Betroffener berichtet: Wie es ist, mitten in einem globalen Hacker-Angriff zu stecken

Zuerst fällt es einer Kollegin im Großraumbüro der Werbeagentur auf: Auf ihrem Bildschirm stehen nur noch scheinbar komische Zeichen in simpler Grafik. "Haha, Cyberangriff, oder was?" So das Kredo der ersten Reaktionen als sich nach und nach mehr Kollegen hinter ihrem Rechner versammeln. Doch noch während die Mitarbeiter hinter dem Computer stehen, wird klar was wirklich hinter der überraschend aufgetauchten roten Schrift auf schwarzem Grund steckt: Innerhalb von wenigen Minuten sind zahlreiche Rechner auf der Etage befallen – nichts geht mehr.

Hektisch versuchen manche Mitarbeiter jetzt ihre Computer vom W-Lan zu trennen, doch oft ist es schon zu spät. Jemand brüllt von irgendwo quer durchs Büro, dass man nach der Infektion bloß nicht den Strom abschalten soll; sonst ließen sich die befallenen Rechner am Ende gar nicht mehr retten. Innerhalb weniger Minuten hat sich der Angriff über das gesamte Stockwerk ausgebreitet – und auch den Kollegen auf den anderen Etagen des Bürohochhauses geht es nicht besser, so berichtet es jemand, der mit den Vorgängen vertraut ist. Dann fällt auch die Telefonanlage aus. Mehr als Zuschauen scheint kaum möglich. Manche greifen jetzt zum privaten Handy und warnen vorsichtshalber per WhatsApp Arbeitskollegen in anderen Firmen: "Wenn du von mir in den nächsten Minuten eine komische E-Mail bekommst, bitte nicht öffnen."

Die Menschen, die hier plötzlich erleben, was es bedeutet zum Opfer eines Hackerangriffs zu werden, arbeiten für eine deutsche Agentur, die zum weltgrößten Werbenetzwerk WPP gehört. Wenige Stunden nach dem ersten Schock ist am Montagabend klar: Die Computerausfälle sind Teil einer Schadsoftware, die Rechner in der Ukraine, Spanien und Großbritannien betreffen. Auch WPP bestätigt am Dienstag von dem Angriff, den Sicherheitsforscher zu diesem Zeitpunkt als Petya bezeichnen, betroffen zu sein. Weitere deutsche Firmen wie Beiersdorfer oder andere Konzerne aus der Marketingbranche sind ebenfalls betroffen oder spüren die Auswirkungen des Angriffs.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Drei Tage nach dem Angriff ist die Firma noch nicht wieder zur Normalität zurückgekehrt. Die Administratoren arbeiten zwar mit Hochdruck und es gibt über Umwege auch schon die Möglichkeit an die Firmen-Emails heranzukommen, doch das Tagesgeschäft ist nach wie vor eingeschränkt. Noch ist nicht klar, ob alle befallenen Rechner unbrauchbar sein werden. Klar ist: Es werden wohl auch neue Laptops angeschafft werden müssen.

Um zu verstehen, wie es sich anfühlt, wenn der eigene Rechner von einem globalen Hacker-Angriff betroffen ist, haben wir mit einem der Mitarbeiter gesprochen. Der leitende Mitarbeiter, der anonym bleiben möchte, berichtet, wie es ist, wenn plötzlich das gesamte Firmennetzwerk ausfällt, wie die IT reagierte und warum ihm der Hacker-Angriff zwar erst einen Schrecken, aber am Ende keine Angst einjagte.

Motherboard: Wie ging alles für euch Mitarbeiter los?

Mit einer SMS von den Admin-Jungs: "Rechner sofort aus. Von der Docking-Station runter, vom Netz nehmen, Akku entfernen." Aber da war es schon zu spät. Die ersten Rechner waren schon infiziert und man konnte den bekannten Bildschirm mit der Erpressernachricht sehen.

Und dann? Panik?

Nee, das verlief relaxed, großes Lob an die IT. Es gab eine kurze Mail an alle mit den genauen Anweisungen. Bei anderen Agenturen war es schon sehr panisch teilweise. Aber ich meine: Wenn wir ein Flughafen oder ein Krankenhaus wären, das wäre beschissen. Bei uns geht's nur um Geld, da hängen keine Menschenleben dran.

Wie geht's den Mitarbeitern in der IT?

Der eine oder andere könnte sicherlich im Strahl kotzen. Stell dir vor, der Chef kommt rein und sagt: Du kannst jetzt die Nacht durcharbeiten und das Wochenende. Aber die machen das wirklich großartig.

Hat es dich auch erwischt?

Ja, ich hab es noch geschafft, die Mail rauszuschicken mit den Anweisungen an meine Mitarbeiter. Direkt nachdem ich auf Senden geklickt habe, ploppte auch bei mir der Bildschirm auf und mein Rechner war verschlüsselt. Dann kamen auch nach und nach Updates von der IT: Packt eure Sachen, geht nach Hause, kümmert euch um eure Prioritäten und sagt allen Bescheid. Auch bei den Leuten, die nicht betroffen waren, wurden nämlich alle Systeme runtergefahren.

Auch bei Motherboard: Samy Kamkar legt MySpace lahm

Wie fühlt es sich an, Opfer einer Cyber-Attacke zu sein?

Im ersten Moment denkst du wirklich nur: Scheiße – das kann ich ja überhaupt nicht gebrauchen. Du hast ja Aufgaben und Deadlines! Aber dann dachte ich mir: Kann ich da jetzt was dran ändern? Nö. Dann ist das halt so. Im ersten Moment ist das wirklich sehr stressig, aber wenn man mitbekommt, dass es zig andere Unternehmen betroffen hat, dann ist das schon entspannter. Es ist einfach mehr Verständnis da, als wenn es nur uns erwischt hätte.

Hast du selbst irgendwas gemacht, was den Angriff erleichtert hat? Auf verdächtige Links geklickt? Passwörter rumliegen lassen?

Gar nix. Wenn du im Netzwerk warst, hast du Petya abgekriegt. Wer nicht da war, hatte Glück. Das waren übrigens nur so 10-15 Prozent der Rechner bei uns, größtenteils bei Leuten, die im Urlaub waren, im Außeneinsatz oder krankgeschrieben.

Was hast du dadurch verloren?

EIn paar Sachen, die ich mal zwischendurch auf dem Desktop gespeichert habe. Aber alles, was wichtig war, hatte ich auf dem Server. Es gibt auch Kollegen, die hatten viel Kram auf der Partition, auch privaten Kram. Das ist dann… nun ja, bescheiden. Die schlimmste Horrogeschichte war ein Mitarbeiter, der komplett lokal an einer wichtigen Präsentation gearbeitet hat, die ist jetzt natürlich weg.

Wie geht's jetzt bei euch weiter?

Die Leute, die direkt an der Attacke arbeiten, haben sofort einen Plan gestrickt. Gestern durften alle zuhause bleiben, die keine wichtigen Meetings oder Kundentermine hatten. Die ersten haben dann dafür private Laptops mitgebracht. Einer hat sogar seinen Drucker von zuhause mitgenommen. Heute ist dann All-Staff-Meeting: Die komplette Hardware muss bereinigt werden, es wird geplant, wie die Rechner an die Teams verteilt werden, was noch IT-seitig passieren muss.

Und der Rest, der wird halt in Gesprächen geklärt. Ist doch eigentlich schön! Da merkt man wieder, dass man am Menschen arbeitet und dafür nicht immer Technik braucht. Naja. Wobei. Ohne Telefon ginge es aber auch nicht.

War es eigentlich je eine Option für euch, das Lösegeld zu bezahlen?

Nein. Das ist eine Haltungsfrage. Wenn du dich ein Mal erpressen lässt, dann lässt du dich immer erpressen. Darum mein Rat auch an alle anderen betroffenen Unternehmen: Gönnt den Leute Ruhe, macht einen Plan und morgen geht's dann richtig los.