Kontakt

    Sommerlad: Wie den Schaden nach Hackerangriff minimieren und daraus lernen?

    „Hilfe, wir sind verschlüsselt!“ – dieser Notruf unseres mittelständischen Kunden Sommerlad nach einem Ransomware-Angriff ging beim Service Desk der netgo ein. Das besonnene Krisenmanagement der netgo konnte das Schlimmste verhindern. Nach nur vier Tagen lief der Geschäftsbetrieb wieder an. Gleichzeitig wurde die Cyber Resilienz gestärkt.  

    Das Unheil kündigt sich an einem Donnerstagmorgen durch den Ausfall der Server an. E-Mail, Telefonie, Warenwirtschaft – nichts funktioniert mehr. Beim Aufschalten auf die Infrastruktur festigt sich die Gewissheit: „Wir sind gehackt!“. Das Kundenunternehmen wird kalt erwischt. Was tun?  

    Die netgo empfiehlt seinen Kunden auf keinen Fall bezahlen und dadurch das Geschäftsmodell der Hacker unterstützen. Stattdessen so schnell wie möglich einen IT-Dienstleister mit dem nötigen Knowhow und entsprechenden Kapazitäten dazu holen. 

    Genau das machte der Kunde und alarmierte den Service Desk der netgo. 

    sommerlad

    Systeme isolieren und retten, was zu retten ist 

    Herr Crasser, Senior IT-Architect der netgo, kontaktiert unverzüglich den IT-Leiter des Kunden und begleitet die ersten Notfallmaßnahmen: „Sofort die Systeme isolieren und die weitere Ausbreitung der Ransomware verhindern!“  

    Das geschieht gerade noch rechtzeitig, bevor die Kriminellen sich an dem System, das die Datenreplikation des Backups in der Cloud bei einem dänischen Provider bereitstellt, zu schaffen machen.  

    Koordiniertes Krisenmanagement 

    Auf Wunsch des Kunden übernimmt Herr Crasser, aufgrund seiner fachlichen und seiner Management-Kompetenzen, die Leitung des Krisenstabs. Er strukturiert das Vorgehen und koordiniert alle Beteiligten. „Wichtig ist: Alle IT-Dienstleister einbinden, um einen genauen Überblick über die Lage zu erhalten und sich Klarheit über Abhängigkeiten zwischen einzelnen Systemen und Subsystemen zu verschaffen“, sagt Herr Crasser.  

    Zeitgleich prüfen die netgo Experten, ob noch Daten zu retten sind.  

    Das große Aufatmen:

    Das Backup in der Cloud ist noch nicht verschlüsselt und kann als Basis für den Wiederaufbau verwendet werden. Aufgrund der Zero-Trust Methodik wird entschieden die IT neu aufzubauen.   

    Das ehrgeizige Ziel:

    Bis Sonntag den IT-Betrieb wieder soweit zum Laufen zu bekommen, damit Bestellungen aus dem stationären Handel ausgeliefert und Imageschäden abgewendet werden können.  

    Agiles Team aus Spezialisten und Generalisten 

    Um in einem solchen Vier-Tage-Sprint voranzukommen und gleichzeitig ein Ausbrennen einzelner Team-Mitglieder zu vermeiden, ist es wichtig, dass die Aufgaben auf möglichst vielen Schultern verteilt werden.  

    Die dringlichste Frage ist daher: Wer kann mit welchen Ressourcen welche Themen unterstützen? Die netgo stellt kurzfristig elf Mitarbeiter von vier Standorten für das Notfallteam ab. Die hochspezialisierten Experten für einzelne Teilbereiche und Generalisten für übergreifende Themen arbeiten Hand in Hand. Mehrmals am Tag finden kurze Statusmeetings über Microsoft Teams statt, das als zentrale Collaboration-Plattform dient.  

    Safety First: Daten „waschen“ und verschlüsselte Daten sichern 

    Vor dem Wiederherstellen der Nutzdaten aus der Cloud werden diese auf isolierten Systemen geprüft („gewaschen“). Die verschlüsselten Altdaten werden als Beweismittel für die IT-Forensik gesichert. „Der Betroffene muss allein schon aus rechtlichen Gründen (z.B. DSGVO) wissen, ob sensible Daten abgeflossen sind, um etwaige betroffene Dritte warnen zu können, damit diese Schutzmaßnahmen ergreifen können“, erklärt Herr Crasser.  

    Ein Ergebnis der forensischen Untersuchung nach einigen Wochen: Das Einfallstor war eine manipulierte E-Mail mit einem Absender, der einem Kundenmitarbeiter bekannt war.  

    Der Weg zur neuen IT-Infrastruktur  

    Perfekt synchronisiert beginnen die netgo-Experten mit dem Neuaufbau der IT-Infrastruktur. Server und Clients wurden neu installiert, virtuelle Serverfarm und virtuelle Storage aufgesetzt bis hin zum Einrichten der Basisdienste (z.B. Active Directory) und des Backups: Nach agilen Methoden wird eine Aufgabe nach der anderen abgearbeitet und System für System entsprechend der Prioritätenliste wieder hergestellt.  

    Am Sonntag konnte der Kunde bereits wieder Arbeiten ausführen. Am Montag rollten die ersten LKW mit Lieferungen vom Hof. Und nach zehn Tagen können sogar einige Filialen wieder öffnen. Der Kunde ist überglücklich: „Tolle Teamleistung! Hochachtung und herzlichen Dank für das kompetente und außerordentliche Engagement!“ 

    Durch den Corona-Lockdown der Ladengeschäfte hatte der Kunde „Glück im Unglück“, was den Schaden verringerte. 

    Aus Fehlern lernen: Cyber-Resilienz stärken 

    Der Kunde hat den Neustart genutzt, und die gesamte IT deutlich widerstandsfähiger aufgestellt gegenüber den aktuellen Cyber Bedrohungen. „Cyber-Resilienz ist ein Mosaik aus ineinandergreifenden Maßnahmen zur Stärkung der Widerstandskraft – von den Anwendern über Geschäftsprozesse bis runter zur Technologie – damit ein Unternehmen Hackerangriffe möglichst unbeschadet übersteht“, sagt Herr Crasser.  

    Umgesetzt wurde ein Drei-Stufen-Modell:  

    • Eindringlinge besser abwehren 
    • Eindringlinge schneller bemerken 
    • Worst Case Vorsorge und die Wiederanlaufzeit minimieren, um die Business Continuity sicherzustellen 

    Unter anderen wurde der Zugriff auf Firmendaten nicht länger über Remote Desktop Verbindungen (RDP), sondern über eine zentral verwaltete Terminal-Infrastruktur und Thin Clients realisiert.  

    Ein optimiertes Benutzer- und Berechtigungskonzept umgesetzt. Statt ein einzelnes Passwort sichert nun eine Multifaktor-Authentifizierung den Zugang ins System. Eine Firewall-Lösung mit Intrusion Detection identifiziert Eindringlinge ins Netzwerk und isoliert sie. Das Backup als „Lebensversicherung“ läuft jetzt verschlüsselungssicher und wird zusätzlich offline an einem lokalen Ort aufbewahrt. Automatisierung und Standardisierung, wie etwa die Desktop Virtualisierung, aktuelle Dokumentationen, die Sicherung der Konfigurationen sowie Pläne für ein Notfallmanagement sichern einen möglichen schnellen wieder Anlauf.  

    Summary 

    Die Frage, die sich stellt, ist nicht länger, ob ein Angriff erfolgen wird, sondern nur wann er passieren wird, und welche Auswirkung er für Ihr Unternehmen hat.  

    Viele Unternehmen haben die letzten Jahrzehnte damit verbracht Ihre IT zu modernisieren und dabei Hochverfügbarkeitskonzepte mit gespiegelten Rechenzentren realisiert. Die Backupkonzepte wurden darauf ausgerichtet, sehr schnell komplette Systeme wiederherzustellen. Diese Mechanismen greifen in der Abwehr gegen Ransomware in keiner Weise.  

    Die Tatsache, dass viele Unternehmen vor den gleichen Herausforderungen wie „begrenztes“ IT-Budget, Fachkräftemangel und die zunehmenden Anforderungen an IT-Abteilungen stehen und somit an Ihre Kapazitätsgrenzen gelangen, begünstigt das Thema Ransomware ungemein. Das Ausmaß des Dilemmas zeigt sich in den immens hohen Lösegeldzahlungen und dem rasanten Wachstum des Ransomware as a Service. 

    Hundertprozentige Sicherheit ist ein Wunschdenken. Jedes Unternehmen sollte sich daher die Frage stellen: Bleibe ich auch nach einem Hackerangriff handlungsfähig? Beziehungsweise: Wie schnell bin ich wieder handlungsfähig?  

    Die netgo unterstützt Sie dabei, Ihr Unternehmen dahingehend resilienter zu machen! 

    Unsere Experten beraten Sie

    Sie haben noch weitere Fragen, benötigen Informationen oder wünschen einen Rückruf?
    Hinterlassen Sie uns Ihre Nachricht – wir sind gerne für Sie da.

    Jetzt beraten lassen