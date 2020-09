Neustadt

Über 5000 Baupläne sind futsch, wichtige Unterlagen zu Pachtverträgen städtischer Immobilien wohl für immer verloren. Ein Jahr nach dem Virenbefall des Neustädter Rathauses kämpfen Teile der Verwaltung weiter täglich mit den schwerwiegenden Folgen des Cyberangriffs. 550.000 Dateien auf dem Server der Stadt wurden durch den international berüchtigten Trojaner Emotet verschlüsselt.

„Ich könnte lange erzählen, welchen immensen Mehraufwand die fehlenden Daten bedeuten“, erzählt Thomas Völkel, Leiter des Fachdiensts Immobilien. Am Beispiel der Bauverwaltung lässt sich gut nachvollziehen, wie katastrophal sich der Virenbefall langfristig auswirkt. Bauvorhaben geraten in Zeitverzug, Kitaplätze entstehen später als geplant. Der Neubau der Sporthalle am Gymnasium ist betroffen, die neuen Feuerwehrhäuser in Otternhagen oder Eilvese – eine kleine Auswahl. Emotet wurde vom überregional beachteten IT- Vorfall zum Klotz am Bein der Neustädter.

Dateien sind nicht mehr verfügbar

Völkel rollt eine dreißig Jahre alte Bauzeichnung der Kita in Mardorf aus. Dort ist eine Erweiterung geplant. Eigentlich würden die städtischen Architekten im Computer den digitalen Bauplan doppelklicken und loslegen mit ihrem Entwurf. Seit Emotet die Datei verschlüsselt hat, ist sie nicht mehr verfügbar. „Wir müssen die Pläne alle von Grund auf neu mit dem Computer zeichnen und aktualisieren“, erzählt Völkel. Das bedeutet auch, Rauszufahren nach Mardorf und den Bestand vor Ort aufzunehmen. Nicht nur die Mehrarbeit frustriert. „Das macht auch was mit den Menschen, wenn 20 Jahre deiner Arbeit einfach weg sind“, sagt Völkel betroffen. Ein Aspekt, der in der öffentlichen Aufarbeitung des Falls in Neustadt und überall sonst in der Welt wenig Beachtung fand.

Wurde Lösegeld gezahlt?

Eine Emotet infizierte E-Mail, die von einem Antiviren-Programm erkannt wurde. Das ist leider nicht immer der Fall. Hier ist die betrügerische Mail bereits an der ungewöhnlichen Absender-Adresse zu erkennen. Quelle: Screenshot

Wie steht es überhaupt um diese Aufarbeitung? Wurden die Täter ermittelt? Sind persönliche Daten der Bürger gestohlen worden? Gab es einen Erpressungsversuch und Lösegeldzahlungen? Die Informationslage ist dünn. Insbesondere die Staatsanwaltschaft Verden, bei der entsprechende Cyberfälle zentral behandelt werden, gibt sich wortkarg. „Die Ermittlungen gegen die unbekannten Täter dauern an. Um sie nicht zu gefährden, sind weitere Auskünfte derzeit nicht möglich“, sagt der Sprecher der Staatsanwaltschaft Marcus Röske. Es gebe keine Hinweise darauf, dass Bürger-Daten abgeflossen seien. Und die Erpressung? Das Computermagazin c´t berichtete im Frühjahr über eine Art Bekennerschreiben. Auf einem Verwaltungsrechner erschienen der Name „Ryuk“ und zwei E-Mail-Adressen der mutmaßlichen Angreifer. „Ryuk“ ist der Name eines anderen Trojaners, der mit Emotet „kooperiert“.

Bislang anscheinend kein Lösegeld bezahlt

Von städtischer Seite bestätigt man lediglich eine bereits im Frühjahr gegenüber dem Magazin getroffene Aussage. Demnach wurde bisher kein Lösegeld gezahlt. Der Neuaufbau der IT wurde im Frühjahr auf rund 100 –150.000 Euro geschätzt. Nur ein Teil des schwer zu schätzenden Gesamtschadens, der durch die anfallende Mehrarbeit entstanden ist und weiter entsteht. Das es einen Erpressungsversuch gab, wird von der Stadt weder dementiert noch bestätigt. Politisch gab es von Seiten des Stadtrats keine nennenswerten Forderungen nach einer Aufarbeitung des Vorfalls. Das mag verwundern, angesichts 220.000 verschlüsselter Steuerakten und 350.000 Adressen von Geschäftspartnern der Stadt. Gleichzeitig sind eine gewisse Überforderung und sogar Scham Bestandteil der Emotet-Pandemie. Nach dem Vorfall schloss sich die Stadt Neustadt einer Art Selbsthilfegruppe betroffener Kommunen und Unternehmen an.

Fred Wiese, der Geschäftsführer eines mittelständischen Sanierungsunternehmens aus Lutter, hatte nach dem Emotet-Befall seiner Firmen-IT im Juli große Sorge, dass Kunden und Partner ihn für die Auswirkungen des Viren-Befalls haftbar machen könnten. Quelle: Mario Moers

Kunden bekamen bis zu 500 E-Mails

„Ich hatte große Angst vor der Reaktion meiner Geschäftspartner und Kunden“, berichtet Fred Wiese. Er ist Geschäftsführer eines mittelständischen Sanierungsunternehmens aus Lutter und selbst Emotet-Opfer. Ende Juli erwischte ihn das Virus. Eines Morgens im Büro, fiel Wiese eine geschäftliche E-Mail auf, die allerdings in seinem privaten Postfach ankam. Wenig später folgte ein Anruf aus der Firmenzentrale. „Kunden riefen an, die bis zu 500 E-Mails von uns bekamen“, erzählt Wiese. Auf befallenen Computern „erntet“ der Trojaner E-Mail-Adressen, deren Besitzer ihrerseits Teil eines weltweiten sogenannten Bot-Netzes werden. Weil viele Mitarbeiter der Sanierungsfirma coronabedingt im Home Office arbeiten, verzögerte sich die Reaktion auf den mutmaßlichen Virenbefall. Wiese informierte das Landeskriminalamt an Tag zwei. „Der Beamte sprach von Russen und Erpressung. Da wurde ich richtig nervös“, erzählt er. Im Nachhinein sei er froh, über die Dringlichkeit mit dem sich das LKA seinem Anliegen gewidmet hat.

Eine Emotet-infizierte E-Mail aus dem stillgelegten Postfach von Fred Wiese. Die betrügerische E-Mail-Adresse ist nur zu enttarnen, wenn der Anwender mit dem Mauszeiger über die Adresse fährt. Sonst macht die E-Mail einen seriösen Eindruck. Quelle: Screenshot

Auf die unbedingte Empfehlung der Experten die E-Mail-Adressen des Unternehmens zu wechseln, änderte Wiese sogar den Firmennamen. „Wir hatten ein sehr gutes Geschäftsjahr, dass so ein Trojaner jetzt total durcheinanderbringt“, sagt er. Die Polizei riet ihm auch, eine mögliche Lösegeldforderung auf keinen Fall zu zahlen. Die Forderung blieb aus. Doch Wiese weiß von einem anderen Opfer, dass auf die Erpresser einging. „Man zahlt, ruft dann in einem Call-Center an und die Daten werden wieder freigeschaltet“, berichtet er. Er selbst geht mit seinem Fall offen um, als Warnung an andere Unternehmen in Neustadt. „Von dem Rathaus-Trojaner hatte ich zwar gehört, aber doch nie gedacht, dass einen das hier erwischt“, sagt er.

Emotet im Aufwind Das Landeskriminalamt Niedersachsen warnte bereits im August vor einer erneuten massiven Verbreitung des Trojaners Emotet. Auch zwei Unternehmen in Hannover seien betroffen. Namen wurden nicht genannt. Das IT-Sicherheitsunternehmen Hornetsecurity mit Sitz in Hannover verzeichnete im August einen 1000 prozentigen Anstieg bei den Downloads eines Programms, das für die Verbreitung des Trojaners sorgt. Das Unternehmen geht davon aus, dass der Code des Virus in einer Weise verändert wurde, die Virenscannern die Entdeckung erschwert. Einfallstor in ein Netzwerk bleiben aber betrügerische E-Mails. Die sind häufig nur sehr schwer als solche zu identifizieren, weil sie etwa die Adressen und Formulierungen echter Freunde oder Geschäftspartner verwenden. Sie sind darüber hinaus in korrektem Deutsch formuliert. Gefährlich wird es, wenn darin enthaltene Anhänge oder Links geöffnet werden.

Von Mario Moers