Hamburger Abfall-Gigant wird von Hackern erpresst

Diese Einbrecher kommen ohne Brecheisen und Nachschlüssel aus: Cyberkriminelle, die in IT-Systeme großer Firmen eindringen, sämtliche Daten verschlüsseln – und dann Lösegeld verlangen. Der Firmengruppe Media-Markt/Saturn ist das passiert, der Funke-Mediengruppe, zu der das „Abendblatt“ gehört, ebenfalls. Zuletzt wurde die Firma Oiltanking völlig lahmgelegt, ein Unternehmen, das Tankstellen mit Sprit beliefert und Teil des Hamburger Konzerns Marquard & Bahls ist.

Nun ein weiterer Fall: Leitragender ist diesmal die an der Lederstraße (Stellingen) ansässige Firma Otto Dörner, mit 1200 Mitarbeitern Norddeutschlands größtes Abfallentsorgungs-, Recycling- und Baustoff-Unternehmen. Los ging der Cybercrime-Albtraum am 15. Januar, einem Samstag, als Mitarbeiter bemerkten, dass mit dem Computersystem etwas nicht stimmte. Es folgte die schwerste Krise in der rund 90-jährigen Geschichte des Unternehmens.

Diese Firma wird erpresst: Blick auf das Gewerbegebiet am Standort der Recyclingfirma Otto Dörner Entsorgung GmbH an der Lederstraße in Stellingen. dpa

„Wir haben dann das getan, was man in einem solchen Fall macht“, so Geschäftsführer Oliver Dörner (52) exklusiv zur MOPO. „Wir haben alle Stecker gezogen, alle Systeme wurden runtergefahren. Nicht mal mehr telefonieren konnten wir, weil ja auch die Telefonanlage am Server hängt. Mit einem Mal stand alles still. Nur das Licht, das konnten wir noch anschalten.“

Hamburg: Firma Otto Dörner wird von Cybergangstern erpresst

Zurückgelassen hatten die unbekannten Gangster eine „Visitenkarte“: eine sogenannte Ransome-Note. „Darauf befanden sich Zugangsdaten zu einem Chat im Darknet. Die Erpresser haben uns so aufgefordert, Kontakt mit ihnen aufzunehmen“, so Dörner. „Das haben wir getan: Und da muss man dann nett vorsprechen und höflich fragen, was genau man nun tun muss, damit die Daten wieder entschlüsselt werden.“

Oliver Dörner, geschäftsführender Gesellschafter der Firma Otto Dörner aus Stellingen Otto Dörner

Kommuniziert worden sei in Englisch. Allerdings fehlerfrei beherrschten die Täter die Sprache nicht, so Dörner. „Es gibt ein paar Anhaltspunkte, die dafür sprechen, dass sie aus dem baltischen Raum stammen. Allerdings sind Cyberkriminelle mit Sicherheit in der Lage, falsche Spuren zu legen. Sie könnten sich also auch sonst wo auf der Welt befinden.“

Wie hoch die Lösegeldforderung ist, möchte der Firmen-Chef nicht sagen. Das sei mit der Polizei so abgesprochen. Laut MOPO-Informationen beträgt die Summe aber 1,5 Millionen Euro, die in Form von Bitcoins, einer Kryptowährung, gezahlt werden soll. Dörner mag das weder bestätigen noch dementieren. „Sagen kann ich so viel: Es ist ein siebenstelliger Betrag.“

Und? Zahlt er? Oliver Dörners Antwort: ein eindeutiges „Nein“.

Erpresser verlangen 1,5 Millionen Euro in Kryptowährung

Inzwischen ist klar, mit welchem Ransomeware-Virus Otto Dörner angegriffen wurde: Es heißt Hive und wurde seit Juni 2021 weltweit in unzähligen Erpressungsfällen verwendet. Im November 2021 beispielsweise wurde damit die Handelsgruppe Media Markt/Saturn lahmgelegt. Damals forderten die Gangster 240 Millionen US-Dollar Lösegeld.

„Unser Vorteil war, dass der Albtraum an einem Samstag begonnen hat“, sagt Oliver Dörner. „Wir hatten also noch den Sonntag Zeit, um zu sehen, wie wir über die Runden kommen und wie es ab Montag weitergehen würde. Wir haben dann die gesamte Mannschaft zusammengetrommelt, und ich bin jetzt noch begeistert von der unglaublichen Einsatzbereitschaft. Jeder war zur Stelle, jeder hat gefragt, wo er helfen kann. Das war toll!“

Firma wird erpresst: So informierte die Firma Otto Dörner seine Kunden. Olaf Wunder

Sein Unternehmen habe Glück im Unglück gehabt, so Dörner: „Dank der Telekom haben wir alle Telefonnummern auf die Diensthandys umleiten können. Und weil die Handys in Reihe geschaltet wurden, ist so ziemlich jeder Kunde, der mit uns Kontakt aufnehmen wollte, auch durchgekommen. Wir hatten das Glück, dass die Steuerung unserer technischen Anlagen und auch das Kundenportal nicht über den infizierten Server laufen, also weiter funktionstüchtig waren und sind. Und natürlich sind unsere 350 Lkw nicht betroffen. Sand, Kies und Container können weiter ausgeliefert werden. Mit anderen Worten: Wir machen Umsatz, verdienen Geld. Die Existenz der Firma ist nicht bedroht. Wahrscheinlich haben die meisten unserer Kunden gar nicht bemerkt, dass bei uns der Teufel los war.“

Firmenchef lobt IT-Abteilung: „Eine bessere Truppe gibt es nicht“

Genauer gesagt: der Teufel los ist. Denn die Angelegenheit ist nicht vorbei. Es wird noch eine ganze Weile dauern, bis bei Otto Dörner alles wieder so läuft wie vor dem Angriff. „Für 2022 hatten wir uns ohnehin vorgenommen, unsere Computersysteme zu modernisieren“, so Dörner. „Unter normalen Umständen hätten wir das peu à peu gemacht, nachts und am Wochenende, immer dann, wenn es den Betrieb nicht stört. Jetzt, wo sowieso alles down ist, ziehen wir das in einem durch. Wenn wir fertig sind – etwa in zwei, drei Monaten – , wird unsere IT auf dem allerhöchsten Stand der Technik sein“ – und hoffentlich immun gegen weitere Angriffe.

Das könnte Ihnen auch gefallen: Hochhaus in Hamburg: In diesem Aufzug fährt die Angst immer mit

Für seine Kunden hat Oliver Dörner eine beruhigende Nachricht: Nach derzeitigem Ermittlungsstand ist kein Schaden für Dritte entstanden, wenngleich aktuell noch nicht feststehe, ob und welche Daten genau die Täter entwendet hätten. Dörner bedankt sich ausdrücklich bei seinen Kunden und Partnern dafür, dass alle „großartig reagiert und uns partnerschaftlich zur Seite gestanden“ haben.

Firmenhomepage des Unternehmens Otto Dörner Otto Dörner

Noch größeres Lob hat er für seine Angestellten. „Man sagt ja, man wächst mit seinen Aufgaben – das gilt für unsere Mitarbeiter auf jeden Fall. Seit Beginn der Krise herrscht in unserem Unternehmen eine unglaubliche Betriebsamkeit und hohe Motivation. Es ist ein bisschen so, als wären wir ein Start-up. Das fühlt sich gut an, hat sogar ein bisschen Spaß gemacht. Vor allem die IT-Abteilung hat Phantastisches geleistet. Eine bessere Truppe gibt es nicht.“

Ungewöhnliche Art zu danken: Bandenwerbung im HSV-Stadion

Dörner will sich erkenntlich zeigen. Und hat auch schon damit angefangen. Stefan S., der Chef der IT-Abteilung – ein großer HSV-Fan – durfte den 2:0-Sieg des Hamburger Sportvereins über Heidenheim am vergangenen Samstag zusammen mit seinem Sohn im VIP-Bereich verfolgen – auf Firmenkosten, versteht sich. Und dabei gab es für den IT-Chef zusätzlich eine große Überraschung: Über die Bandenwerbung bedankte sich die Firma bei allen Mitarbeitern. Ausdrücklich genannt wurden die Vornamen der Kollegen aus der IT-Abteilung: „Danke Stefan, Anja, Erik, Hardy, Dennis, Mika, Fabian, Danny, Andy, Dina, Daniel, Antje, Carsten, Kai, Leslie, Martin, Jens, Tobias, Thomas und Benedikt“ – so stand es da.

Am Samstag Bandenwerbung im Volksparkstadion: So bedankt sich die Firma Otto Dörner bei den engagierten Mitarbeitern Otto Dörner

Unternehmens-Chef Oliver Dörner sagt, er habe in den vergangenen Wochen eine Menge gelernt – über Computer und Computersicherheit. Und darüber, welch große Gefahr Cybercrime für Wirtschaft und Gesellschaft darstellt. „Von der Öffentlichkeit weitgehend unbemerkt entwickelt sich diese Form der Kriminalität zu einem wahren Tsunami“, sagt er. „Und das weltweit. Das ist beängstigend.“

Verschlüsselung aller Daten: So gehen die Erpresser vor

Die Gefahr, die von sogenannten Erpressungstrojanern (auch Verschlüsselungstrojaner oder Ransomeware genannt) ausgeht, wächst: 2018 konnten Cyberkriminelle acht Milliarden Euro erbeuten, 2019 waren es schon 24 Milliarden Euro. Wahrscheinlich ist der Schaden sogar noch weit höher, denn in vielen Fällen machen Firmen nicht öffentlich, dass sie erpresst werden. Die Dunkelziffer dürfte also sehr groß sein.

Das könnte Ihnen auch gefallen: So schlimm wütete eine Pandemie vor 100 Jahren in Hamburg

Wie gehen die Täter vor? Meistens geht alles mit einer Phishing-E-Mail los: Daran hängt eine verseuchte PDF-, DOC- oder XLS-Datei. Wird der Anhang geöffnet, haben die Erpresser ihr Ziel erreicht: Die Installation der Schadsoftware erfolgt.  

In anderen Fällen wird der Trojaner nicht per Mail verschickt, sondern installiert sich über eine manipulierte Webseite oder manipulierte Werbung im Internet. Dabei nutzen die Erpresser Sicherheitslücken in Webbrowsern aus.

Erpresser dringen mit einer Schadsoftware in Firmennetzwerke ein und verschlüsseln sämtliche Daten. dpa

Sobald die Ransomeware aktiviert wird (das kann auch Monate nach der Installation sein), beginnt der eigentliche Schaden: die Verschlüsselung sämtlicher Daten. Befindet sich das infizierte Gerät in einem Netzwerk, sind gleich sämtliche Rechner betroffen. So können komplette Unternehmen, Krankenhäuser und Universitäten lahmgelegt werden. Von nun an hat der User keinen Zugriff mehr auf seine Dateien. Die Kontrolle liegt allein in Händen der Hacker.

Experten raten: Forderung der Erpresser nicht erfüllen

Sobald alles verschlüsselt ist, erscheint eine Benachrichtigung auf dem Bildschirm des Opfers. In dieser sogenannten „Ransome-Note“ fordern die Erpresser ein Lösegeld. Nur dann würden sie die Ransomware wieder entfernen. Um den Druck zu erhöhen, setzen die Täter den Opfern eine Frist oder drohen damit, im Falle des Nichtzahlens sensible Firmen- und Kundendaten im Internet zu veröffentlichen.

Firmen haben keinen Zugriff mehr auf ihre Daten und werden aufgefordert, Geld zu zahlen - meist in Form von Bitcoins. dpa

Experten und Behörden raten in der Regel davon ab, auf die Forderungen der Erpresser einzugehen. Denn häufig bleibt die Entschlüsselung der Daten auch dann aus, wenn gezahlt wurde.