Xander Koppelmans werd gehackt: einde bedrijf

Ondernemer Xander Koppelmans bouwde 25 jaar aan zijn succesvolle communicatiebureau. Het bedrijf was goed geautomatiseerd en beveiligd tegen cybercrime. Althans, dat dacht hij totdat zijn servers in 2015 werden gehackt. Koppelmans spreekt over het dramatische keerpunt in zijn leven. ,,Binnen twee jaar ging ik van zorgeloos naar technisch dakloos.”

In 1991 wordt Koppelmans ondernemer. Hij heeft dan een holding (Xtract bv) en een productie bv (studio PHGR). Hij heeft acht man in dienst en werkte daarnaast met een stuk of dertig freelancers. Ook privé heeft hij het op de rit met een goed huwelijk en een gezonde levensstijl. ,,Roken deed ik niet.”

Voorzorgsmaatregelen tegen cybercrime
Dag in dag uit maakt Koppelmans’ bedrijf foto’s en video’s voor grote klanten, zegt hij op het cybercongres van CCV. De ISDN-verbinding die hij in het Zeeuwse Goes heeft, maakt het onmogelijk om externe back-ups te maken. ,,Daarom had ik drie back-upservers die de hele dag kopieën maakten van de servers zodat we geen data konden verliezen. Ik investeerde behoorlijk in een firewall en in 24/7 systeembeheer vanuit Amsterdam. Een bakker wil brood maken en ik wilde gewoon foto’s maken. Je koopt vertrouwen voor zeshonderd euro per maand zodat anderen het voor je bijhouden”, legt hij uit. Projecten die klaar waren gingen op een externe schijf en in een kluis. Alleen projecten waaraan gewerkt werd stonden op de servers.

Koppelmans is dus alles behalve nalatig als het over de digitale veiligheid gaat. Toch gaat het op 2 april 2015 helemaal fout. Hij wordt gehackt. En omdat hij zijn zaken zo goed voor elkaar heeft, raakt hij niet overstuur. ,,Ik vond het zelfs wel een beetje spannend. Kom maar door, dacht ik, ik heb het goed voor elkaar. Ik heb back-ups, verzekeringen. Er kan me niet veel gebeuren.”

Alles weg
De hack blijkt een brutal force-aanval te zijn. ,,We ontdekten dat er mappen verdwenen op onze servers. Alle mappen en bestanden werden automatisch in de prullenbak gedaan en die werd direct geleegd. De trafficmanager ontdekte het en belde naar Amsterdam. Zij vertelden ons dat we gehackt werden.”

Gelukkig bestaat er zoiets als data recovery. Daarbij is het mogelijk om gewiste bestanden terug te halen. ,,We hebben de schijven opgestuurd naar zo’n bedrijf en ze konden tachtig procent van de foto’s en video’s terughalen. Tegen extra betaling deden ze dat zelfs met spoed.” So far so good? Helaas: twintig procent van ieder beeld was aangetast en onbruikbaar geworden. ,,Kleuren eruit, een hoek eruit, de mappenstructuur weg. Toen wisten we het. Dit is total loss. Alles is weg, echt weg.”

Aangifte afdeling cybercrime
,,Heeft u een signalement van de hacker?”, is de eerste vraag die Koppelmans krijgt als hij aangifte gaat doen bij de politie. ,,Staat ie op camera?”, vraagt de onwetende agent die de aangifte opnam. De aangifte komt terecht bij de afdeling cybercrime. Deze afdeling kan niet meer doen dan constateren dat het bedrijf inderdaad is aangevallen. Van de daders ontbreekt tot op de dag van vandaag ieder spoor. ,,Een enorme teleurstelling. Als je auto wordt gejat komt er wel actie. Nu komt er geen actie”, mijmert de ondernemer vol ongeloof.

,,Wie doet nou zoiets? Een leverancier? Een klant? Het vreet aan je. Volgens een ethische hacker die ik heb ingezet kwam de aanval uit China. Maar dat zegt nog niks. Honderd dollar om een aanval uit te voeren is voor een Chinese student veel geld. Het gevoel blijft.”

Motieven hacker
Koppelmans kent ondertussen de vele motieven die criminelen kunnen hebben voor een hack. ,,Een ransom hack. Na betaling krijg je de data terug. Wraak. Het ging namelijk wel erg goed met mijn bedrijf en de concurrentie had daar veel last van. Of gewoon omdat het kon, uit baldadigheid, net zoals het slopen van een bushokje. Ze weten het misschien zelf niet eens…” Hij zal het nooit weten. Wel weet hij wat het je kan kosten. Zo’n beetje alles in zijn geval.

De initiële schade is 269.000 euro. Daarbovenop komen de kosten voor het opnieuw maken van de foto’s en video’s, 250.000 euro. Drie maanden in bed wegens een burn-out kost het bedrijf een kwart miljoen. ,,Na deze 769.000 euro ben ik gestopt met tellen. De verzekering heeft 18.000 euro uitgekeerd.”

,,De werkelijke schade zit in het vertrouwen van de klanten. Mensen gaan ergens anders iets kopen als je winkel dicht is. En ze vertrouwen niet meer dat je goed op hun data kunt passen. Het plezier in het werk gaat eruit. Mensen stapten op en dat kan ik ze niet eens kwalijk nemen. Het bestaansrecht van de onderneming kwam volledig onverwacht op de helling te staan.”

Faillissement
Na het aanvragen van het onvermijdelijke faillissement, verbreekt de bank de relatie met het bedrijf. ,,Ook met de holding. En de persoonlijke hypotheek zeiden ze ook gelijk op. Dat is wat banken in zo’n situatie doen.” Koppelmans verkocht zijn huis. Zijn huwelijk liep stuk ,,Binnen twee jaar ging ik van zorgeloos naar technisch dakloos. Dat is heel gek. Ik heb toch niks verkeerd gedaan?”

Zijn verhaal vertelt hij tegenwoordig om mede-ondernemers te waarschuwen tegen de gevaren van cybercriminaliteit. Zoals tijdens het CCV-cybercongres in Dordrecht. ,,Iedereen heeft een brandverzekering, maar de kans op een brand is 1 op 8000 en de schade gemiddeld 13.790 euro. De kans op een cyberaanval is 1 op 8 en de schade gemiddeld 300.000 euro.”

Anno 2020 gaat het goed met Koppelmans. ,,Ik ben veilig, heb alle hoofdpijndossiers afgehandeld en heb met behulp van mijn accountant een nieuw pand kunnen kopen. Ik ben wel gaan roken. Verdorie!”

Bron: www.deondernemer.nl 

Terug naar het overzicht