Ich wurde gehackt. Zigtausende E-Mails mit meinem Absender überspülten Menschen, die ich nicht kenne und die mich nicht kennen.  Mit Rechnungen, die keine waren, sondern getarnte Schadsoftware. Was ist passiert? Ein Erklärungsversuch.

Ich bin Kundin bei MailChimp, einem der bekanntesten und größten Anbieter von E-Mail-Marketing-Kampagnen. Das Prozedere ist so einfach wie weit verbreitet: Nach der Anmeldung erhält man einen passwortgeschützten Acccount, von dem aus man Templates für Newsletter entwerfen kann, E-Mail-Listen importieren und schnell und komfortabel Newsletter verschickt. Das Tool ist bekannt und beliebt und wird gerne empfohlen, wenn es um E-Mail-Marketing geht. Alles gut und schön. Doch mein Account ist gehackt worden.

Am Freitag, den 23.2. hat es eine unbekannte Person geschafft, sich unerlaubt Zugang zu meinem Account zu verschaffen. Er hat zunächst meine Zahlungsmodalitäten geändert. Nur so war es möglich, eine Kampagne im großen Stil zu starten. Meine Einstellungen waren nur auf einen kleinen Empfängerkreis ausgerichtet. Er hat dann in eine meiner Listen 250.000 Kontakte hochgeladen und drei E-Mail-Kamgagnen angelegt.

Und dann gingen 250.000 E-Mails raus. Mit angeblichen Rechnungen. Verschickt mit dem Absender von der Musikschule Piano & Voice, für die ich von dieser Liste aus manchmal Mitlgiederinfos über das Musikschulleben versende. Was gleichzeitig bedeutete, dass es ZWEI Geschädigte gab. Bei Piano & Voice war ab sofort ebenfalls Land unter.

Telefonanrufe, E-Mails, Facebook-Anfragen: Innerhalb weniger Minuten versuchten Hunderte von Menschen, Klarheit zu erlangen, warum wir ihnen angeblich eine Rechnung geschickt haben. Nur zu verständlich. Bei uns brachen dadurch erst einmal die Kommunikationskanäle zusammen.

Schritt 1: Account verriegeln

Glücklicherweise habe ich schnell entdeckt, dass das Ganze von Mailchimp ausgeht und habe weitere Aktivitäten gestoppt, meinen Account gesperrt. Damit konnte noch Schlimmeres verhindert werden. Der nächste Upload mit Mail-Adressen war nämlich schon im Gange: Über 500.000 Kontakte waren gerade dabei, hochgeladen zu werden. Zu einer Aussendung kam es zum Glück nicht mehr.

Schritt 2: Auf Facebook, Website und Anrufbeantworter informieren

Die E-Mails waren ärgerlich für die Empfänger und sie wollten Klarheit. Also musste so schnell wie möglich eine Information her. Also habe ich so früh wie möglich kurze Meldungen hinterlassen, und zwar hier:

  • Facebook-Seite Augsburger Textekiste
  • Facebook-Seite Piano & Voice
  • Website Augsburger Textekiste (petra-harenbrock.de)
  • Wesite Piano & Voice,
  • auf der Mailbox von Piano & Voice.

So wurden diejenigen Menschen, die nach den Absendern im Netz forschten, möglichst direkt informiert, und zwar darüber,

  • dass wir keine Rechnungen verschickt haben,
  • dass es sich um Fake-Mails/Spam handelt,
  • dass die Anhänge auf keine Fall geklickt werden sollten,
  • dass wir selbst die Opfer sind und Bescheid wissen (dass also keine weiteren E-Mails nötig sind),
  • dass wir keine der Kontaktdaten speichern,
  • dass die Kontaktdaten aus einer uns unbekannten Quelle stammen,
  • dass wir als Absender missbraucht wurden und
  • dass wir uns entschuldigen für die Umstände.

Schritt 3: E-Mails schnell beantworten

Viele Menschen haben mich direkt angeschrieben. Es gab verschiedene Reaktionen:

  • “Ich möchte Sie informieren, dass Ihr Name für Spamversand missbraucht wird.”
  • “Warum schicken Sie mir eine Rechnung? Ich kenne Sie nicht.”
  • “BETRUG!!!”

Gruppe Eins war deutlich in der Überzahl. Die meisten haben direkt erkannt, dass es sich um Spam handeln muss. Ich habe auf alle diese E-Mails schnell geantwortet (das geht natürlich auch mit automatischen Antworten, die einen erklärenden Passus enthalten) mit ein paar kurzen erklärenden Sätzen (“Wir sind gehackt worden. Klicken Sie nicht auf die Anhänge” etc.). Die Reaktionen waren durchweg positiv:

  • “Danke für die schnelle Info! Das habe ich mir gedacht, wollte aber Bestätigung.”
  • “Halten Sie durch!”

Schritt 4: Fehlerdiagnose betreiben und Updates posten

Irgendwann ebbte die erste Flut ab und es blieb Zeit für Fehlerdiagnose. Ich habe nochmals Kontakt mit MailChimp aufgenommen und mir in Ruhe angeschaut, was eigentlich genau vorgefallen ist. Dann habe ich Updates auf Facebook gepostet.

Schritt 5: Onlinewarnungen teilen

Zwei Plattformen, die über E-Mail-Spam informieren, haben unseren “Fall” aufgegriffen. “Spam-Nachrichten werden oft im Namen von großen Unternehmen versendet. Doch hin und wieder werden die Daten von kleinen Firmen, Einzelunternehmern oder Privatpersonen missbraucht. Derzeit trifft es eine Firma aus dem Raum Augsburg,” hieß es auf onlinwarnungen.de. Der Beitrag war eine wertvolle Hilfe, zumal dort fairerweise betont wurde, dass wir selbst das Opfer sind und dass Spam-Empfänger bitte davon absehen sollen, uns zu kontaktieren:

Wichtiger Hinweis: Die nachfolgend beschriebene Spam-Mail wurde nicht von der Augsburger Textekiste versendet. Vielmehr handelt es sich hier um einen Missbrauch von EDV-Systemen. Das Unternehmen ist selbst geschädigt. Bitte verzichten Sie auf eine Kontaktaufnahme mit der Augsburger Textekiste, damit der Geschäftsbetrieb nicht zum Erliegen kommt. Der Vorgang ist dort bereits bekannt.” (onlinewarnungen.de)

Auf der Seite vorsicht-email.de wird sehr detailliert beschrieben, was passiert, wenn man auf den Anhang klickt. Es handelt sich angeblich um eine Word-Datei, in der sich aber ein Makro verbirgt. Was genau dann folgt (Trojanische Pferd und potenzielle Ausspähung der Bankdaten) ist in diesem Artikel auf vorsicht-email.de beschrieben.

Beide sehr hilfreichen Artikel habe ich über die Facebook-Seiten geteilt. Damit möglichst wenige Leute dem Trojaner auf den Leim gehen.

Schritt 6: Durchatmen

Ich habe schon viele Spam-Mails bekommen. Aber ich war noch nie der Absender. Das war wirklich äußerst unangenehm: Dass in meinem Namen und im Namen der Musikschule andere Menschen mit Müll überschüttet werden. Die E-Mails ebben langsam ab. Aber der Schreck bleibt noch in den Knochen. Mal sehen, wann ich mein Telefon wieder anschalten kann.

Schritt 7: Offizielle Stellen einschalten

Bei der Polizei habe ich Anzeige gegen Unbekannt erstattet. Und Meldung beim Datenschutzbeauftragten des Landes gemacht.

Schritt 8: Mich über die schönste Reaktion freuen

Es kamen so viele ermunternde Worte von unbekannten Menschen – das war toll! Vielen Dank! Besonders rührend fand ich die Reaktion einer Frau, die auf der Facebook-Seite der Musikschule eine Fünf-Sterne-Bewertung hinterlassen hat mit dem Kommentar: “Unbekannterweise moechte ich an dieser Stelle mal ein Lob aussprechen. Ihr habt auf diese Sache echt klasse reagiert!” Danke! Das war wirklich Balsam für die spamgeschundene Seele in höchster Seenot!