Cyberangriff gegen Ex-Arbeitgeber: Mutmaßlicher Hacker vor Gericht

26-jähriger Rottenburger sitzt wegen besonders schwerer Computersabotage auf der Anklagebank

  • img

Drei Cyberangriffe soll ein 26-Jähriger im Sommer 2017 auf den Herrenberger Standort des Online-Marketing- Unternehmens "United Digital Group" (UDG) ausgeführt haben. Deswegen ist er nun vor dem Amtsgericht Böblingen wegen Computersabotage in besonders schwerem Fall angeklagt.

Artikel vom 05. Dezember 2018 - 18:00

Von Sandra Schumacher

HERRENBERG. Die UDG in Herrenberg hat sich vor allem der Erstellung von digitalen Web-Seiten für ihre Kunden verschrieben. Dazu zählen beispielsweise die Stadt Herrenberg sowie die Stadtwerke und das Mauerwerk.

Am 26. Juni 2017 kommt es für die Firma, die an diesem Standort rund 90 Mitarbeiter beschäftigt, zu einer Katastrophe. Wie aus heiterem Himmel können die firmeneigenen Rechner keine Verbindung mehr zum Internet herstellen, der Kontakt zum Rechenzentrum in Stuttgart ist komplett abgebrochen und auch die Internetseiten der Kunden gehen vom Netz. Sofort setzt Geschäftsführer Ulrich Bartholmös seine gesamte Belegschaft darauf an, die Ursache für das Problem zu finden. "Zu diesem Zeitpunkt befanden wir uns komplett im Blindflug und haben rund um die Uhr Ursachenforschung betrieben", sagt er im Zeugenstand. Erst am Folgetag kann das Team einige wenige interne Systeme wieder zum Laufen bringen. Schnell kommt nun die Vermutung auf, dass es sich nicht um einen reinen technischen Defekt handelt.

Zielgerichtetes Vorgehen weist auf Insider hin

Über die Versicherung wird ein Team von Internetspezialisten der Firma "HISolutions" hinzugerufen, das das gesamte Ausmaß des Angriffs offenlegt: Alle Daten, Speicherungssysteme und Datensicherungssysteme sind gelöscht und mit neuen, zufälligen Codes überschrieben worden. Eine Wiederherstellung ist schwierig bis unmöglich. Während der eine Teil des Spezialistenteams mit der Schadensbegrenzung befasst wird, sucht ein anderer nach den möglichen Ursachen. Dabei entdecken die Profis, dass jemand außerhalb des Unternehmens für das Desaster verantwortlich ist. Über mehrere Benutzeraccounts, so die Experten, hat der Hacker auf das UDG-System zugegriffen. Das Merkwürdige an der Sache: "Normalerweise verzeichnen wir bei einem klassischen Hack zahlreiche Eingabeversuche der Passwörter. So lange, bis eines funktioniert. In Herrenberg war das aber nicht der Fall. Da gab es zwei oder drei Versuche und dann hat es geklappt", erklärt Jens Lüttgens von "High Solutions".

Weiterhin stutzten die Ermittler darüber, dass der Hacker das Gesamtsystem nicht auskundschaftete, sich stattdessen scheinbar zielgerichtet von einem Bereich in den anderen bewegte. "Das System bei der UDG ist sehr komplex und hält einige Tücken bereit", so Lüttgens. Befindet sich ein Hacker beispielweise in einem Bereich und zerschießt diesen, kann er gar nicht mehr in den nächsten vordringen. Daraus ziehen die Spezialisten den Schluss: Bei dem Angreifer muss es sich um einen Insider handeln. "Das war kein Suchen, das war kein Glück, das war Kenntnis", so einer der ermittelnden Polizeibeamten.

Gerade als die Rettungsversuche zu fruchten beginnen, die ersten Seiten der Kunden zumindest wieder online erscheinen und eine Störungsmeldung kommunizieren, folgt am 30. Juni eine zweite Attacke, bei der der Täter unter anderem den E-Mail-Verkehr der UDG lahmlegt und dafür sorgt, dass die Besucher einiger Kundenseiten nicht auf die angeforderte Homepage, sondern auf eine Pornoseite weitergeleitet werden. "Hier hat der Hacker also noch einmal nachgetreten, nachdem er zuvor sein Werk eigentlich schon vollendet hatte", meint Jens Lüttgens. "Man sieht, dass er die Firma maximal schädigen wollte."

Im weiteren Verlauf schauen sich die Profis die Accounts, die im Zusammenhang mit der Attacke stehen, genauer an: Bei denjenigen, die nicht zu einem erfolgreichen Login am Angriffstag geführt hatten, handelte es sich um Fake-Accounts, die eine Woche vor dem ersten Angriff vermutlich während einer Erkundungstour durchs UDG-System erstellt worden waren. "Sie sind erstellt worden, um jegliche Verbindungen zum Hacker selbst zu verschleiern", meint Jens Lüttgens. Denn die älteren Accounts, die erst nach einigen Fehlversuchen benutzt und letztlich zum Erfolg geführt haben, deuten allesamt in eine Richtung: Erstellt wurden sie allesamt von Marcel T. (Name von der Redaktion geändert), einem ehemaligen Mitarbeiter, der nun auf der Anklagebank Platz nehmen durfte.

Marcel T. ist Informatiker und hatte für die UDG als Administrator gearbeitet, war also unter anderem mit der Erstellung von Benutzer-Accounts und Passwörtern betreut. Zudem verfügte er über einen so genannten VPN-Zugang, also die Möglichkeit auch außerhalb der Geschäftsräume auf das Netzwerk der UDG zuzugreifen. Im Dezember 2016 hatten sich die Geschäftsführung und er dazu entschieden getrennte Wege zu gehen. Die Persönlichkeit von Marcel T. sei der ausschlaggebende Grund gewesen, erläutert Geschäftsführer Bartholmös. So habe es immer wieder Spannungen im Team gegeben, was letztlich zu Verzögerungen in der Projektabwicklung geführt habe. Das Trennungsgespräch, so Bartholmös, sei friedlich abgelaufen. Die Beweisführung ergab jedoch, dass der Fall vor dem Arbeitsgericht landete und im März 2017 in einem Vergleich endete.

Ein Motiv sei also vorhanden, gab einer der Polizeibeamten, die mit den Ermittlungen betraut waren, zu Protokoll. Ob Marcel T. aber tatsächlich auf das System der UDG zugegriffen habe, bleibt fraglich. Die IP-Adresse, die direkt zum Hacker geführt hätte, hat dieser über eine Internetfirma verschleiert.

Schaden beläuft sich auf rund 2,8 Millionen Euro

Auch eine Hausdurchsuchung blieb wenig ergiebig: Die Polizeibeamten stellten zwei Computer sicher, von denen einer zur Erstellung von Bewerbungsunterlagen genutzt worden ist. Hier konnten die Ermittler einige Ordnerverzeichnisse mit den Namen "UDG", "Hack" oder "Perfect Privacy" wiederherstellen, etwaige Daten waren jedoch gelöscht. Die Festplatte des anderen Rechners war sorgsam und mit großem Aufwand vollständig gelöscht worden. "So findet man einen Rechner normalerweise beim Händler vor", so der zuständige Beamte. Weiterhin fanden sich auf dem Schreibtisch des Angeklagten ein Netzteil eines Dell-Rechners, das Gerät selbst sei bisher jedoch nicht aufgetaucht.

Der Gesamtschaden, den diese Angriffe angerichtet haben, beläuft sich auf geschätzt 2,8 Millionen Euro. Darunter fallen zum einen die Mitarbeiterkosten in Höhe von rund 500 000 Euro, die Wiederherstellungskosten von rund 700 000 Euro sowie der Betriebsausfall in Höhe von 1,6 Millionen Euro. "Aber der Image-Schaden für uns und unsere Kunden, spiegelt sich in diesen Zahlen natürlich nicht wieder", meint Bartholmös.

Ob Marcel T. vom Böblinger Schöffengericht schuldig gesprochen wird, hängt auch vom Gutachten des Sachverständigen ab, der am ersten Verhandlungstag eigentlich geladen, aber nicht erschienen war. Fortgesetzt wird die Verhandlung nun am 14. Dezember.

Verwandte Artikel