'Pas als ik €100.000 zou betalen, kreeg ik mijn bestanden terug'
Cyberoplichters vormen een enorme schadepost voor ondernemers. Hoe kunnen ze hun digitale veiligheid verbeteren? Drie ondernemers vertellen over een hack en de schade.
alware, phishing, ransomware of een DDoS-aanval. Het is slechts een kleine greep uit de digitale bedreigingen waar bedrijven aan blootstaan. Oplichters maken misbruik van de bedrijfsnaam, vervalsen facturen of versturen zogenaamd uit naam van de directeur betaalopdrachten.
Donderdag lanceerde het ministerie van Economische Zaken de checklijst Basisscan Cyberweerbaarheid. Langs die weg zouden ondernemers zelf op een laagdrempelige manier in korte tijd hun digitale veiligheid kunnen doorlichten en verbeteren.
Dat is nodig ook, want digitale oplichters zadelen ondernemingen op met een flinke schadepost, zo blijkt uit de meldingen die verleden jaar binnenkwamen bij de Fraudehelpdesk. De 426 mkb'ers die zich toen hebben gemeld, verloren in totaal bijna €6 mln. Gemiddeld is dat per slachtoffer ongeveer €14.000.
Dit getal is aan de lage kant, want de Fraudehelpdesk registreert hier alleen fraude waar uitsluitend ondernemers het slachtoffer van worden. Zo tellen ze bijvoorbeeld phishing niet mee, omdat die fraude ook particulieren treft.
Over het aantal slachtoffers bestaat grote onduidelijkheid. 'Er wordt weinig over gesproken', zegt Els Prins, bij ondernemersorganisatie MKB-Nederland verantwoordelijk voor de portefeuille criminaliteit. 'Veel ondernemers schamen zich. Alsof het hun eigen schuld zou zijn.'
Anders dan Els Prins, noemt Interpolis wel een getal. Volgens de verzekeraar worden jaarlijks zes op de tien Nederlandse ondernemers gehackt.
'Dat lijkt mij aan de hoge kant', reageert Rutger Leukfeldt, lector cybercrime bij het mkb. 'Bij een steekproef onder 800 ondernemers ging het om één op de vijf.'
Leukfeldt signaleert bij het mkb een gebrek aan kennis en een te grote dadendrang. 'Als een ondernemer het slachtoffer wordt, wil hij zo snel mogelijk weer up and running zijn. De klant gaat voor alles en mag niet teleurgesteld worden.'
Zo wordt het systeem soms weer ingeschakeld voordat alle gevaren zijn geëlimineerd. Dat kan leiden tot meer schade. 'Het is belangrijk dat mkb'ers scenario's gaan ontwikkelen', zegt Leukfeldt. 'Want als het misgaat, moet iedereen precies weten wat hij of zij op welk moment moet doen.'
Drie ondernemers die onlangs het slachtoffer van cyberoplichters werden, vertellen over de schade en andere gevolgen.
'Ik verdacht iedereen en werd volslagen paranoïde'
Xander Koppelmans, nu van ontwerpstudio Xtract
Het geld stroomt binnen, nieuwe klanten melden zich in groten getale en zijn medewerkers gaan fluitend naar hun werk. Xander Koppelmans (54), eigenaar van de Zeeuwse foto-, film- en ontwerpstudio PHGR, voelt zich onoverwinnelijk.
Tot donderdag 2 april 2015. 'Toen verdwenen onze bestanden van de server', zegt Koppelmans. 'Ook het onderhanden werk was weg. Alleen al de directe schade kwam uit op €250.000.'
Koppelmans doet aangifte op het politiebureau. De dienstdoende agent vraagt hem om een signalement van de dader. Vanaf dat moment weet Koppelmans dat vanuit die hoek geen oplossing te verwachten is.
In de maanden die volgen, werkt Koppelmans achttien uur per dag. De schade moet hersteld worden, hij wil zijn klanten niet teleurstellen. De volgende klap komt als Koppelmans uitgeput flauwvalt en het van zijn arts rustig aan moet doen.
In de lente van 2016 is het bedrijf van Koppelmans een zinkend schip. Geschrokken opdrachtgevers kiezen voor een ander bureau en zijn medewerkers zoeken zekerheid bij een andere werkgever.
Koppelmans houdt het nog een klein jaar vol, maar op 17 februari 2017 moet hij faillissement aanvragen. 'Niet alleen is mijn levenswerk vernietigd,' zegt hij, 'ook werd ik volslagen paranoïde. Bij iedereen die ik tegenkwam, vroeg ik me af of die de dader was.'
Nu gaat het Koppelmans beter. Zijn nieuwe bedrijf heet Xtract en hij doet wat hij altijd deed. Maar nu als kleine zelfstandige. 'Ook geef ik vaak lezingen over cybercrime', zegt hij. 'Want daar kan niet vaak genoeg voor gewaarschuwd worden.'
'De daders mogen niet beloond worden'
Fotograaf Thomas Schlijper
Thomas Schlijper draait de warme kraan vol open. De Amsterdamse fotograaf heeft zojuist gehoord dat hackers zijn website hebben platgelegd. Een kille daad, vindt Schlijper (43). Hij voelt zich uit het veld geslagen, maar is machteloos. Misschien dat een warm bad zijn gemoed weer kan ontdooien.
De hackers eisen 0.03 bitcoin, omgerekend een kleine €250. Als Schlijper binnen tien dagen betaalt, krijgt hij alles terug. Doet hij dat niet, dan worden zijn back-ups vernietigd, zo luidt het dreigement.
'Op de website schlijper.nl staan ongeveer 45.000 foto's', zegt Schlijper, die vooral bekend geworden is met zijn foto's van het Amsterdamse straatleven. 'Gelukkig konden de mensen van mijn provider alles nog wel terughalen. Het was veel werk, maar inmiddels is de schade hersteld.'
Betalen was niet aan de orde voor Schlijper. 'De daders mogen niet beloond worden. Als niemand geld zou overmaken, zou deze vorm van misdaad snel verdwijnen.' Maar Thomas Schlijper weet ook dat hij nu makkelijk praten heeft. Als zijn foto's waren verdwenen, was hij misschien toch in de verleiding gekomen €250 over te maken.
Na een paar nachten doorwerken, staat schlijper.nl weer online. 'De pijn is geleden', zegt hij. 'Daarbij hebben alle positieve reacties zeker geholpen. Via sociale netwerken kreeg ik niet alleen juridische, maar ook technische hulp aangeboden. Het is fijn te weten dat er ook veel lieve mensen zijn in de wereld.'
'Ik maakte mij geen zorgen, mijn systeem was goed op orde'
Rob Zander van Vakgarage Zander
Eens in de drie dagen maakt Rob Zander back-ups. Op zijn computers laat hij altijd de nieuwste versies van de firewalls en antivirusprogramma's installeren. En regelmatig vertelt hij zijn medewerkers voorzichtig te zijn met duistere e-mails en pop-upschermen.
'Ik hoorde weleens wat over hackers, zegt de 48-jarige Zander, directeur en eigenaar van de gelijknamige garage in het Noord-Hollandse Heiloo. 'Aan die informatie besteedde ik nooit veel aandacht. Waarom zou ik? Ik had mijn zaakjes goed op orde.'
Toch gaat het fout. Als Zander begin oktober zijn computer start, verschijnen er merkwaardige boodschappen op zijn beeldscherm. Wat Zander ook probeert, de informatie die hij nodig heeft kan hij niet bereiken.
Zander belt direct met zijn systeembeheerder. 'Je bent gehackt', zegt die. Via een omweg kan die nog in het systeem, waar hij een boodschap vindt van de daders. Als Zander honderdduizend euro in bitcoins overmaakt, geven zij de bestanden weer vrij.
'Natuurlijk heb ik dat niet gedaan', zegt Zander. 'Als ik de software opnieuw liet installeren, was ik klaar met €3000.'
De verbinding met de buitenwereld wordt hersteld via een noodcomputer. Dan kunnen de monteurs hun digitale handboeken weer raadplegen en de voor de apk gekeurde auto's via het internet afmelden.
Drie dagen later is ook de administratie bijgewerkt. 'Het was hard werken,' zegt Zander, 'maar gelukkig bleef de schade beperkt. Toch ben ik flink geschrokken. Tegenwoordig wordt er elke dag automatisch een back-up gemaakt.'