— Kriminalität in Degerschlacht:
Kriminalstatistik und Erinnerungen an einen Cyber-Sonntags-Krimi
Degerschlacht ist eigentlich ein ziemlich ruhiger Flecken. Die Kriminalitätsstatistik besteht hier hauptsächlich aus Verkehrsunfällen. Meist in der Leopoldstraße. Doch genau wie nicht nur auf Bundesebene, im Ländle und in Reutlingen ist auch in Degerschlacht die Cyberkriminalität immer wieder ein Thema, das sowohl Privatpersonen aus unserem Freundeskreis als auch Unternehmen betrifft. Ein Blick in die Kriminalstatistik und persönliche Erfahrungen zeigen, wie sich die Herausforderungen des digitalen Zeitalters bemerkbar machen.
Wenig Blaulichtnews über Degerschlacht
Degerschlacht ist im Vergleich zu anderen Teilen Reutlingens ein recht friedlicher Flecken. Der Blaulichtreport im Presseportal des Polizeipräsidiums hat hier nur wenig zu berichten – was uns natürlich freut.
Im Januar dieses Jahres gab es denUnfall einer Radfahrerin, im vorigen Mai fuhr ein Linienbusfahrer mit seinem Bus gegen eine Wand. Mal wurde ein Zigarettenautomat gesprengt, und im letzten Oktober waren Einbrecher unterwegs. Das war dann auch fast schon die ganze Kriminalitätsstatistik. Fast. Ein paar Verkehrsunfälle auf der Leopoldstraße wurden ebenfalls gemeldet.
Zahl der Straftaten in Reutlingen unter dem Landesdurchschnitt
Anfang des Monats hat das Polizeipräsidium Reutlingen nun seine Kriminalstatistik veröffentlicht. Die Kriminalitätsbelastung im Bereich des Polizeipräsidiums lag im vergangenen Jahr mit 4.132 Straftaten pro 100.000 Einwohner (2023: 4.260) um drei Prozent unter dem Vorjahreswert. Sie befindet sich weiterhin deutlich unter dem landesweiten Durchschnitt von 5.180 Straftaten. So ist es im Kriminalitätsbericht des Polizeipräsidiums Reutlingen zu lesen.
Was jedoch auch in Reutlingen – wie andernorts – eine immer größere Rolle spielt und auch die Polizeibehörden vor Herausforderungen stellt, ist die Cyberkriminalität. 2024 verzeichnete die Behörde in diesem Bereich 1.116 Straftaten. Damit sank die Zahl der Delikte zwar leicht um 58 Fälle im Vergleich zum Vorjahr (1.174), bleibt jedoch weiterhin auf einem hohen Niveau.
Cyberkriminalität bleibt ein Thema
Cyberkriminalität war – oder ist vielleicht immer noch – auch in Degerschlacht ein Thema. Bis vor ein paar Jahren hatten wir unsere IT-Firma in Degerschlacht. Zum Jahreswechsel 2021/2022 haben wir das Unternehmen verkauft, sodass ich nicht mehr genau weiß, wie die Situation in unserem Ort aussieht. Das Risiko dürfte aber kaum geringer geworden sein. Hacker werden immer geschickter, und inzwischen fallen selbst Profis auf gut gemachte Fake-Mails herein.
Damals, als wir unsere Firma noch in der Leopoldstraße betrieben, kamen häufig Kunden aus Degerschlacht und Umgebung in unser Ladengeschäft – meist mit Notebook oder Rechner unterm Arm. Oft hatten sie sich Viren eingefangen oder waren Opfer von Erpressungstrojanern geworden.
Erinnerungen an dreisten Angriff gegen einen Degerschlachter Unternehmer
Der dreisteste Cyberangriff, mit dem wir es zu tun bekamen, richtete sich jedoch ausgerechnet an einen Degerschlachter Unternehmer. Als ich heute Morgen einen Bericht im NDR las, in dem ein Lübecker IT-Unternehmer unserer damaligen Firmengröße von einem ähnlichen Hackerangriff berichtete und erklärte, wie er damit umging, erinnerte ich mich an unsere eigene Degerschlachter Hacker-Geschichte.
Mit diesen persönlichen Einblicken startet mein dreiteiliger „Sonntagskrimi“ – spannende Geschichten aus der digitalen Welt.
Ein Sonntagskrimi – 1. Teil
FIRMA KOMPLETT LAHMGELEGT – 8 SERVER OHNE FUNKTION – UNTERNEHMEN WEDER PER TELEFON NOCH EMAIL ODER INTERNET ERREICHBAR
DER SONNTAGSKRIMI
„Diese verdammten …. %§%“%@!!!!“
Donnerstagabend gegen 23 Uhr.
Eigentlich wollten wir ins Bett. Morgen war Freitag. Und danach freuten wir uns aufs Wochenende. Die Wetterfrösche hatten Sonne vorausgesagt. Man könnte über den Wochenmarkt bummeln, Wandern, Fahrradfahren, irgendwohin wo es schön war.
Doch jetzt saß der Mann da unten im Büro am Rechner und fluchte.
„Da hat doch schon wieder jemand die Passwörter geändert und keine Dokumentation geschrieben“, schimpfte er.
FEHLERMELDUNG VOM BACKUPSYSTEM
„Was machst du?“, wollte ich wissen.
„Das Backupsystem von der Machjetztwas GmbH hat mir gerade eine Nachricht geschickt. Irgendwas scheint da nicht zu funktionieren…“, sprach mein mich liebender Ehegatte und wandte sich wieder seinem Bildschirm zu.
Er wollte noch „gschwind“ danach schauen.
„Gschwind“ das kannte ich. Das konnte dauern. Ich ging ins Bett.
Gegen 2 Uhr wurde ich geweckt.
„Wo hast du die Firmenschlüssel?“, fragte mein Gatte. „Ich muss die Systeme vor Ort zurücksetzen“, erklärte er.
„Rucksack“, murmelte ich verschlafen. „vorderes Fach“, drehte mich um und schlief weiter.
Am Morgen fand ich den Mann unten am Frühstückstisch. Telefonierend.
Ich hörte Wortfetzen wie „Kripo“, „Anzeige erstatten“, „Cybercrime“, „alle Systeme verschüsselt“, “ja wirklich alle!“
BETRIEB STEHT STILL – MITARBEITER MÜSSEN NACH HAUSE GESCHICKT WERDEN
Martin telefonierte mit dem Inhaber der Machjetztwas GmbH und musste ihn darüber informieren, dass er seine 80 Mitarbeiter nun gleich wieder nach Hause schicken konnte, sobald sie zur Arbeit kamen.
ALLE 8 SERVER WAREN AUSSER BETRIEB. INTERNET UND TELEFONANLAGE TOT
Die Ursache waren keine geänderten und nicht dokumentierten Passwörter.
Hier waren Profis am Werk, Erpresser, eine kriminelle Vereinigung mit durchweg fähigen und geschulten Fachleuten in allen Bereichen.
„Was der Typ da geleistet hat, ist unvorstellbar“, sagte mein Göttergatte anerkennend. „Den würde ich sofort einstellen.“
Ich nicht. Fachlich mochte er hervorragend sein, doch menschlich hatte er gewisse Schwächen.
Martin hatte die Telefonanlage der Machjetztwas GmbH am Donnerstag upgedated. So etwas machte er meist spätabends, weil dann im betroffenen Unternehmen niemand gestört wurde.
ANMELDUNG NICHT MÖGLICH
Während er da saß und den Fortschrittsbalken des Updates beobachtete, kam die Meldung „Datensicherung gestört“.
Er wollte danach sehen, konnte sich aber mit seinen Zugangsdaten nicht anmelden. Über das Wartungsportal war es zunächst trotzdem möglich, sich auf das System aufschalten.
Doch dann meldete sich eine Maschine nach der anderen einfach ab.
Beim Neustart über die Konsole war dann sofort wieder alles aus: das Passwort passte nicht.
Ob da Wartungsarbeiten am Internet stattfanden?, überlegte Martin. Da hatte es doch vor kurzem eine Meldung vom Provider gegeben…
Aber Firewall, Telefon und Drucker waren noch erreichbar. Das konnte es also nicht sein.
Dann waren auch diese Geräte weg.
Damit die Mitarbeiter der Machjetztwas GmbH am nächsten Tag arbeiten konnten, sah Martin nur noch eine Möglichkeit: sich ins Auto setzen, sich vor Ort in die Systeme einwählen und richten, was zu richten war.
ERPRESSERBRIEF PER README.TXT-DATEI
Doch kaum hatte er im Serverraum den Monitor eingeschaltet, erschien im Display: „No Hypervisor found. Press any key to continue“.
Die Hardware war in Ordnung. Alle Lichter blinkten grün.
Nach einer Stunde lief die virtuelle Maschine wieder. Doch alle Systeme waren verschüsselt.
Der Erpresser meldete sich in einer readme.txt-Datei zu Wort, die inmitten des Datenchaos auf dem Monitor angezeigt wurde zu Wort.
„Guten Tag“, stand da. Und
„Wir haben 50 GB Ihrer sensiblen Daten zu uns übertragen und alle Systeme verschlüsselt. Sie können Sich über eine gesicherte Leitung in unser System einloggen, um weitere Anweisungen zu erhalten.“, lautete der Text.
DATENSICHERUNGSSYSTEME AUF WERKSEINSTELLUNG –NEUES PASSWORT ALLE 10 SEKUNDEN ÜBERSCHRIEBEN
Martin versuchte zunächst, ein System nach dem anderen über die Datensicherungen wiederherzustellen. Doch alle waren auf die Werkseinstellung zurückgesetzt worden. Die Festplatten waren mit einem unbekannten Passwort gesichert.
Jedes Passwort, das Martin versuchte, neu zu vergeben wurde, war nach 10 Sekunden wieder überschrieben worden.
Inzwischen hatte Martin die Datensicherungslaufwerke ausgebaut und mit neuen Betriebssystemen versehen – kein Zugriff möglich.
Der Logbucheintrag meldete: „die Festplatte wurde formatiert.“
Inzwischen war das komplette ms-computer-Team informiert und ebenfalls zur Stelle. Die Informatiker setzen ein Hilfssystem auf, mit dem zumindest Telefonieren und der Zugang ins Internet wieder möglich waren.
HILFSSYSTEM AUFGESETZT
Ein Mitarbeiter der Machjetztwas GmbH versuchte, sich unterstützt von Martin mit dem Hacker in Verbindung zu setzen. Geschlagene drei Stunden hatte es gedauert, bis der schließlich tatsächlich zur Kommunikation bereit war. Die Kosten, die er aufrief, waren in einer Höhe, die nicht ohne weiteres zu beschaffen war. Jeden Gegenvorschlag tat er mit der Drohung, er würde alle aus der Machjetztwas GmbH abgezogenen sensiblen Daten weitergeben, als „lächerlich“ ab.
Gab es andere Möglichkeiten?
War vielleicht noch eine externe Datensicherung bei einem Partnerunternehmen der Machjetztwas GmbH vorhanden, die man verwenden konnte?
Konnten die Daten von einem seriösen Unternehmen entschlüsselt werden?
„WIR SIND KEINE TERRORISTEN“
Eine Hamburger Firma bot an, zu versuchen, die Daten für 150.000 bis 200.000 € wiederherzustellen.
Eine stolze Summe. „Aber wir sind wenigstens keine Terroristen“, erklärte der Mitarbeiter dort lächelnd.
Inzwischen hatten wir die von unserem Datenwiederherstellungspartner DataRecovery aus Leipzig die Information erhalten, dass sie die Daten möglicherweise wiederherstellen könnten und haben die Festplatten mit den Datensicherungen per Kurierdienst nach Leipzig geschickt.
„Wenn Sie nicht auf unsere Bedingungen eingehen, geben wir die sensiblen Daten Ihrer Firma weiter“, hatte der Erpresser noch während der Preisverhandlungen erklärt.
DATENSCHUTZVORFALL GEMELDET – FÜR EINE WEITERGABE VON SENSIBLEN DATEN MÜSSEN SICH DIE HACKER NUN SELBST VERANTWORTEN
Damit konnte er uns allerdings nicht wirklich drohen. Die Machjetztwas GmbH hatte den Datenschutzvorfall längst bei der Landesaufsichtsbehörde gemeldet. Sollte der Erpresser die Daten nun weitergeben, würde er selbst dafür geradestehen müssen, da bei den Landesbehörden bekannt war, dass er sich die Daten auf unrechtmäßige Weise angeeignet hatte.
Das LKA Stuttgart bearbeitet den Fall inzwischen ebenfalls. Das Kripo-Team stand uns während der ganzen Zeit zur Seite standen und hat uns darüber beraten, was man tun kann und wie es weitergeht.
LKA UNTERSTÜTZT UND BERÄT
Normalerweise sei die Wahrscheinlichkeit, die Daten zu entschlüsseln, eher gering, hatte der Kripobeamte uns zunächst wenig Mut gemacht, noch irgendetwas richten zu können. Conti strain, so der Name des „Hackingunternehmens“, sei allerdings ein echtes Geschäftsmodell. Hier gebe es meist auch tatsächlich Ware für Bezahlung, hatte er erklärt.
An diesem Wochenende haben wir begonnen, die Systeme neu aufzusetzen. Auch die Betreuerfirma der Auftragsbearbeitung steht am Samstag und Sonntag bereit, um der Machjetztwas GmbH am Montag wieder eine Plattform bereitstellen zu können, mit der der Betrieb erstmal weitergehen kann.
In den letzten zwei Wochen habe es bei dem ERP-Systemhersteller 15 solcher Fälle gegeben, bei denen Systeme ihrer Kunden lahmgelegt wurden.
SYSTEME ÜBERPRÜFEN, ZUGÄNGE NEU VERSCHLÜSSELN UND PASSWÖRTER ÄNDERN!
Der ERP-Systembetreuer hat das jetzt zum Anlass genommen, seine eigenen Systeme komplett zu überprüfen, Zugänge neu zu verschlüsseln und alle Passwörter zu ändern.
Wir auch.
—- Fortsetzung folgt —
