Geschäftsmann aus Münster zahlt Hackern 120.000 Euro Lösegeld

rnCrypto-Trojaner im IT-System

Hinter Wolfgang Möhle, Chef eines Elektrogroßhandels in Münster, liegen „drei Wochen der Angst um die Existenz“. Der gefürchtete Trojaner „Emotet“ hatte sein Unternehmen schachmatt gesetzt.

von Hans Georg Knapp

Münster

, 21.02.2020, 18:44 Uhr / Lesedauer: 2 min

Erst nachdem Möhle rund 120.000 Euro in der digitalen Kryptowährung Bitcoin an einen unbekannten Erpresser in Osteuropa überwiesen hatte, verschaffte der ihm wieder einen Zugang zu seinem Rechenzentrum.

Die Kripo – von Anfang an mit im Boot – hatte dem Mittelständler geraten, nicht zu zahlen. Für Möhle war das aber keine Option. Denn es ging um den Fortbestand seines Unternehmens. Vor einem Monat war der Trojaner auf einen der Betriebsrechner gelangt – vermutlich, indem ein E-Mail-Anhang geöffnet worden war.

Das gesamte IT-System verschlüsselt

Spätere Recherchen haben ergeben, dass es zwei Tage dauerte, bis die übers Wochenende unentdeckt gebliebene Schadsoftware das gesamte IT-System vollständig verschlüsselt hatte. Als Möhle am Montag sein System startete, tauchte auf dem Bildschirm nur noch eine E-Mail-Adresse und das Ryuk-Zeichen des Trojaners auf. „Eine klare Aufforderung, sich mit dem Erpresser in Verbindung zu setzen“, erzählt Möhle.

Die Buchhaltung lief nicht mehr, kein Preis konnte ermittelt und kein Lichtsystem mehr verkauft werden; das Warenwirtschaftssystem mit 10.000 Posten am Lager war tot, keine Rechnung mehr auszustellen; Waren ließen sich nicht mehr automatisch ordern. Der GAU.

Nachdem Möhle mit den Computer-Spezialisten der Kripo Münster gesprochen hatte, handelte er auf eigene Faust. „Ich musste mit dem Erpresser verhandeln, ob ich wollte oder nicht“, lautet sein Fazit. E-Mails gingen hin und her, beide Seiten einigten sich auf 12 Bitcoins; ursprünglich hatten die Täter 21 gefordert.

Mit Bitcoins Erpresser bezahlt

Nur eine einzige Bank in München handelt mit diesem digitalen Zahlungsmittel. Dorthin musste Möhle rund 120.000 Euro an Gegenwert überweisen. Aus der Schweiz ging das Geld dann umgewandelt in die Coins auf ein 50 Zahlen und Buchstaben langes Wallet-Bankkonto. „Nicht nachvollziehbar und auf Nimmerwiedersehen verloren“, sagt Möhle.

Jetzt lesen

Nach einem Tag kam dann die erlösende Mail, seit Anfang der Woche kann der Betrieb wieder arbeiten. „In der Zwischenzeit haben wir alles auf ein paar Tausend Zettel notiert“, berichtet Möhle. „Die müssen jetzt wieder in die EDV eingearbeitet werden.“

Seinen Lieferanten hatte der Unternehmer schon vor zwei Wochen eine Mail geschickt und um Verständnis dafür gebeten, dass wegen des Hackerangriffs und der lahmgelegten Buchhaltung kurzfristige Lösungen notwendig seien. Die 150 betroffenen Unternehmen aus der Elektro-Branche spielten mit.

Zeitnahe Datensicherung fehlte

In dem Traditionsunternehmen konnte der Trojaner auch deshalb so großen Schaden anrichten, weil wegen eines massiven Fehlers im Back-up-System auch diese Daten nicht mehr abzurufen waren. Eine zeitnahe Datensicherung fehlte.

Möhle hat den Mail-Server jetzt ins Microsoft-Rechenzentrum verlegt. Mehr Sicherheit gehe nicht, sagt er. Der Unternehmer betont: „Nur mit wirklich professionellen Sicherheitsanstrengungen ist die Abwehr dieser Trojaner möglich. Ich gehe mit meinem Fall an die Öffentlichkeit, um andere Mittelständler zu warnen.“ Ein solcher Erpresserangriff könne Existenzen ruinieren. Deshalb solle sich jeder Chef intensiv um die Sicherheit seiner Datenverarbeitung kümmern.

Lesen Sie jetzt