Im Darknet herrschen Anonymität und Geheimhaltung. Halbseidene Kriminelle und schwere Jungs geben sich die Klinke in die Hand mit Voyeuren, Hackern und Geschäftemachern. Was müssen Kommunikatoren über diese Schattenwelt wissen? Und wie kann Künstliche Intelligenz helfen, digitale Bedrohungen abzuwehren?

Dieser Freitagmorgen ist für Jürgen Hahn kein Morgen wie jeder andere. Der CFO der bekannten Modemarke Marc O’Polo hat sein Auto für den Urlaub gepackt. Die Stimmung ist bestens. Doch aus der Spritztour wird nichts: Der 13. September wird als „Schwarzer Freitag“ in die Geschichte des Unternehmens eingehen. Um 7 Uhr morgens bricht der E-Mail-Verkehr von Marc O’Polo zusammen. Cyber-Alarm! Alle Eigensysteme sind tot: Telefone, Scanner, Kassensysteme. Vor den Lagern stauen sich die Lkw. An einen erholsamen Urlaub ist für Jürgen Hahn nicht mehr zu denken.

Das Unternehmen wird vieles richtig machen an diesem Tag und geht mit der Krise kommunikativ recht offensiv um. Daher lässt sich der Verlauf gut rekonstruieren, auch wenn später nicht alle Details öffentlich gemacht werden.

In der Regel laufen solche Attacken nach einem ähnlichen Schema ab: Die Hacker infizieren das Unternehmen mit Ransomware durch ausgeklügelte Phishing-Methoden oder nutzen Sicherheitslücken. Die eingeschleuste Malware verschlüsselt kritische Systeme, im Fall Marc O’Polo die E-Mail-Server, Telekommunikationsanlagen, ERP- und Kassensysteme. Das führt zum Stillstand der betrieblichen Abläufe.

Irgendwann taucht dann eine Lösegeldforderung auf, die typischerweise in Kryptowährung gestellt wird, um Anonymität zu wahren und eine Rückverfolgung zu erschweren. Nach zähen Verhandlungen und Zahlung des Lösegelds geben die Erpresser den Entschlüsselungscode frei – wenn man Glück hat.

Jürgen Hahn und sein Team stehen vor einem Dilemma: Jede einzelne Datei ist durch die Attacke verschlüsselt – mit Ausnahme einer Textdatei. Sie trägt den Titel „Marc O’Polo read me.“ Ein Security- Experte klickt auf „Öffnen“, ein kurzer Text erscheint: „Marc O’Polo, you are hacked“, dazu zwei E-Mail-Adressen.

Der Schock ist groß, doch das Chaos währt nicht lange. Schnell wird ein Team gebildet und Hilfe hinzugerufen. Die ersten externen Berater treffen am selben Tag gegen 13:30 Uhr im Unternehmen ein. Sie arbeiten an diesem Wochenende fast rund um die Uhr. Am Montagmorgen hat das Team einen Überblick über die Sachlage.

Dann beginnt der Verhandlungspoker. Marc O’Polo setzt auf einen externen Verhandlungsführer und stimmt sich eng mit den Behörden ab. Als die Bitcoin-Zahlung in die Blockchain geht, beginnt für die IT ein Wechselbad der Gefühle. In diesem Fall halten die Erpresser Wort: Der Schlüssel, den sie liefern, ist korrekt. Ab Mittwoch beginnt man, langsam wieder Herr der Lage zu werden.

So viel Glück im Unglück wie Marc O’Polo haben nicht alle. […]