E-Mail-Adresse gekapert: „85.000 Mails – pro Stunde! Da entschieden wir, ohne Internet zu arbeiten“

Die Firma: Textilreinigung Klaiber in Villingen-Schwennigen, 30 Mitarbeiter, Umsatz: etwa 2 Millionen Euro.

Der Angriff: „Ein Hacker hat Hunderttausende Mails in unserem Namen versendet. Ich selbst habe die Mail erhalten“, erzählt der 39-jährige Torsten Klaiber.

Der Schaden: etwa 15.000 Euro, plus 5 Prozent des Umsatzes wegen Verlust eines Kunden.

Chronologie einer Cyberattacke: Unternehmer Torsten Klaiber erzählt

14. DEZEMBER 2015: Einer unserer Stammkunden, ein Hotel aus der Region, hat einen Lieferschein nicht erhalten. Ein Mitarbeiter mailt den Beleg erneut an den Kunden.

15. DEZEMBER, 11.18 UHR: Ein Stahlverarbeiter aus dem Ruhrgebiet ruft an und fragt, warum wir ihm einen Lieferschein schicken. Die genannte Kundennummer entspricht der des Hotels, das den Tag zuvor angerufen hat. Wir erklären, dass es sich um ein Missverständnis handeln muss und legen auf.

15. DEZEMBER, 11.30 UHR: Noch mehr Anrufer melden sich und fragen nach dem Lieferschein. Einige drohen mit Anwälten, andere beschimpfen uns wüst und legen dann auf. Allmählich dämmert uns: Jemand verschickt Mails in unserem Namen.

15. DEZEMBER, 12.10 UHR: Das Telefon steht nun nicht mehr still. Die Telekom meldet sich, um uns mitzuteilen, dass die vielen Anrufe unsere Leitung überlasten. Wir ziehen alle Stecker und nutzen den Moment, um uns zu besprechen.

15. DEZEMBER, 12.30 UHR: Unser IT-Dienstleister erklärt uns, dass jemand unsere E-Mail-Adresse gekapert und Hunderttausende Mails verschickt hat – mit immer gleichem Inhalt: „Sehr geehrte Damen und Herren, in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein. Bei Fragen stehen wir Ihnen gern zur Verfügung. Mit freundlichen Grüßen, Textilreinigung Klaiber“. Wer den Lieferschein öffnet, läuft Gefahr, Schadsoftware in die eigene IT einzuschleusen. Wir veröffentlichen auf unserer Homepage, dass wir Opfer eines Hackerangriffs sind und das Problem beheben.

15. DEZEMBER, 14.40 UHR: Weil die Kriminellen Sende- und Lesebestätigung angefordert haben, bekommen wir für jede gelesene Viren-Nachricht zwei E-Mails. Anfangs trudeln etwa 85.000 solcher Rückläufer-Mails ein – pro Stunde. Das lässt unseren Mailserver fast abstürzen. Unsere Mailadresse ist mit dem Angriff unbrauchbar geworden – bei den meisten Anbietern würden wir ohnehin im Spam-Ordner landen, erklärt unser IT-Service.

15. DEZEMBER, 15 UHR: Ich bin auf der Polizeiwache und erstatte Anzeige gegen unbekannt.

16. DEZEMBER: Jeder Versuch, die Telefonanlage wieder anzuschließen, führt zu Dauerklingeln. Wir entscheiden, die nächsten Tage in der Firma ohne Telefon und Internet zu arbeiten. Die Vorweihnachtstage können wir glücklicherweise damit füllen, bestehende Aufträge abzuarbeiten. Die Lieferscheine stellen wir wie früher per Hand aus und kleben sie auf die Wäsche. Um bei Fragen erreichbar zu sein, gebe ich meine persönliche Handynummer und Mailadresse raus.

23. DEZEMBER 2015: Wir sind nach wie vor offline, auch das Telefon bleibt ausgestöpselt. Unser IT-Dienstleister löscht alle ankommenden E-Mails und setzt eine neue Mailadresse für uns auf, mit der wir im neuen Jahr arbeiten können.

10. JANUAR 2016: Wir können wieder Mails verschicken und empfangen. Einen Tag später schalten wir die Telefonanlage ein. Ab und zu melden sich noch Leute wegen der dubiosen Mail. Insgesamt ist es ruhig. Das Hotel, an das der Lieferschein ging, hat nach dem Vorfall die Kundenbeziehung zu uns beendet – bis heute ein bitterer Einschnitt.

Das sagen Experten über den Fall

„Eine Notfalladresse wäre hilfreich“

Sebastian Schreiber: „Zwei Dinge können hier passiert sein: Entweder die Angreifer haben die Mailadresse tatsächlich übernommen oder schlicht den Absender gefälscht. Gegen Ersteres helfen sichere Passwörter und aktuelle Mailserver, gegen Letzteres nur komplexere Maßnahmen. Geholfen hätte hier vielleicht auch ein besserer Mailfilter oder ein externer Provider, der die eingehenden Mails vorsortiert. Eine Notfalladresse bei einem großen Mailanbieter wäre auch hilfreich, dann dürfte es nicht ganz so lange dauern, den Normalzustand wiederherzustellen.“ Sebastian Schreiber ist Gründer und Geschäftsführer der IT-Sicherheitsfirma Syss

„Außer Stecker ziehen bleibt wenig übrig“

Edgar Scholl: „Eine Horrorerfahrung, da bleibt einem in der Situation außer Stecker ziehen wenig übrig. Gut gefallen hat mir, dass der Unternehmer offen kommuniziert hat, was ihm passiert ist. Damit distanziert er sich von der Viren-Mail und warnt gleichzeitig Kunden und Betroffene. Eine Frage bleibt dennoch: Warum hat die Textilreinigung ihren eigenen Mailserver? Große Anbieter wie die Deutsche Telekom haben deutlich mehr Möglichkeiten, gegen Massen-Spam vorzugehen als ein Betrieb mit 30 Mitarbeitern. Das hätte die Spamwelle zumindest eindämmen können.“ Edgar Scholl berät internationale und mittelständische Firmen vor und nach Cyber-Angriffen.