· 

Hackerangriff: Bericht eines Überlebenden

Einen Hackerangriff überwinden ohne Lösegeld, dafür mit Militärtaktik!

„In the Line of Fire“ war ein toller Film, aber auch ein Online-Vortrag, den wir unter Kollegen fast alle sehen und hören wollten. Worum es ging? Der Überlebenskampf einer Firma, welche durch einen Cyberangriff (Emoted) komplett lahmgelegt wird. Einer Firma, die aufopferungsvoll kämpft und schlussendlich überlebt hat. 

Da steht der ehemalige Chef Martin Kelterborn und erzählt ziemlich nüchtern, wie eine kleine Mail, augenscheinlich von einem Kunden, später als ursächlich identifiziert wurde und wie man über Tage zu wenig kritisch, zu wenig vorsichtig war und wie schlussendlich das Schlimmste eingetreten ist.

Irgendwer merkte irgendwas, man beobachtet mal. Am nächsten Tag, wieder etwas Merkwürdiges. Ein weiterer Kollege wird hinzugezogen, weiter beobachten ist die Devise. 48 Stunden nach der Mail wird klar: Wir sind gehackt worden! 

Steckerziehen!

Sie haben sich beratschlagt, es wurde abgewogen, ob jetzt alles – wirklich ALLES - vom Netz gehen sollte. Wie hätten wir entschieden? Wie hätten wir reagiert? Was soll ich sagen? Ja, wir können das nachvollziehen!

Du wehrst dich gegen den Gedanken, deine gesamte Firma vom Strom zu nehmen und somit, ihr den Lebensnerv zu nehmen. Welcher Unternehmer würde das einfach machen?

Es ist dein letzter Strohhalm und du klammerst dich daran. Vielleicht ist es ja gar nicht so schlimm… 

War die Firma schon tot!

Er beschreibt, wie sie rund um die Uhr gearbeitet haben. Dank eines Forensikers, einem guten Wissensstand der eigenen IT-Mitarbeiter und der Einschätzung ihrer Situation durch Spezialisten von Sophos, wussten sie relativ zügig, wo sie standen.

 

Aber wo fängst du an? Und – die Frage – lohnt es sich oder ist die Firma im Grunde tot? Was würden Sie machen?

 

Teile Ihrer Daten gelöscht, große Teile verschlüsselt, nicht mehr nutzbar. Sie kommen weder an Ihre Mail noch an die Kundentelefonnummern. Ich habe an diese simplen Dinge nie gedacht, wenn es um Cyberangriffe ging, ging es für mich automatisch um archivierte Daten – irgendwas aus der Vergangenheit. Aber der Teil der Daten, die du brauchst, um deinen Kunden zu erklären, warum sie dich gerade nicht erreichen können, der fehlt dir auch. Ja und die (Internet-) Telefonanlage ist auch tot. 

Also nutzt die Telefonnummer auch nichts!

Er berichtet, wie sie in den Militärton wechselten, einfach um die Brisanz zu verdeutlichen und die Mitarbeiter mitzunehmen; es ist ernst, es geht um alles! Lösegeldzahlen war nie eine Option. Ihr Weg war von Anfang an klar, durch die Nahkampfzone.

 

Jeder der etwas mit IT zu tun hatte, hat 24 Stunden-Schichten geleistet. Erstmals nach 54 Stunden (!) sind die ersten IT-Mitarbeiter zum Schlafen nach Hause geschickt wurden. Wie lange hält so ein Adrenalin-Rausch an? Wie lange kann man da noch denken und Pläne machen und in die Tat umsetzen? Unvorstellbar!

 

Das Marketing wurde zu Leitstelle für die Organisation der Grundversorgung: Essen, Getränke, das musste vor Ort bereitstehen für alle Mitarbeiter, im Speziellen die IT-ler.

 

Die Finanzabteilung musste helfen, manuell Aufträge zu erfassen, der Einkauf wurde dem Vertrieb unterstellt, um Kunden zu informieren und bei der Stange zu halten. Jetzt mit Prepaid-Handys aus dem Supermarkt und FreeMail-Accounts, die nicht älter als 48 Stunden waren. 

Überall Sorgen und Ängste

Die Mitarbeiter hatten Angst, dass sie kein Gehalt bekommen würden.

Online-Überweisung? Gerade nicht möglich.

Zeitkonten? Keine Daten mehr vorhanden!

Wären Sie darauf vorbereitet? Uns würde das auch kalt erwischen!

 

Zusammenfassend bezeichnete er den Ritt, der im Übrigen 3 Wochen dauerte, so:

 

"Vom Totenbett über die Intensivstation auf die Station und zurück ins Leben."

 

Die entscheidenden Faktoren, die er für seine Firma identifiziert hat:

 

1.      Glück

2.      Fehler des Hackers (eine Datensicherung von vor 14 Tagen war vorhanden und greifbar)

3.      Loyale Mitarbeiter & gute (IT-)Partner

4.      Krisenmanagement durch die Leitungsebene

 

Ob man das alles an Board hat, weiß man im Zweifel leider erst, wenn es zu spät ist. 

Meine goldwerten Erkenntnisse aus diesem Vortrag:

1.      Geschwindigkeit:

Zu lange war ihnen nicht bewusst, dass sie tatsächlich angegriffen wurden. Wer würde sie – gerade SIE – angreifen. Ja, wer von uns denkt das nicht?

 

Die Empfehlung, die er ausspricht ist: erstelle einen Standardprozess, der festlegt, wann Systeme abgeschaltet werden, unabhängig von menschlichem Ermessen. 

2.      Misstrauen oder Vertrauen in die eigene IT

Die eigene, eventuell auch selbst aufgestellte IT bewertet man immer als gute oder sichere IT. Wer würde schon seine eigene Arbeit in Misskredit bringen?

 

Die Empfehlung daher, lassen Sie das von Externen prüfen oder – noch besser – führen Sie Simulationsangriffe durch. Dann sehen Sie genau, wo Ihre IT steht. 

3.      Backup: die harte Währung

Sicher hatten sie eine sehr effiziente und moderne IT. ABER: Backups, die nicht in der Cloud sind, die nicht auf einer externen Platten oder auf einem Share liegen, sind in der Not keine Hilfe. Sie sind am Ende verschlüsselt, gelöscht oder vom Ihrem Zugriff geschützt.

 

Die Empfehlung, die harte Währung beim Thema Backup ist das Tape, welches Sie am Abend mitnehmen. Das ist ganz einfach nicht im Zugriff der Hacker. Ihre härteste Währung im Cyberkrieg oder wie er es sagte:

 

"Backup gilt in Zeiten von Ransomware als last line of defense."

Fazit

Auch wenn es runtergebrochen in der Textform nicht so mitreißend ist, aber mich hat der Vortrag mitgenommen und viele, viele Fragen aufgeworfen.

 

Ach übrigens; als Chef im Schützengraben, davon rät er dringend ab!

 

Der Chef sollte sich ans Koordinieren und Planen halten, wenn er das auch selbst als unbefriedigend empfindet. Aber das muss er aushalten, und vor allem darf er: nicht stören!

Kommentar schreiben

Kommentare: 0