der Delme-Werkstätten in Bassum. Hier laufen sozusagen alle elektronischen Fäden aus 15 Standorten zusammen.

Erpresser haben die Computer der Delme-Werkstätten in Bassum angegriffen. Die IT-Experten mussten daraufhin rund 400 PC-Arbeitsplätze komplett neu aufsetzen. Aber Geld bekamen die Kriminellen nicht.

  • Unbekannte haben einen Cyber-Angriff auf die Delme-Werkstätten verübt.
  • Erpresser wollten damit Geld in „Bitcoin-Währung“ erbeuten.
  • Doch die Delme-Werkstätten lassen sich nicht erpressen.

Bassum – Ein einziger Mausklick, und der Schaden war angerichtet. Und derjenige, der ihn ausgelöst hat, hat das noch nicht einmal bemerkt: Die Delme-Werkstätten in Bassum sind Opfer eines Cybercrime-Angriffs geworden. Der unmittelbare finanzielle Schaden ist verschmerzbar gering. Aber etwa 400 PC-Systeme mussten IT-Leiter Thomas Krause und sein Team neu aufsetzen, dazu knapp 80 Server-Systeme. Kurz: wochenlange Mehrarbeit für alle Beteiligten.

Finanzieller Schaden verschmerzbar: Delme-Erpresser wollen Bitcoins

„Wir haben uns einen Verschlüsselungs-Trojaner eingefangen“, erklärt Krause. Das war schon im Oktober. Aufgefallen ist es, als der Kontakt einzelner Geräte zu den Servern plötzlich nicht mehr da war.“

Erste Reparaturmaßnahmen lieferten schnell die Erkenntnis: Da ist nichts kaputt, sondern da ist eine Verschlüsselungssoftware am Werk. Bald darauf erhielten die Delme Werkstätten eine Datei mit einer Erpresser-Nachricht: Innerhalb einer gesetzten Frist sollten die Delme-Werkstätten eine Summe X in Bitcoins an eine bestimmte Adresse überweisen. „Die Höhe des Betrags werde ich nicht nennen“, sagt Geschäftsführerin Nahid Chirazi. Nur so viel: „Diese Erpresser-Summen sind aller Erfahrung nach in der Regel umsatzabhängig, und wir sind ja nun nicht gerade ein Kleinunternehmen.“

Rund 400 PC-Arbeitsplätze und etwa 80 Server musste die EDV-Abteilung komplett neu aufsetzen.

Nach kurzer Rücksprache mit den Gesellschaftern war die einhellige Meinung: „Wir lassen uns nicht erpressen.“ Und damit war ebenfalls klar: Der Schaden würde sich nicht so schnell wieder rückgängig machen lassen.

Schadsoftware muss entfernt werden

Stattdessen blieb nur der Weg, die verschlüsselten Daten so gut wie möglich aus unverseuchten Back-ups wiederherzustellen und gleichzeitig dafür Sorge zu tragen, dass sie nicht erneut verschlüsselt werden. Sprich: Zuerst musste die Schadsoftware narrensicher und garantiert aus allen Systemen raus.

Thomas Krause, IT-Leiter der Delme-Werkstätten

Aber wie ist sie dort überhaupt raufgekommen? „Ganz klassisch per E-Mail“, sagt Krause. „Eine, die so gut gemacht war, dass es für den Mitarbeiter, der sie bearbeitet hat, gar nicht ersichtlich war.“

Trojaner kam per Mail ins Delme-System

Krause erklärt: Bis vor einiger Zeit gelangte solche sogenannte Ransom-Ware vor allem über Anhänge in ein System. Getarnt als Text- oder Tabellen-Dokument, das in Wirklichkeit eine verkappte zip- oder exe-Datei ist. „Heute geht das anders“, sagt Krause. „Über Hyperlinks. Zum Beispiel als Bestell- oder Empfangsbestätigung. In dem Moment, wo man auf den Link klickt, lädt sich im Hintergrund schon die Schadsoftware ins System. Und man selber merkt absolut nichts davon.“

Alles – jegliches System, jegliche Software – musste auf einen Zeitpunkt zurückgesetzt werden, von dem sicher war, dass die Daten noch unverseucht waren. Das war keine Kleinigkeit. Geschäftsführerin Nahid Chirazi: „Wir sind sehr breit aufgestellt. Von der Aktenvernichtung bis zur Wäscherei. Entsprechend agieren wir mit sehr vielen unterschiedlichen Programmen. Alle 15 Standorte sind mit der Hauptverwaltung in Bassum verbunden. Dazu etwa 1000 Kunden, die mit unterschiedlicher Software angebunden sind.“

Hintergrund

Die Delme-Werkstätten sind eine gemeinnützige GmbH. Ihre Gesellschafter sind die Lebenshilfen Syke, Diepholz und Delmenhorst. In einem Verbund betreibt diese gGmbH Behindertenwerkstätten an insgesamt 15 Standorten. Der Verwaltungssitz ist Bassum. Die Bilanzsumme beträgt deutlich mehr als 30 Millionen Euro. 

Der Aufwand für die Techniker lässt sich da erahnen. Im Oktober war der Cyber-Angriff, erst Mitte November waren die Delme-Werkstätten an allen Standorten überhaupt wieder arbeitsfähig. Und restlos abgeschlossen ist die Arbeit noch immer nicht. „Zum Glück waren wir überhaupt in der Lage, unverschlüsselte und unkompromittierte Daten wiederherzustellen“, sagt Thomas Krause. „Das ist bei solchen Angriffen keineswegs immer so.“

Datenverlust von etwa zehn Tagen

Und trotzdem blieb ein Datenverlust von unterm Strich etwa zehn Tagen. „Alles, was unsere Mitarbeiter in dieser Zeit gemacht haben, mussten sie noch einmal nachvollziehen und neu erstellen“, sagt Chirazi. „Jeden Lieferschein, jede Rechnung, jede Korrespondenz.“

Nahid Chirazi, Geschäftsführerin der Delme-Werkstätten

Was haben die Delme-Werkstätten aus dieser Sache gelernt? „Wie abhängig wir von der EDV sind und dass wir viele Dinge immer noch mal zusätzlich anders dokumentieren müssen“, sagt Nahid Chirazi. „Zum Beispiel unsere rund 3000 Adressdateien.“ Und dass die Mitarbeiter besser, schneller und häufiger informiert werden müssen, welche Betrugsmasche gerade aktuell durchs Netz geistert. „Wir müssen die Taktung solcher Schulungen deutlich erhöhen“, sagt Chirazi. „Was da vor zehn Jahren noch als regelmäßig galt, ist heute nicht mehr genug.“

Das könnte Sie auch interessieren

elona ist da. Ihre lokalen Nachrichten.

Mehr zum Thema:

Sind digitale Wohnungsbesichtigungen im Kommen?

Sind digitale Wohnungsbesichtigungen im Kommen?

Kremlgegner Nawalny in Moskau festgenommen

Kremlgegner Nawalny in Moskau festgenommen

Biathlon in Oberhof: Die Bilder zu den Weltcups in Deutschland

Biathlon in Oberhof: Die Bilder zu den Weltcups in Deutschland

Laschet zum neuen CDU-Vorsitzenden gewählt

Laschet zum neuen CDU-Vorsitzenden gewählt

Meistgelesene Artikel

Euronics im Corona-Lockdown: In Syke darf eine Abteilung öffnen, in Wildeshausen nicht

Euronics im Corona-Lockdown: In Syke darf eine Abteilung öffnen, in Wildeshausen nicht

Euronics im Corona-Lockdown: In Syke darf eine Abteilung öffnen, in Wildeshausen nicht
Zwei Kennzeichen im Landkreis Diepholz: 1000 Tage SY

Zwei Kennzeichen im Landkreis Diepholz: 1000 Tage SY

Zwei Kennzeichen im Landkreis Diepholz: 1000 Tage SY
Ansturm im Baumarkt: Privatpersonen nutzen Außer-Haus-Verkauf

Ansturm im Baumarkt: Privatpersonen nutzen Außer-Haus-Verkauf

Ansturm im Baumarkt: Privatpersonen nutzen Außer-Haus-Verkauf
Neuer Flyer gegen die Corona-Impfung im Sulinger Land im Umlauf

Neuer Flyer gegen die Corona-Impfung im Sulinger Land im Umlauf

Neuer Flyer gegen die Corona-Impfung im Sulinger Land im Umlauf

Kommentare