Gießen: Hackerangriff auf Eichrichtungshaus Sommerlad

GIESSEN - Als die Mitarbeiter der Einrichtungshäuser R. Sommerlad GmbH & Co. KG am Morgen ihre Computer starteten, erlebten sie eine böse Überraschung: Über Nacht waren sämtliche Server verschlüsselt und zur Datensicherung hinterlegte Back-ups gelöscht worden. Schnell war klar, dass das Unternehmen mit seinem Haupthaus in Gießen ("Möbelstadt Sommerlad") und Filialen in Marburg und Künzell Opfer eines professionellen Hackerangriffs geworden war. Mit dieser Cyberattacke unter Verwendung einer sogenannten Ransomware (ransom: englisch für Lösegeld; ware: Abkürzung für Software), die vom 28. auf 29. April erfolgte, versuchte die international operierende Hacker-Gruppe "Darkside, Inc." vom Möbelhaus Geld zu erpressen, um wieder Zugang zu den Daten zu erhalten. "Sie müssen uns schon seit Wochen ausgespäht haben", sagt Geschäftsführer Frank Sommerlad im Gespräch mit dem Anzeiger.

Doch die Angreifer ahnten offenbar nicht, dass das Unternehmen für solch einen Fall vorgesorgt hatte und der Erpressungsversuch somit ins Leere lief. "Wir haben all unsere Daten auch in einem externen Rechenzentrum gesichert", berichtet er. Um aber die komplette IT-Architektur wiederherzustellen und noch sicherer zu machen, ist ein enormer Aufwand erforderlich. Der Verkauf läuft derweil weiter.

Zurzeit seien insgesamt 15 Fachleute, darunter IT-Forensiker, an verschiedenen Orten Deutschlands online damit beschäftigt, den Cyberangriff zu analysieren, so der Geschäftsführer. Vor allem wird nach Spuren gesucht, wie es den Hackern gelingen konnte, die Sicherheitssperren zu überwinden. Mittlerweile hat man etwas mehr als 50 Prozent der Datenmengen untersucht. Demnach könne "noch nicht mit abschließender Sicherheit festgestellt werden, ob, und wenn ja, in welchem Umfang Daten abgeflossen sind", teilt Frank Sommerlad in einer an Kunden versandten E-Mail mit. Das betrifft zum einen Kundendaten, die über das "Vorteilskarten-Konto" auf der Sommerlad-Homepage eingegeben und gespeichert werden - hier E-Mail-Adresse und Passwort - sowie zum anderen Mail- und Ortsadressen, die etwa zum Liefern von gekauften Möbelstücken nach Hause erforderlich sind. Laut dem Geschäftsführer "kann ein Übergreifen der Attacke aus unserem System auf Kunden ausgeschlossen werden". Dennoch legt er allen Kunden nahe, ihre Passwörter zu ändern, "insbesondere, wenn diese identisch bei anderen Anbietern genutzt werden".

Die Wiederherstellung der IT vergleicht Frank Sommerlad mit dem Neubau eines Hauses. Nach Keller und Fundament sei man jetzt erst beim Erdgeschoss angelangt. "Und eigentlich brauchen wir sogar zwei Häuser", verweist er auf die ebenso nötige externe Datensicherung. Zudem werde man "die Mauer jetzt noch höher ziehen". Darüber hinaus müssen rund 400 Festplatten an Computern in Gießen und andernorts ausgetauscht werden. Wie groß der finanzielle Schaden für das Unternehmen ausfällt, kann der Geschäftsführer zum jetzigen Zeitpunkt noch nicht beziffern.

Bereits unmittelbar nach Feststellen des Hackerangriffs hatte das Einrichtungshaus Anzeige bei der Zentralen Ansprechstelle für Cybercrime der Polizei erstattet und den Landesbeauftragten für Datenschutz informiert. Bei "Darkside, Inc." hat man es mit keinen Unbekannten zu tun: Dieser Gruppe wird auch die Verantwortung für den Angriff auf die größte Pipeline der USA zugeschrieben, heißt es in der Mail. Um sich zu schützen, legt Frank Sommerlad anderen Unternehmern ans Herz, die eigenen Daten immer auch extern zu speichern, um darauf zurückgreifen zu können. Diese Vorsorge hat das Möbelhaus vor weitaus schlimmeren Folgen bewahrt.