Cyberangriffe können Sie mehr als nur Geld kosten. Sie können Ihnen jedoch auch eine großartige Lektion erteilen. Eine Geschichte von Xander Koppelmans.
Es war ein normaler Donnerstagmorgen vor fünf Jahren. Goes, eine kleine Stadt im Südwesten der Niederlande, erwachte gerade zu einem weiteren sonnigen Arbeitstag, und mit ihr auch Xander Koppelmans, der Besitzer eines kleinen, jedoch erfolgreichen Kommunikationsunternehmen namens PHGR, das wie viele andere für die Regierung und internationale Klienten arbeiteten. Wie üblich hatte Koppelmans auch an diesem Tag mehrere Meetings vor sich, aber um 10.30 Uhr wurden seine Pläne zunichte gemacht. Er saß in einem Konferenzzimmer, als einer seiner Kollegen an die Glaswand klopfte: „Wir werden gehackt. Alle Server sind leer und alle Dateien gelöscht. Was sollen wir jetzt tun?“ Koppelmans lachte.
„Ich ging davon aus, dass es keinen Grund zur Sorge gab“, sagte Koppelmans fünf Jahre später. „Wir hatten drei Backup-Server, daher war ich überzeugt, dass unsere Projekte sicher waren. Wir haben einfach alle unsere Geräte ausgesteckt und sind nach Hause gegangen, da wir an diesem Tag nicht mehr arbeiten konnten. Ich dachte, wir würden für die Wiederherstellung aller Dateien bloß einen einzigen Arbeitstag einbüßen, und damit wäre es getan.“ Bald stellte sich heraus, dass dies nicht der Fall war.
Die Backup-Server waren allerdings auch leer. Und damit auch alle Arbeitsplatzcomputer, SD-Karten und externen Festplatten. „An dem Punkt wurde es ernst. Trotzdem konnte uns noch etwas retten: die Datenwiederherstellung“, erklärt Koppelmans. Er bestellte einen Wiederherstellungsdienst und erfuhr, dass er 80 % seiner Daten zurückerhalten kann. Obwohl er wusste, dass allein dieser Schaden bereits kostspielig sein würde, gab ihm diese Nachricht Hoffnung – bis er erfuhr, dass es dabei um 80 % jeder einzelnen Datei waren. „Auf jedem einzelnen Foto, Video und jeder Werbung waren Streifen. Alle der wiederherstellten Dateien waren beschädigt. Wir erhielten Millionen beschädigter Dateien. Da wurde mir erst klar, dass wie einen Totalverlust erlitten haben, und in Schwierigkeiten sind“, sagt Koppelmans.
Die Annahme in Sicherheit zu sein, könnte Ihnen leidtun
Xander Koppelmans gründete sein Unternehmen im Jahr 1991 mit nur zwei Mitarbeitern im Team. „Ich wollte mein Hobby zu meinem Beruf machen und die Dinge tun, die ich liebe. Ich lebte meinen Traum“, sagt der Unternehmer.
Und das Unternehmen ist erfolgreich gewachsen. „Wir mussten für unsere Arbeit noch nicht mal Werbung machen. Wir haben einfach nur hart gearbeitet und gute Beziehungen zu unseren Kunden aufgebaut. Als der Angriff kam, hatten wir neunzig laufende Projekte, und ungefähr vierhundert aktiver Kundenkonten, acht Mitarbeiter und dreißig Freiberufler.
Im Gegensatz zu vielen anderen kleinen Unternehmen war sich Koppelmans der Cybersicherheitsrisiken stets bewusst und hatte in die Datensicherheit investiert, sobald die ersten Viren und Spam-Mails auftraten. „Ich habe verstanden, dass unsere Kunden nicht nur Bilder von uns gekauft haben, sondern auch Sicherheit. Selbst wenn Sie den besten Fotografen haben, können Sie mit ihm nicht arbeiten, wenn Sie nicht darauf vertrauen können, dass er seine Arbeit liefert. Dies war der Grund, warum wir einen professionellen IT-Administrator mit ausgeprägten Sicherheitskenntnissen angeheuert, und mehrere interne Sicherungssysteme – es gab nur eine langsame IDSN-Verbindung, die es nicht zuließ, Remote-Backups einzurichten – sowie eine Firewall installiert haben. "
Trotzdem erwartete Koppelmans nicht, dass jemand die Agentur angreifen würde. „Wie viele andere kleine Unternehmen dachten wir: Warum würde das jemand tun? Wir machen Bilder von Babys, Gebäuden und Essen. Das ist doch langweilig.“ Und doch wurden sie gehackt. Schuld daran waren schwache Passwörter.
„Wir verwendeten Passwörter, die aus ungefähr zehn Zeichen bestanden, die Zahlen sowie Großbuchstaben enthielten. Heute weiß ich, dass es ca. 15 Minuten dauert, bis ein Hacker ein solches Passwort knackt“, erläutert Koppelmans.
Konsequenzen, die man nicht in Zahlen ausdrücken kann
Was in diesem April 2015 geschah, war ein Brute-Force-Angriff. „Es war wie ein Molotowcocktail, der durch unser Fenster geworfen wurde. Der Hacker hatte Millionen Kombinationen von Benutzernamen und Passwortzeichen ausprobiert, bis er drin war“, erklärt Koppelmans. „In den Server-Protokolldateien konnten wir sehen, dass auch einige andere Hacker an unsere Tür geklopft hatten, aber dieser Eine schaffte es tatsächlich.“
Der Angriff verursachte einen sofortigen Schaden in Höhe von 250 000 Euro - dies war der ungefähre Wert der zerstörten Projekte. Gleich nach dem Angriff ging Koppelmans zur Polizei. „Das Erste, was sie fragten, war, ob ich eine Beschreibung oder ein Bildmaterial des Verbrechers hätte“, sagt Koppelmans amüsiert. Dies war das erste Zeichen dafür, dass die Ermittlung nicht zum Erfolg führen würde.
Zwei Wochen später wurde der Fall endlich an die Abteilung für Cyberkriminalität übergeben. „Sie sagten, dass der Angriff wahrscheinlich aus dem Ausland kam und dass sie aufgrund mangelnder Befugnisse, Finanzen und Kapazitäten niemanden aufspüren können würden. Man sagte mir, ich solle mir keine Hoffnungen machen, da ich wahrscheinlich nur als ein weiterer Eintrag in der Statistik enden würde.“
Anstatt gleich aufzugeben, stellte Koppelmans einen Hacker ein, der herausfand, dass der Angriff wahrscheinlich aus China kam. Motivation und Zweck? Unbekannt. Dies war ein sehr vages Ergebnis, aber Koppelmans konnte nichts anderes tun.
Obwohl einige Kunden für das, was passiert ist, Verständnis hatten, musste die Agentur ihre Aufträge nichtsdestotrotz fertigstellen. „Die beste Lösung war, alles neu zu machen. In den folgenden vier Monaten haben wir Tage und Nächte damit verbracht, Fotos und Videos neu aufzunehmen. Trotzdem gab es einige Projekte, die wir nicht retten konnten, da sie zum Beispiel die Fotostrecke über eine im Bau befindliche Brücke enthielten - zu dem Zeitpunkt war der Bau allerdings bereits abgeschlossen.“ Solche Klienten haben ihr Geld zurückbekommen. Und da das Unternehmen keine weiteren Kapazitäten für neue Kunden und Projekte hatte, wurde der finanzielle Verlust immer größer. Koppelmans würde den Schaden heute auf rund 3,5 Millionen Euro berechnen.
Im Jahr 2015 verlor Koppelmans mehr als nur das Geld. „Das Team verlor seine Magie, sein Selbstvertrauen und fing an, ängstlich zu sein. Einige verließen das Unternehmen. Vor dem Angriff spielten wir Musik, hatten einen Bürohund und einen Bürovogel und lachten zusammen. Wir waren eine Familie. Das alles war weg. Wir fingen an, sich uns von der Arbeit gestresst und überfordert zu fühlen. Es war nicht so sehr das Geld, aber diese Folgeschäden - die mich fertig gemacht haben. Schließlich erlitt ich einen schweren Burnout und konnte für weitere drei Monate nicht arbeiten.“
Danach versuchte Koppelmans weitere zwei Jahre lang das Unternehmen zu retten. „Im Februar 2017 riet mir mein Buchhalter, Insolvenz anzumelden. Ich wusste, er hat Recht: Unsere Fähigkeit, Profit zu erzeugen, war weg.“
Den Traum neu träumen
Obwohl es das einzig Vernünftige war, war die Geschäftsaufgabe nicht leicht. „Stellen Sie sich vor, Sie leben Ihren Traum seit 26 Jahren und plötzlich ist der Traum vorbei. Sie können das nicht begreifen. Ich konnte immer gut mit Menschen umgehen und habe mein Bestes gegeben, aber auf einmal war alles sinnlos und unbrauchbar ... für nichts. Ich bin aufgrund von etwas gescheitert, von dem ich nicht einmal wusste, dass es existiert. Während dieser Zeit war mein Kopf voller tief schwarzer Gedanken“, erinnert sich Koppelmans. Schließlich waren es die Kunden, die ihm weiterhalfen. „Sie sagten mir, ich solle nicht aufgeben, und versprachen, weiter meine Dienste zu kaufen, wenn ich mit meiner guten Arbeit weitermache.“
In demselben Jahr gründete Xander Koppelmans eine neue Kommunikationsagentur, um aus der Tragödie etwas Positives zu ziehen. Er hat viel gelernt und sich in vielerlei Hinsicht verändert.
Er verwendet jetzt Passwörter mit mindestens 30 Zeichen und einen Passwort-Manager, klickt nicht auf verdächtige Online-Werbungen, aktualisiert die Systeme regelmäßig, verfügt über eine Glasfaserverbindung und verwendet sowohl Offline- als auch Cloud-Backups. „Ich habe alles so eingerichtet, dass die Daten bei einem Angriff überleben.“
Aber vor allem startete er erneut von Null und kehrte zu den Wurzeln seiner Arbeit zurück. „Vor dem Angriff hatte ich viel Papierkram zu erledigen, ich hatte nicht viel Zeit für den kreativen Teil meines Jobs. Ich habe meine Präferenzen neu gestaltet, damit ich mich besser auf das konzentrieren kann, was ich wirklich liebe, und auch mehr Zeit mit meinen Kindern verbringen kann. Ich kann wählen, was ich machen will. Aus dieser Perspektive ist meine Lebensqualität viel besser“, erklärt der Unternehmer.
Auf die Frage, wie er mit der Tatsache, dass der Cyberkriminelle wahrscheinlich niemals gefangen werden wird, zurechtgekommen ist, antwortet Xander Koppelmans: „Wenn Sie Tag und Nacht darüber nachdenken, bereitet das Ihnen nur Kopfzerbrechen. Ich habe es ziehen lassen. Wir alle sollten wissen, dass Cyberkriminalität eine riesige Industrie ist. Solange Sie online sind, sind Sie niemals zu 100 % sicher. Es gibt nur einen Weg, um zu verhindern, dass Hacker Ihr Unternehmen zerstören: Seien Sie gut vorbereitet, wenn sie Sie angreifen.“