„Diese verdammten …. %§%“%@!!!!“
Donnerstagabend gegen 23 Uhr.
Eigentlich wollten wir ins Bett. Morgen war Freitag. Und danach freuten wir uns aufs Wochenende. Die Wetterfrösche hatten Sonne vorausgesagt. Man könnte über den Wochenmarkt bummeln, Wandern, Fahrradfahren, irgendwohin wo es schön war.
Doch jetzt saß der Mann da unten im Büro am Rechner und fluchte.
„Da hat doch schon wieder jemand die Passwörter geändert und keine Dokumentation geschrieben“, schimpfte er.
FEHLERMELDUNG VOM BACKUPSYSTEM
„Was machst du?“, wollte ich wissen.
„Das Backupsystem von der Machjetztwas GmbH hat mir gerade eine Nachricht geschickt. Irgendwas scheint da nicht zu funktionieren…“, sprach mein mich liebender Ehegatte und wandte sich wieder seinem Bildschirm zu.
Er wollte noch „gschwind“ danach schauen.
„Gschwind“ das kannte ich. Das konnte dauern. Ich ging ins Bett.
Gegen 2 Uhr wurde ich geweckt.
„Wo hast du die Firmenschlüssel?“, fragte mein Gatte. „Ich muss die Systeme vor Ort zurücksetzen“, erklärte er.
„Rucksack“, murmelte ich verschlafen. „vorderes Fach“, drehte mich um und schlief weiter.
Am Morgen fand ich den Mann unten am Frühstückstisch. Telefonierend.
Ich hörte Wortfetzen wie „Kripo“, „Anzeige erstatten“, „Cybercrime“, „alle Systeme verschüsselt“, “ja wirklich alle!“
BETRIEB STEHT STILL – MITARBEITER MÜSSEN NACH HAUSE GESCHICKT WERDEN
Martin telefonierte mit dem Inhaber der Machjetztwas GmbH und musste ihn darüber informieren, dass er seine 80 Mitarbeiter nun gleich wieder nach Hause schicken konnte, sobald sie zur Arbeit kamen.
ALLE 8 SERVER WAREN AUSSER BETRIEB. INTERNET UND TELEFONANLAGE TOT
Die Ursache waren keine geänderten und nicht dokumentierten Passwörter.
Hier waren Profis am Werk, Erpresser, eine kriminelle Vereinigung mit durchweg fähigen und geschulten Fachleuten in allen Bereichen.
„Was der Typ da geleistet hat, ist unvorstellbar“, sagte mein Göttergatte anerkennend. „Den würde ich sofort einstellen.“
Ich nicht. Fachlich mochte er hervorragend sein, doch menschlich hatte er gewisse Schwächen.
Martin hatte die Telefonanlage der Machjetztwas GmbH am Donnerstag upgedated. So etwas machte er meist spätabends, weil dann im betroffenen Unternehmen niemand gestört wurde.
ANMELDUNG NICHT MÖGLICH
Während er da saß und den Fortschrittsbalken des Updates beobachtete, kam die Meldung „Datensicherung gestört“.
Er wollte danach sehen, konnte sich aber mit seinen Zugangsdaten nicht anmelden. Über das Wartungsportal war es zunächst trotzdem möglich, sich auf das System aufschalten.
Doch dann meldete sich eine Maschine nach der anderen einfach ab.
Beim Neustart über die Konsole war dann sofort wieder alles aus: das Passwort passte nicht.
Ob da Wartungsarbeiten am Internet stattfanden?, überlegte Martin. Da hatte es doch vor kurzem eine Meldung vom Provider gegeben…
Aber Firewall, Telefon und Drucker waren noch erreichbar. Das konnte es also nicht sein.
Dann waren auch diese Geräte weg.
Damit die Mitarbeiter der Machjetztwas GmbH am nächsten Tag arbeiten konnten, sah Martin nur noch eine Möglichkeit: sich ins Auto setzen, sich vor Ort in die Systeme einwählen und richten, was zu richten war.
ERPRESSERBRIEF PER README.TXT-DATEI
Doch kaum hatte er im Serverraum den Monitor eingeschaltet, erschien im Display: „No Hypervisor found. Press any key to continue“.
Die Hardware war in Ordnung. Alle Lichter blinkten grün.
Nach einer Stunde lief die virtuelle Maschine wieder. Doch alle Systeme waren verschüsselt.
Der Erpresser meldete sich in einer readme.txt-Datei zu Wort, die inmitten des Datenchaos auf dem Monitor angezeigt wurde zu Wort.
„Guten Tag“, stand da. Und
„Wir haben 50 GB Ihrer sensiblen Daten zu uns übertragen und alle Systeme verschlüsselt. Sie können Sich über eine gesicherte Leitung in unser System einloggen, um weitere Anweisungen zu erhalten.“, lautete der Text.
