Es begann am Montag früh am Morgen. Nicht ungewöhnlich, dass sich zum Wochenstart Kunden mit einem IT-Problem melden. Aber dann kam leichte Panik auf, nichts geht mehr, mehr als 100 Mitarbeiter stehen, alle Systeme waren durch Verschlüsselung unbrauchbar gemacht, bis auf ein einziges! Auf dem letzten lebenden System steht weiß auf Schwarz eine Lösegeldforderung. Ein ganz klassischer Hackerangriff.
Auf den ersten Schock folgte der Zweite, was ist jetzt zu tun? Das war durchaus eine verblüffende Erfahrung, völlig unvorbereitet dazustehen und nicht zu wissen, welche Abläufe in welcher Reihenfolge nun in Angriff zu nehmen sind. Es stellten sich Fragen wie, läuft der Angriff noch, wie sieht es mit der Datensicherung aus, ist der Vorfall zu melden, welche Analysen sind dringend zu machen und haben wir einen Plan wieder in die Gänge zu kommen?
Erkenntnis: Ohne fremde Hilfe geht es nicht! Erfahrene Spezialisten müssen her. Das ist wie beim Pilze suchen, man muss wissen, wo sie zu finden sind. Als die Spezialisten da sind und anfangen zu arbeiten, kommt Ordnung ins Geschehen und die Abläufe beginnen zu greifen.
Tipp 1: Sie brauchen ein SPEZIELL SICHERES Backup
Man könnte meinen, dass nach so einer Verschlüsselungsattacke sofort mit der Wiederherstellung der Daten und der Inbetriebnahme der IT begonnen werden kann – aber weit gefehlt! Jetzt sind die Behörden unter Beteiligung der Juristen am Werk. Gleichzeitig versuchen die Forensiker herauszufinden, wie der Angriff durchführt wurde und ob noch Gefahr besteht. Natürlich möchte auch die Versicherung alles von Anfang an mitverfolgen, um später ihre Schlüsse ziehen zu können.
Die verschlüsselten Daten müssen sichergestellt werden, denn sie könnten sich später noch als nützlich herausstellen, z. B. als Beweismittel. Das alles erfordert unglaublich viel Zeit und Ressourcen. Letztlich vergeht eine Woche während dieser Arbeiten und die Mitarbeiter der attackierten Firma sind zur Untätigkeit verdammt. Währenddessen wird entschieden, die Erpresser nicht zu bezahlen und die IT-Infrastruktur komplett neu aufzubauen.
Nun muss schnellstens neue Hardware her. Wir reden hier von Servern, Speicher, Firewalls und die Software dazu sollte auch verfügbar sein. Am besten, es wäre schon alles gestern geliefert worden. Nun, die Beschaffung war erfolgreich und die ITler konnten zwei Tage später loslegen.
Tipp 2: Stellen Sie sicher, dass im Katastrophenfall zusätzliche IT-Ausstattung zur Verfügbarkeit steht oder schnell verfügbar gemacht werden kann. Davon könnte die Wiederinbetriebnahme abhängen.
Eine Neuinstallation ist zwar aufwendig und teuer, aber machbar und es bietet sich die Gelegenheit, die neuesten Sicherheitstechnologien zu integrieren. So weit, so gut, aber wo sind die Daten? Und das war in diesem Kriminalfall der springen Punkt: Die Hacker hatten auch alle Backups gelöscht, auch Zweit- und Dritt-Kopien. Alle? Nicht ganz, die “last line of defense” hat gehalten. Das war vor allem neuester Backup-Technologie und einem Bandlaufwerk geschuldet.
Nachdem erste Teile der IT-Infrastruktur wieder in Betrieb gingen, mussten auch die für die Unternehmens-Prozesse benötigten Daten bzw. Dokumente wieder zur Verfügung gestellt werden. Also zurück vom Backup zu den Mitarbeitern.
Wieder war es erschreckend, wie viel Zeit die Wiederherstellung der Daten in dieser unerwarteten Notsituation gekostet hat. In solchen Situationen laufen die Dinge nicht so glatt, wie man das gerne hätte!
Tipp 3: Ein Backup muss 100%ig verfügbar und zerstör sicher sein. Auch die Leistungsparameter müssen stimmen, das ist Spezialisten Know-how!
Ein Zustand, der ganze 14 Tage an äußerst intensiver Arbeit bedurfte. Eine Woche später war der Normalbetrieb (fast) wieder hergestellt. Um das Ausmaß aller Konsequenzen darzustellen, reicht der Platz an dieser Stelle bei weitem nicht, aber eines war ganz klar: So ein Vorfall darf sich nie wieder ereignen.
Tipp 4: Stellen Sie sicher, dass es einen Plan B in Ihrer Schublade gibt!