Rekonstruktion eines Cyberangriffs auf ein slowakisches Produktionsunternehmen mit einer 70-jährigen Erfolgsgeschichte
Es ist Dienstag, der 13. April 2021, 6 Uhr morgens. Ein Angestellter eines Fertigungsunternehmens beginnt einen typischen Arbeitstag. Er schaltet seinen Computer ein – und sofort ändert sich alles. Auf dem Bildschirm leuchtet eine Nachricht von einem Cyberangreifer auf: „Der Computer ist verschlüsselt, kontaktieren Sie mich innerhalb von 24 Stunden.“ Einfach ausgedrückt: Das System wurde gehackt und der Hacker will ein Lösegeld für die Rückgabe der Daten.
„Es war der schwärzeste Tag in der 70-jährigen Geschichte unseres Unternehmens“, sind sich die Manager des Unternehmens heute einig.
Nicht nur in der Welt, sondern auch in der Slowakei sind Angriffe auf private Unternehmen und staatliche Einrichtungen an der Tagesordnung. An manchen Orten gehen die Cyber-Angreifer auf Nummer sicher, an anderen probieren sie es einfach aus und warten ab, welche Aktion erfolgreich sein wird. Der Schaden für erfolgreich angegriffene Unternehmen ist dementsprechend enorm. Sie verlieren Hunderttausende von Euro auf mindestens vier Ebenen: durch Betriebsunterbrechungen, durch die Notwendigkeit der technischen Wiederherstellung von Systemen, durch Vertragsstrafen für Geschäftspartner und nicht selten durch die Zahlung von Lösegeld. Darüber hinaus ist die unbeabsichtigte Folge in der Regel ein Vertrauens- und Reputationsverlust bei den Kunden.
Im folgenden Artikel rekonstruieren wir den Angriff auf ein slowakisches Produktionsunternehmen, das sich dank der schnellen Suche nach professionellen Managementlösungen, dem hohen Engagement loyaler Mitarbeiter und nicht zuletzt der rechtzeitigen und offenen Kommunikation mit den Kunden einem erfolgreichen Finale nähert.
Die ersten Schritte des Unternehmens nach dem Angriff
Kehren wir zurück zu dem verhängnisvollen 13. April 2021. Der Mitarbeiter, der die Nachricht des Angreifers gefunden hatte, kontaktierte den IT-Manager des Unternehmens. Seine erste Antwort am Telefon war: „Welcher Server ist es?“ Das Unternehmen hatte bereits Erfahrungen mit individueller Verschlüsselung gemacht und war damit stets spielerisch umgegangen. Doch die Antwort des Mitarbeiters war: „Alle, fürchte ich.“
Was ursprünglich ein klassischer Arbeitstag in einem Produktionsunternehmen war, entwickelte sich zu einer Reihe von dramatischen Ereignissen, die den Einsatz aller internen Komponenten, einschließlich des Topmanagements, erforderten.
Zunächst einmal mussten alle 38 Server, einschließlich der Computer und Drucker, vom Datennetz getrennt werden. Diejenigen, die neu gebootet oder durch den Virus blockiert worden waren, mussten „hart“ aus den Stromkästen gezogen werden. „In diesem Moment wurde uns allen klar, dass die Behebung des Problems länger dauern würde als die Ausfallzeit für die Wartung“, erinnert sich der IT-Manager.
Normalerweise wurde ihr Server innerhalb von ein oder zwei Tagen aus Backups wiederhergestellt, aber nach dem Angriff waren die Daten auch nach einem Teststart weiterhin verschlüsselt. Was kann man dagegen tun?
Die unmittelbare Reaktion des Managements war verständlicherweise Wut auf den Angreifer. „Warum unser Unternehmen? Für wen können wir als Ziel interessant sein?“, erinnert sich ein Mitglied der Unternehmensleitung an einen schwarzen Tag. Die IKT-Infrastruktur, die Systeme, die Ausrüstung, der Informationsfluss zur Produktion, die E-Mail-Kommunikation, alles, was direkt mit der IT verbunden war, funktionierte plötzlich nicht mehr. „Stellen Sie sich vor, Ihr Netzwerk ist ausgefallen, Ihre Server sind verseucht und Sie stellen fest, wie sehr Ihre Backups in Mitleidenschaft gezogen wurden.
Jeder Einzelne in der Firma fühlte sich wie am Boden zerstört. Nur eines war sicher: Die rechtschaffen verärgerten Mitglieder des Managementteams waren sich einig und vereinbarten, dass sie unter keinen Umständen irgendjemandem etwas zahlen würden.
„Gleichzeitig haben wir erkannt, dass Wut nicht hilft, dass es notwendig ist, konstruktiv zu denken, eine Strategie festzulegen und die Situation schrittweise zu lösen. Uns allen war klar, dass das Wichtigste darin bestand, die Produktion aufrechtzuerhalten, was für die Produktion, die Einnahmen und die Verbindlichkeiten des Unternehmens von entscheidender Bedeutung ist. Dies geschah um den Preis, dass wir wieder zu Papier und Bleistift zurückkehren mussten, um den Betrieb zu verwalten“, erinnert sich ein Mitglied der Geschäftsführung der Produktionsfirma an die ersten Stunden eines schwarzen Tages. „Es war extrem schwierig.“
Erste Empfehlungen von Spezialisten
Die Techniker zogen zunächst die Möglichkeit in Betracht, über ein Windows-Gerät eine Verbindung zu einem NAS im Serverraum herzustellen. Dies ist ein Speichergerät, mit dem Unternehmen große Datenmengen sicher speichern und schützen können. Es bestand jedoch auch die Möglichkeit, dass bösartige Codes übertragen oder die Verschlüsselung ausgelöst werden könnte. Daher wandte sich das Unternehmen an den IT-Beratungsanbieter GAMO.
Die erste Empfehlung des Beraters lautete: Überprüfen Sie die Backups über die Linux-Appliance. „Wir sind nach und nach vorgegangen, die Stapel von Dateien, die wir durchgesehen haben, waren immer ganz oder teilweise verschlüsselt. Und wir wissen, dass, wenn etwas auf einem virtuellen Server teilweise verschlüsselt ist, bereits unsichtbarer bösartiger Code eingebettet sein kann. In diesem Fall sollten wir nichts von diesem Server verwenden“, kommentiert der IT-Leiter des Unternehmens, das damals angegriffen wurde.
Also wandten sie sich an den Marktführer für Sicherheitslösungen. Obwohl er Ransomware-Angriffe auf mehrere slowakische Unternehmen registrierte, hatte er keine konkrete Lösung für die Situation. „Der Plan, alles aus Backups wiederherzustellen, funktionierte nicht. Und die Zeit wurde knapp.“
Eine Hoffnung für die Rettung einiger Daten waren Kassettenbänder. „Wir haben vor etwa sechs Monaten eine Sicherungskopie auf diesen Medien erstellt. In der Hoffnung, dass vielleicht noch brauchbare Informationen darauf sind, haben wir die Bänder der letzten fünf Jahre an unseren Berater geschickt“, fährt der IT-Manager fort.
Diese wurden in GAMO mithilfe von Robotern mühsam kategorisiert. Der Prozess, die Bänder eines nach dem anderen durchzugehen und Verbindungen in den Aufzeichnungen zu finden, dauerte mehr als drei Wochen. Parallel dazu suchte das Unternehmen nach anderen Möglichkeiten, das Problem zu lösen.
Schneller Übergang zur Cloud
Da die gesamte Infrastruktur des angegriffenen Unternehmens verschlüsselt war, wurde eine Umgebung gesucht, die das Informationssystem schnell und sicher wieder in Gang bringen würde. Die ideale Lösung war die Cloud. Am zweiten Tag der Beratung mit den Spezialisten entschied sich die Geschäftsleitung des Unternehmens für diese neue Arbeitsweise und forderte den Service für alle Server an.
Schritt für Schritt gingen die Techniker durch, was noch gerettet werden konnte. Zum Beispiel wurde die Datenbank des Produktionssystems vom Vortag gefunden. Die Untersuchung ergab, dass sie nicht verseucht, sondern nur durch einen schweren Serverabsturz beschädigt war. Die beschädigten Transaktionen wurden repariert, eine leere MS SQL-Datenbank wurde installiert, und der Import lieferte eine Datenbank ohne Erweiterung und ohne Verschlüsselung. „Wenn die Datenbank nicht in Ordnung war und die Prüfungen aller darin enthaltenen Laufwerke nicht übereinstimmten, wurde sie vom Datenbanksystem nicht akzeptiert. Nachdem die Transaktionen bereinigt waren und die Datenbank korrekt importiert worden war, wurde sie getestet und dann in die Cloud geschickt“, erklärt der IT-Manager des Unternehmens.
„Wir haben die geretteten Datenbanken und Daten der wichtigsten Systeme des Unternehmens auf zwei Festplatten gespeichert“, sagt einer der leitenden Angestellten des Unternehmens über den Moment der Krise.
Sie mussten schnell aus der Mittelslowakei nach Bratislava geliefert werden, damit die Techniker von GAMO sie in der Cloud-Umgebung zum Leben erwecken konnten. „Es war ein seltsames Gefühl, plötzlich das gesamte Vermögen eines Unternehmens, das man 70 Jahre lang aufgebaut hat, auf zwei Festplatten zu haben. Es ist keine Halle, die man bauen kann, es ist kein Rack, das man kaufen kann. Es sind zwei Festplatten, mit denen Sie nichts anzufangen wissen. Die Daten waren irgendwo da drin, aber sie mussten abgebaut werden“, erinnert er sich und fügt hinzu, dass er sie „die ganze Nacht in seinem Bett aufbewahrte und nicht bei seiner Frau, die nicht im Haus war.“
Er fuhr sehr früh am Morgen nach Bratislava. „In meinem Kopf wirbelten verschiedene Gedanken und Arbeitsverpflichtungen herum – aber sie wurden alle von dem Wissen überwältigt, dass ich in meinem Auto buchstäblich die vielleicht einzige Rettung für das Unternehmen transportierte. Und stellen Sie sich vor, Sie tragen etwas bei sich, das für Sie von unschätzbarem Wert ist, und dann wird dieses Vermögen an einem vereinbarten Ort von einem Mann abgeholt, den Sie noch nie zuvor gesehen haben. Er packt sie in seinen Rucksack, als wären sie nichts – und geht weg… Sie stehen da und fragen sich, ob Sie gerade die richtige Entscheidung getroffen haben“, lächelt ein Topmanager heute.
Es gibt mehrere Sicherheitsmaßnahmen in der GAMO Cloud. Die erste ist das Rechenzentrum selbst, von dem aus die Cloud-Dienste betrieben werden. Dank seiner Konstruktion und der physischen und objektiven Sicherheit wirkt es von außen wie eine uneinnehmbare Festung. Darüber hinaus garantiert der Anbieter die Sicherheit aller Daten. Die Cloud basiert auf der SDDC-Technologie von VMware, bei der der Sicherheit höchste Priorität eingeräumt wird. Seine Sicherheit entspricht den TIA 942 Standards für Tier III. GAMO war der erste slowakische Cloud-Anbieter, der das prestigeträchtige CSA Star-Zertifikat für die umfassendste Sicherheitsüberprüfung erhalten hat. Sie müssen sich nicht um den Betrieb, die Wartung oder die ständige Verfügbarkeit von Servern kümmern.
Produktionssanierung und Unterstützung von Lieferanten
Das Management überlegte, wie und wo man Daten und Datenbanken für die drei wichtigsten Systeme – Produktionssystem, Zeichnungen und Produktionsvorbereitung – erhalten könnte.
Parallel zu diesen Prioritäten erwarben sie in Zusammenarbeit mit Lieferanten neue und geliehene Geräte, um Daten aus geretteten und intakten Datenbanken zu verarbeiten. Ein Glücksfall war ein Lieferant, der über eine fünf Jahre alte Datenbank aus einem Altsystem verfügte, was einen Einblick in die alten Einträge ermöglichte. Nach der Genehmigung durch die Techniker wurden die einzelnen Arbeitsabläufe und Stücklisten auf Papier gedruckt und in die Produktion gegeben.
Drei weitere Computer und ein Offline-Drucker wurden installiert, damit die Arbeiter Zeichnungen kopieren und die Designer die Papierproduktion für die folgende Woche vorbereiten konnten. Es war auch möglich, zusätzliche Zeichnungen von Sicherungsbändern zu retten, die in SharePoint importiert und dann in Word kopiert wurden.
Dieser Prozess war jedoch langwierig und wurde von täglichem Druck begleitet.
Die richtige Kommunikation einrichten
Das Produktionsunternehmen verstand schnell, wie wichtig jede einzelne Entscheidung war und stellte einen Krisenstab aus Experten zusammen. Es bestand aus der Geschäftsführung des angegriffenen Unternehmens und Experten von GAMO, die jeweils genau definierte Verantwortlichkeiten und Aufgaben hatten.
Da der Exchange-Server ausgefallen war, begannen Händler und Einkäufer mit ihren Kunden über private E-Mails und Telefonkontakte zu kommunizieren. Abgesehen davon gab es keine andere elektronische Kommunikation.
„Wir hatten bereits die Anforderung, vom Exchange-Server in die Cloud zu Office 365 zu wechseln. Nach diesen Ereignissen war es für GAMO notwendig, die Implementierung zu beschleunigen – die Installation des ersten Satzes von E-Mails in M365“, sagt der damalige IT-Manager. Innerhalb einer Woche erhielten sie den ersten Satz von E-Mails und begannen nach und nach damit zu kommunizieren. „Das war auch ein Signal an unsere Kunden, dass wir in Betrieb gehen. Nach und nach rollten wir weitere Server in der Cloud aus.“
Sie haben nicht einen einzigen Kunden oder Lieferanten verloren. „Und das liegt vor allem an der richtig aufgebauten offenen Kommunikation nach innen und außen. Wären die Bereitschaft der Lieferanten, die Hilfsbereitschaft der Kunden und die schnelle Verbindung zu den Spezialisten nicht gewesen, hätten die Dinge ganz anders ausgehen können“, fügt ein Mitglied der Geschäftsführung der Produktionsfirma hinzu.
Mitarbeiter = die Grundlage eines guten Unternehmens
Was die Mitarbeiter betrifft, so wurde auch die Kommunikation in einer Krisensituation nicht unterschätzt. Das Unternehmen hatte zu diesem Zeitpunkt etwa 350 Mitarbeiter, in denen ganze Familien arbeiteten. Das Problem ist nicht wirklich entstanden, aber es hätte entstehen können. Ein Ausfall der Anwesenheits- und Gehaltsabrechnungssysteme oder des Internet-Bankings, auf das sich jeder Manager bei der Bearbeitung und Auszahlung der Löhne verlässt, kann das Leben sehr schwer machen.
Außerdem hätte die Nichtzahlung des Geldes eine echte Bedrohung für den Lebensunterhalt der Familien in der Region darstellen können. „Hier hat sich die Loyalität und der Zusammenhalt unserer Mitarbeiter gezeigt. Sie waren bereit, Überstunden zu machen, wofür ich ihnen sehr dankbar bin. Unser Unternehmen hat schon immer einen familienfreundlichen Ansatz verfolgt, und das hat uns in dieser schwierigen Situation sehr geholfen“, sagt ein Mitglied des Managementteams des Unternehmens.
Er schätzt auch die Arbeit der Lohnbuchhalterin, die schon seit 20 Jahren im Unternehmen ist. Obwohl sie die Lohnunterlagen im Informationssystem hatte, druckte sie alles zur Kontrolle auf die „alte Schule“ aus.
„Ein weiterer Glücksfall war, dass unser Unternehmen keine hohe Fluktuation hat. Ein Kollege aus dem Team erinnerte sich daran, wie die Löhne vor den IT-Systemen bezahlt wurden – mit einer Münzbank“, erklärt ein Mitglied des Managementteams des Unternehmens den nächsten Schritt der Lösung. Aber es war gar nicht so einfach, eine Münzbank für mehr als dreihundert Mitarbeiter zu verwalten, zu budgetieren, wie viele Scheine und Münzen für die Gehaltsabrechnung benötigt wurden, und dann die Barabhebungen an die Bank zu melden. „Dann war es auch noch notwendig, den gesamten Betrag aufzuteilen, um genau das ‚abzusaugen‘, was einem bestimmten Mitarbeiter zustand, und es gab auch ein nicht unerhebliches Problem mit der Sicherheit. Unsere weiblichen Angestellten arbeiteten Tag und Nacht daran, und es handelte sich nicht um kleine Summen. Das sind auch Dinge, an die man denken muss, wenn das ganze System zusammenbricht.“
Natürlich gab es tägliche und regelmäßige Treffen des Werksleiters mit den Produktionsleitern zur Information aller seiner Leute.
Kommunikation mit dem Angreifer
Zunächst weigerte sich das Unternehmen strikt, das Lösegeld zu zahlen. Doch dann erkannte man die Bedeutung einiger Server und versuchte, mit dem Cyberangreifer zu verhandeln.
„Es ist uns gelungen, einige Daten zu retten. Wir haben versucht zu verhandeln, nur für die zu bezahlen, die nicht funktionieren. Wir haben den Angreifer auch gebeten, uns einen Beweis zu schicken, dass er die Daten auch entschlüsseln kann. Die Antworten von ihm waren sehr knapp. Er kannte unser System genau und wenn wir ihn baten, einen Server zu entschlüsseln, um ihn uns vorzuführen, lieferte er den unwichtigsten, den Testserver, der nach einer Weile wieder verschlüsselt wurde“, erinnert sich der IT-Manager.
Am Ende wurde der Stürmer nicht bezahlt. „Wir haben eine Person gefunden, der es gelungen ist, die Verschlüsselung der Backups auf den anderen Servern, die wir benötigten, zu umgehen.“
Sie haben auch ein Problem mit dem Gesetz vermieden. Cyber-Angreifer verlangen in der Regel Lösegeld in Form von Kryptowährungen, was mit dem Problem verbunden ist, die Transaktion auf legale Weise in die Bücher zu bringen. Es besteht dann das Risiko einer Geldstrafe durch die Steuerbehörden, da nicht nachgewiesen werden kann, wofür das Geld verwendet wurde. Kein Angreifer wird eine Rechnung für diese Dienste ausstellen.
„Der Cyber-Angreifer ist ein gewöhnlicher Krimineller und die Daten werden ihm gestohlen. Was er will, ist das Geld des angegriffenen Unternehmens. Sich darauf zu verlassen, dass das Unternehmen die Daten zurückbekommt, ist naiv“, sagt Ľubomír Kopáček, ein Spezialist für Cybersicherheit.
Die Priorität des Angreifers liegt in der Regel darin, die Daten zu verschlüsseln, und niemand kümmert sich darum, ob er sie entschlüsseln kann. Eine Entschlüsselung von Daten „zur Schau“ ist völlig unglaubwürdig und sagt uns nichts. „Ein weiteres Argument dafür, nicht zu zahlen, ist, dass Sie, wenn Sie zahlen und nicht gleichzeitig eine perfekte ‚Säuberung‘ der kompromittierten Systeme durchführen, damit rechnen können, dass sich derselbe Vorfall bald wiederholt“, so der Spezialist abschließend.
„Wir sind uns einig, dass die Systeme gründlich überprüft und bereinigt werden müssen. Wir haben uns strikt an das Verfahren zur Wiederherstellung „defekter“ Server-Backups gehalten. Mit großer Sorgfalt haben wir zunächst die kopierten Systemdatenbanken überprüft und sie dann wieder verwendet“, fügt der IT-Manager des Fertigungsunternehmens hinzu.
Selbst wenn Sie nicht zahlen, ist der Angriff Tausende wert
Obwohl das betreffende Unternehmen nichts an den Kriminellen gezahlt hat, werden die Kosten des Cyberangriffs auf etwa eine halbe Million Euro geschätzt. Allein die technischen Kosten, einschließlich der Dienstleistungen, kosteten das Unternehmen 142 Tausend Euro. Der Rest setzte sich hauptsächlich aus Löhnen und der Arbeit von Mitarbeitern zusammen, die Überstunden machen mussten. Außerdem mussten etwa 30 neue Mitarbeiter eingestellt werden, um die Verzögerungen bei der Produktion auszugleichen.
In dem zusätzlichen Betrag sind Stress, Logistik und nur scheinbar partielle „Kleinigkeiten“ nicht enthalten. Es war zum Beispiel nicht einfach, in der Metallzeit an Technologie zu kommen. Im Frühjahr 2021 gab es mehrere Angriffe gleichzeitig, und das System, dass an einem Tag eine Bestellung rausgeht und am nächsten Tag ein Kurier die Technologie bringt, war nicht gültig. „Im ersten Moment haben wir versucht, NASko zu kaufen. Als es endlich auf Lager war, schickten wir ein Auto nach Bratislava – keine Angebote, nur Telefonate – um eines der letzten zu bekommen. Das war an einem Freitag, und am Samstag waren keine Geräte mehr verfügbar“, beschreibt ein Mitglied der Geschäftsleitung eine stressige Zeit.
Nach 4 Monaten schlafen sie zwar besser, aber sie sind noch nicht am Ziel
Obwohl es dem Unternehmen gelungen ist, vieles erfolgreich in Gang zu bringen, ist noch nicht alles installiert und funktionsfähig, und auch die Infrastruktur ist noch nicht vollständig eingerichtet. Drei Pilot-Informationssysteme für die Produktion sind jedoch gerettet worden.
Alle anderen Stufen, die das Unternehmen technisch verbessern will, sind in der Umsetzung. „Das wird eine lange Zeit dauern. Wir müssen die ursprünglichen Firewalls durch neue und sicherere ersetzen, das Bewusstsein der Benutzer für die Widerstandsfähigkeit und den richtigen Gebrauch der Geräte schärfen und so weiter. Es ist eine unendliche Geschichte. Die Technologie wird immer besser und die Angreifer sind immer einen Schritt voraus“, schließt der IT-Manager.
Soll man einen Übergriff bei der Polizei melden oder nicht?
Das angegriffene Unternehmen hat sich auch mit GAMO beraten, ob es den Angriff melden soll. Hier ist die Antwort klar. Es ist mehr als unvernünftig, auf einen Angreifer zu hören, der den Betroffenen auch noch erpresst, indem er ihm sagt, er solle sich nicht an die Polizei oder eine dritte Partei wenden.
Der Cyberexperte Ľubomír Kopáček von GAMO sagt: „Es ist auf jeden Fall ratsam, den Vorfall zu melden. Wenn das Opfer eines Angriffs unter das Cybersicherheitsgesetz fällt und der Vorfall als schwerwiegend eingestuft wird, ist es sogar gesetzlich verpflichtet, dies zu tun.“ Er empfiehlt außerdem, eine Strafanzeige zu erstatten. „Nicht, dass die Polizei etwas weiter herausfinden oder gar ermitteln könnte, aber es ist nützlich, eine offizielle Aufzeichnung der ganzen Angelegenheit zu haben.“ Das ist wichtig für den Fall, dass es weitere Probleme gibt, z.B. mit dem Finanzamt, der Sozialversicherung, der Krankenkasse oder anderen. „Während eines Vorfalls zu schweigen ist nicht nur unklug, sondern in den meisten zivilisierten Ländern auch illegal und kann das Unternehmen zusätzlich Geld kosten.“
In der Europäischen Union gibt es verschiedene Verordnungen und Gesetze über den Umgang mit einem Sicherheitsvorfall. Bei Fahrlässigkeit im Zusammenhang mit einem Sicherheitsvorfall (Nichtmeldung oder Nichtbehandlung) kann das Gesetz über Ordnungswidrigkeiten im Bereich der Cybersicherheit beispielsweise eine Geldstrafe von 300 bis 300 Tausend Euro verhängen.
Cloud = die richtige Lösung und die Zukunft
Das angegriffene Unternehmen lag mit seiner Ablehnung der Forderungen des Angreifers und in allen Punkten des Krisenmanagements richtig. Es hat sich nicht nur frühzeitig an Spezialisten gewandt und auf deren Rat gehört, sondern auch in der Kommunikation mit Lieferanten und Mitarbeitern einen guten Ruf bewahrt.
Ihre Geschichte ist jedoch ein Paradebeispiel dafür, dass selbst wenn Sie Ihre Daten regelmäßig auf Servern sichern, Sie nicht sicher sein können, dass sie wirklich sicher sind. Um auch Ihr Unternehmen zu schützen, brauchen Sie Expertenlösungen, die auf die spezifischen Bedürfnisse jedes einzelnen Unternehmens zugeschnitten sind. Wenn Sie auf eine sichere Cloud umsteigen, können Sie sicher sein, dass Ihre Daten auf höchstem Niveau verwaltet werden. Damit wird der Unternehmensleitung eine der wichtigsten Aufgaben des modernen Geschäftslebens abgenommen und sie kann sich zu 100 Prozent auf ihr Kerngeschäft konzentrieren.
