Xander Koppelmans op het CCV-cybercongres
Volledig scherm
Xander Koppelmans op het CCV-cybercongres © Vincent Krijtenburg

Xander raakte alles kwijt door hack: ‘Binnen twee jaar van zorgeloos naar dakloos’

Het bedrijf van Xander Koppelmans was goed geautomatiseerd en beveiligd tegen cybercrime. Althans, dat dacht hij - totdat zijn servers in 2015 werden gehackt. Koppelmans sprak op een cybercongres over het dramatische keerpunt in zijn leven. 

In 1991 wordt Koppelmans ondernemer. Hij heeft dan een holding (Xtract bv) en een productie bv (studio PHGR). Hij heeft acht man in dienst en werkt daarnaast met een stuk of dertig freelancers. Ook privé heeft hij het op de rit met een goed huwelijk en een gezonde levensstijl. ,,Roken deed ik niet”, zei hij volgens De Ondernemer op het congres. 

Back-upservers 

Dag in dag uit maakt Koppelmans’ bedrijfsfoto's en -video’s voor grote klanten, zegt hij op het cybercongres van CCV. De ISDN-verbinding die hij in het Zeeuwse Goes heeft, maakt het onmogelijk om externe back-ups te maken. ,,Daarom had ik drie back-upservers die de hele dag kopieën maakten van de servers zodat we geen data konden verliezen. Ik investeerde behoorlijk in een firewall en in 24/7-systeembeheer vanuit Amsterdam. Een bakker wil brood maken en ik wilde gewoon foto’s maken. Je koopt vertrouwen voor zeshonderd euro per maand, zodat anderen het voor je bijhouden”, legde hij uit. Projecten die klaar zijn, gaan op een externe schijf en in een kluis. Alleen projecten waaraan gewerkt wordt, staan op de servers.

Koppelmans is dus allesbehalve nalatig als het over de digitale veiligheid gaat. Toch gaat het op 2 april 2015 helemaal fout. Hij wordt gehackt. En omdat hij zijn zaken zo goed voor elkaar heeft, raakt hij niet overstuur. ,,Ik vond het zelfs wel een beetje spannend. Kom maar door, dacht ik, ik heb het goed voor elkaar. Ik heb back-ups, verzekeringen. Er kan me niet veel gebeuren.”

Quote

Kom maar door, dacht ik, ik heb het goed voor elkaar

Xander Koppelmans

Total loss

De hack blijkt een zogenoemde brutal force-aanval te zijn. ,,We ontdekten dat er mappen verdwenen op onze servers. Alle mappen en bestanden werden automatisch in de prullenbak gedaan en die werd direct geleegd. De traffic manager ontdekte het en belde naar Amsterdam. Zij vertelden ons dat we gehackt werden.’'

Gelukkig bestaat er zoiets als data recovery. Daarbij is het mogelijk om gewiste bestanden terug te halen. ,,We hebben de schijven opgestuurd naar zo’n bedrijf en ze konden tachtig procent van de foto’s en video’s terughalen. Tegen extra betaling deden ze dat zelfs met spoed.” So far so good? Helaas: twintig procent van ieder beeld was aangetast en onbruikbaar geworden. ,,Kleuren eruit, een hoek eruit, de mappenstructuur weg. Toen wisten we het. Dit is total loss. Alles is weg, echt weg.”

Quote

We ontdekten dat er mappen verdwenen op onze servers

Xander Koppelmans

China

,,Heeft u een signalement van de hacker?” is de eerste vraag die Koppelmans krijgt als hij aangifte doet bij de politie. ,,Staat ’ie op camera?”, vraagt de onwetende agent die de aangifte opneemt. De aangifte komt terecht bij de afdeling cybercrime. Deze afdeling kan niet meer doen dan constateren dat het bedrijf inderdaad is aangevallen. Van de daders ontbreekt tot op de dag van vandaag ieder spoor. ,,Een enorme teleurstelling. Als je auto wordt gejat, komt er wel actie. Nu komt er geen actie”, mijmerde de ondernemer bij het congres.

,,Wie doet nou zoiets? Een leverancier? Een klant? Het vreet aan je. Volgens een ethische hacker die ik heb ingezet kwam de aanval uit China. Maar dat zegt nog niks. Honderd dollar om een aanval uit te voeren is voor een Chinese student veel geld. Het gevoel blijft.”

Schade

Koppelmans kent ondertussen de vele motieven die criminelen kunnen hebben voor een hack. ,,Een ransom hack. Na betaling krijg je de data terug. Wraak. Het ging namelijk wel erg goed met mijn bedrijf en de concurrentie had daar veel last van. Of gewoon omdat het kon, uit baldadigheid, net zoals het slopen van een bushokje. Ze weten het misschien zelf niet eens…” Hij zal het nooit weten. Wel weet hij wat het je kan kosten. Zo’n beetje alles in zijn geval.

Quote

Wie doet nou zoiets? Een leveran­cier? Een klant?

De initiële schade is 269.000 euro. Daarbovenop komen de kosten voor het opnieuw maken van de foto’s en video’s, 250.000 euro. Drie maanden in bed wegens een burn-out kost het bedrijf een kwart miljoen. ,,Na deze 769.000 euro ben ik gestopt met tellen. De verzekering heeft 18.000 euro uitgekeerd.”

,,De werkelijke schade zit in het vertrouwen van de klanten. Mensen gaan ergens anders iets kopen als je winkel dicht is. En ze vertrouwen niet meer dat je goed op hun data kunt passen. Het plezier in het werk gaat eruit. Mensen stapten op en dat kan ik ze niet eens kwalijk nemen. Het bestaansrecht van de onderneming kwam volledig onverwacht op de helling te staan.”

Faillissement

Na het aanvragen van het onvermijdelijke faillissement verbreekt de bank de relatie met het bedrijf. ,,Ook met de holding. En de persoonlijke hypotheek zeiden ze ook gelijk op. Dat is wat banken in zo’n situatie doen.” Koppelmans verkoopt zijn huis. Zijn huwelijk loopt stuk. ,,Binnen twee jaar ging ik van zorgeloos naar technisch dakloos. Dat is heel gek. Ik heb toch niks verkeerd gedaan?”

Quote

De werkelijke schade zit in het vertrouwen van de klanten

Xander Koppelmans

Zijn verhaal vertelt hij tegenwoordig om mede-ondernemers te waarschuwen tegen de gevaren van cybercriminaliteit. Zoals tijdens het CCV-cybercongres in Dordrecht. ,,Iedereen heeft een brandverzekering, maar de kans op een brand is 1 op 8000 en de schade gemiddeld 13.790 euro. De kans op een cyberaanval is 1 op 8 en de schade gemiddeld 300.000 euro.”

Anno 2020 gaat het goed met Koppelmans. ,,Ik ben veilig, heb alle hoofdpijndossiers afgehandeld en heb met behulp van mijn accountant een nieuw pand kunnen kopen. Ik ben wel gaan roken. Verdorie!”

Mag de politie je computer hacken als dat nodig is? Dr. Bart Schermer (Universiteit Leiden) legt uit hoe het zit: