Von Hakan Tanriverdi, Böblingen

Ulrich Bartholmös saß auf dem Rennrad, als sein Arbeitgeber vernichtet werden sollte. Es war halb sechs Uhr morgens, sein Smartphone klingelte, er ging nicht ran. Dann klingelte das Telefon ein zweites Mal. Er sah, dass der Anruf von der Firma kam, hob ab und erfuhr von einem Totalausfall.

Bartholmös ist IT-Sicherheitschef einer Digitalagentur, sie verwaltet Kunden-Webseiten und Datenbanken. Die Webseiten waren offline, mindestens eine Marketing-Datenbank komplett gelöscht. Ein Kunde der Firma ist Titelsponsor bei der Tour de France, die wenige Tage später beginnen sollte. Er habe gelernt, sich von Kunden anschreien zu lassen, sagt Bartholmös, als er die Geschichte im Juli 2017 erzählt, bei einem Treffen, wo Staatsanwälte mit dem Schwerpunkt Cyberkriminalität für ihre Arbeit werben. Die Staatsanwälte sagen: Hacker machen Fehler, Hacker können erwischt werden. Wichtig sei, dass eine Anzeige gestellt wird. Bartholmös stellte eine Anzeige.

Der Prozess ist gewonnen, zu feiern gibt es nichts

Anderthalb Jahre später sitzt Bartholmös im Amtsgericht in Böblingen, gerade hat der Richter ein Urteil gefällt, den Täter schuldig gesprochen. Bartholmös bittet darum, noch ein paar Momente in Ruhe gelassen zu werden. Er schaut in Richtung des Verurteilten, eines 26 Jahre alten Mannes. Bartholmös fixiert ihn mit seinem Blick, der Mann redet abwechselnd mit Polizisten und seinem Anwalt, lässt sich Handschellen anlegen und wird abgeführt.

Bartholmös verlässt den Saal, der Prozess ist gewonnen, doch zu feiern gibt es wenig: 2,8 Millionen Euro Schaden, ein Mensch hinter Gittern und eine Firma, die gerade noch einmal davongekommen ist. Sie hat eine der gefährlichsten Arten von Hackerangriffen überstanden, mit der es Unternehmen weltweit zu tun haben: einen Angriff durch Innentäter. Der verurteilte junge Mann ist ein Ex-Mitarbeiter von Bartholmös.

Ist von Cyberangriffen die Rede, vermutet die Öffentlichkeit dahinter in aller Regel wildfremde Menschen oder Hacker im Staatsauftrag. Dabei geht von Innentätern eine größere Gefahr aus, da ihre Angriffe "größere Aussicht auf Erfolg" haben, wie es das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert. Denn der Angreifer habe "bereits Zugang zu internen Ressourcen einer Organisation und (könne) so Schutzmaßnahmen und Schwachstellen über einen langen Zeitraum analysieren".

Auch der Ex-Mitarbeiter von Bartholmös hatte Zugang zu internen Ressourcen. Während des Prozesses schweigt der Mann. Ein IT-Forensiker, der den Angriff technisch analysiert hat, geht aber davon aus, dass er für die Attacke einen Account benutzte, der vor Jahren angelegt, aber nie verwendet wurde. Er modifizierte ihn so, dass er sich über einen VPN-Zugang einloggen, also sich bequem von zu Hause aus in das Firmennetz einwählen konnte. Dann schlummerte das Konto ungenutzt ein halbes Jahr vor sich hin. In dieser Zeit wurde dem Mitarbeiter gekündigt, es gab einen Aufhebungsvertrag und eine Abfindung. Um 2:37 Uhr in der Nacht vom 25. auf den 26. Juni startete er den Angriff in zwei Wellen.

"Wir befanden uns vollkommen im Blindflug"

Zu Beginn des Angriffs - IT-Sicherheitschef Bartholmös sitzt noch auf seinem Rennrad - werden alle Daten auf den Servern überschrieben, die Konfigurations-Dateien werden gelöscht. Schnelles Reagieren ist ausgeschlossen, da die Zugänge der Administratoren entfernt wurden. "Wir befanden uns vollkommen im Blindflug", wird Bartholmös später im Zeugenstand sagen. 60 Kunden werden informiert, zu diesem Zeitpunkt ist noch unklar, wie systematisch der Hacker vorgegangen ist. Eine externe Firma wird hinzugezogen, sie analysiert die IT-Systeme.

Die Spuren, die der Hacker hinterließ, zeigten, dass sich die Person sehr gut im System auskannte. "Der Täter bewegte sich virtuos im System", fasst es die Staatsanwaltschaft zusammen. Normalerweise schauen sich Hacker zunächst in Netzwerken um. Sie analysieren, wie das Netzwerk aufgebaut ist, welche Berechtigungen sie haben und wo wichtige Daten liegen könnten - sie sind schließlich zum ersten Mal im Unternehmensnetz. Nicht so in diesem Fall. Der Täter kannte das System genau und wusste, wo er hin musste.

Der erste Angriff richtete großen Schaden an, doch Bartholmös hatte Back-ups der Daten auf alten Bandlaufwerken, die Prozesse können wiederhergestellt werden. Doch dann beginnt ein paar Tage später die zweite Attacke: Der Mailverkehr wird ausgeschaltet, die Web-Auftritte werden auf eine Porno-Seite umgeleitet. Technisch ist dieser Angriff nicht besonders ausgefeilt, aber er verunsichert die Mitarbeiter und erweckt zumindest kurzzeitig das Gefühl, erneut die Kontrolle zu verlieren.

Ein reiner Indizienprozess

Der Tatverdacht fiel schnell auf den Angeklagten, da die Angriffe von Accounts gestartet wurden, die er angelegt hatte. Doch glasklare Beweise fehlen. Der Prozess, der gegen den Angeklagten geführt wird, basiert auf Indizien. Zwar weiß man in diesem Fall, dass es sich um einen Innentäter gehandelt haben muss, um einen Administrator, aber davon gibt es mehrere. Ein paar von ihnen können ausgeschlossen werden, aber eben nicht alle. Wie also hat man den Angreifer überführt? Bei dem Angeklagten habe es sich nicht um einen "High-Class-Hacker" gehandelt, führt der Staatsanwalt in seinem Plädoyer aus. Ihm unterliefen also Fehler.

Als die Polizei seine Wohnung durchsucht, findet sie einen Rechner, auf dem sie eine Verzeichnisstruktur rekonstruieren können. Es sind Ordner mit Namen wie "Mitarbeitergespräche" und "Verträge". Jemand hatte von diesem Rechner aus auf Daten zugegriffen, die auf den Firmenservern lagen. Für die Staatsanwaltschaft ist dies "der große Fehler", der dem Angeklagten unterläuft. Er griff außerdem ausschließlich auf Dateien zu, die während seiner Zeit in der Firma schon vorhanden waren. Neuere Dateien, die ihm also unbekannt waren, ignorierte er.

Den Richter haben die Staatsanwälte mit ihren Argumenten überzeugt. Er verurteilt den 26-Jährigen zu drei Jahren und drei Monaten: Computersabotage in besonders schwerem Fall. Der Angeklagte wird Berufung einlegen.