Ein IT-Administrator soll das Netzwerk einer Firma gehackt und Daten in großen Stil gelöscht haben. Er schweigt zu den Vorwürfen. Aber er hat nach Ansicht der Polizei Spuren hinterlassen.
Herrenberg - Rund um die Uhr haben der Geschäftsführer und sein Team nach dem Angriff gearbeitet. Die Webseiten der Kunden waren nicht mehr erreichbar, ein Hacker hatte ihre IT-Netzwerke lahm gelegt. Auch die Firma war vom Internet abgehängt. „Wir befanden uns vollkommen in einem Blindflug“, sagte der Geschäftsführer als Zeuge vor dem Böblinger Amtsgericht. Ein ehemaliger Mitarbeiter des Herrenberger Unternehmens ist dort wegen Computersabotage in einem besonders schweren Fall angeklagt. Der 26-Jährige schweigt zu den Vorwürfen. Der Hacker-Angriff hat einen Schaden von mehr als 2,7 Millionen Euro angerichtet. „Es war extrem existenzbedrohend“, erklärte der Geschäftsführer.
Das Motiv ist wohl Rache
Sollte der Angeklagte der Täter sein, dann ist sein Motiv wohl Rache. Im Dezember 2016 war ihm gekündigt worden, weil er sich nicht ins Team einfügte. Die Zusammenarbeit sei schwierig gewesen, berichtete sein damaliger Chef. Als er in einen längeren Urlaub fuhr, wollte er mit seinen Kollegen trotz Aufforderung wichtige Zugangsdaten nicht teilen. Das Trennungsgespräch sei dagegen „vernünftig verlaufen“, erzählte der Geschäftsführer. Es gab einen Aufhebungsvertrag, eine Abfindung und ein positives Zeugnis. Ein sehr partnerschaftliches Miteinander herrsche in dem Betrieb, betonte dessen Chef. Im Oktober 2015 war der Angeklagte als Systemadministrator eingestellt worden, er verdiente 4250 Euro im Monat. Von den rund 90 Mitarbeitern am Standort in Herrenberg hatten nur er und ein halbes Dutzend anderer Kollegen umfangreiche Zugriffsrechte.
Die Ermittler von der Kriminalpolizei und einer Spezialfirma für IT-Sicherheit sind dem Angeklagten über die Anmeldung des Hackers ins System auf die Schliche gekommen: Die Konten hatte allesamt er angelegt. Außerdem fiel den Experten auf, dass sich der Täter in den Programmen ausgekannt haben muss. Normalerweise müssten Hacker erst das jeweilige System erkunden, und das hinterlasse Spuren. „In dem Fall war es jemand, der genau wusste, wie das Netzwerk funktioniert“, erklärte der IT-Sicherheitsfachmann. Er habe beispielsweise ein Werkzeug verwendet, das genau für die speziellen Speicher der Herrenberger Firma notwendig war.
Die Kunden hatten tagelang keinen Webauftritt
„Es ging nicht darum, die Firma zu ärgern“, sagte der IT-Forensiker der Böblinger Kriminalpolizei. „Es ging darum, sie maximal zu schädigen.“ Rund 60 Kunden, darunter der Armaturenhersteller Hans Grohe und die Stadt Herrenberg, hatten tagelang keinen Webauftritt mehr. Der Motorsägenproduzent Stihl verlor durch den Racheakt seine komplette Marketingdatenbank. Zwei Mal loggte sich der Täter ein. Ende Juni 2017 löschte er irreparabel unzählige Daten sowie auch die Netzwerkinfrastruktur oder die Konfiguration von Routern. Wenige Tage später sabotierte er unter anderem die hastig für die Kunden installierten Reparaturseiten im Internet: Wer darauf klickte, landete bei einem Pornoanbieter.
Bei der Durchsuchung der Wohnung des Angeklagten fanden sie für einen Informatiker eine bescheidene Computerausstattung. „Wir gehen davon aus, dass wir nicht alle seine Geräte haben“, sagte der IT-Forensiker. Ein altes Notebook nahm die Polizei mit, dessen Daten forensisch sauber gelöscht worden waren. Auf einem zweiten Computer entdeckte der Cyber-Crime-Polizist leere Ordner mit dem Namen der Firma und Bezeichnungen wie Hack oder Perfect Privacy. Bei letzterem handelt es sich um einen Anbieter, der einfach ausgedrückt anonyme Adressen fürs Internet zur Verfügung stellt. Den hat der Täter genutzt. Bis zu 100 Informatiker kümmerten sich nach dem Angriff und die Schadensbegrenzung und den Wiederaufbau. Sie arbeiteten im Drei-Schicht-Betrieb. Von seinen Kunden hat das Unternehmen nur wenige verloren, sagte der Geschäftsführer. Dennoch sei der Schaden monetär kaum messbar. Der Angeklagte machte sich vor Gericht viele Notizen, jedoch nicht einmal Angaben zu seiner Person. Die Strategie seines Anwalts ist absehbar: Mit seinen Fragen zielte er darauf ab, dass auch andere Mitarbeiter für die Taten in Frage kommen könnten. Das Strafmaß für diese Form von Computersabotage liegt bei bis zu zehn Jahren. Am 14. Dezember wird die Verhandlung fortgesetzt.