IT-Sicherheit

Nach dem Ransomware-Angriff zurück in den Betrieb

Steuerkanzlei, Raum Esslingen · 30 Mitarbeiter

Verschlüsselte Server am Montagmorgen, mitten in der Fristen-Saison. Wiederhergestellt aus dem Backup, danach so abgesichert, dass ein zweiter Versuch ins Leere läuft.

Von , Geschäftsführer von econtrol

  • Notfallwiederherstellung
  • Offline-Backup
  • Mehr-Faktor-Anmeldung
  • Netzsegmentierung
  • Mitarbeiter-Sensibilisierung

An einem Montagmorgen ließ sich kein Rechner mehr anmelden. Über das Wochenende hatte sich eine Schadsoftware durch das Netz der Kanzlei gearbeitet und die Server verschlüsselt. Auf den Bildschirmen stand nur noch eine Lösegeldforderung, mitten in der Fristen-Saison, mit dreißig Leuten, die nicht arbeiten konnten, und Mandantendaten, an die niemand mehr herankam.

Die Kanzlei war zu diesem Zeitpunkt kein Kunde von uns. Der Anruf kam als Notfall, und genau so haben wir ihn behandelt.

Erst stabilisieren, dann verstehen

Im Notfall zählt die Reihenfolge. Zuerst haben wir das Netz vom Internet getrennt und die betroffenen Systeme isoliert, damit sich nichts weiter ausbreitet. Parallel ging es an die entscheidende Frage: Gibt es eine Sicherung, die sauber ist, also alt genug, um vor dem Angriff zu liegen, und vollständig genug, um damit weiterzuarbeiten.

Es gab sie. Wir haben die vorhandenen Sicherungen geprüft, einen sauberen Stand gefunden und die Kanzlei Schritt für Schritt darauf wieder aufgebaut, statt auf die Forderung der Angreifer einzugehen. Bezahlt wurde nichts.

Damit der zweite Versuch ins Leere läuft

Wer einmal getroffen wurde, wird wieder versucht. Mit der Wiederherstellung war deshalb erst die Hälfte getan. Danach haben wir die Infrastruktur so umgebaut, dass derselbe Weg kein zweites Mal funktioniert: Anmeldungen nur noch mit zweitem Faktor, ein in Zonen geteiltes Netz, in dem sich Schadsoftware nicht mehr frei bewegt, und eine Datensicherung, von der eine Kopie offline im Bandarchiv liegt, an die ein Angreifer aus dem Netz nicht herankommt.

Dazu kam der Teil, der sich nicht installieren lässt. Die Mitarbeiter erkennen heute, woran eine verdächtige Mail zu erkennen ist, weil am Anfang fast immer ein Klick steht.

Was sich geändert hat

Aus dem schlimmsten Tag der Kanzlei wurde der Anlass für die Sicherheit, die vorher gefehlt hatte. Geblieben ist nicht die Angst, sondern ein Betrieb, der einen solchen Angriff heute übersteht, ohne stehenzubleiben. Aus dem Notfallkontakt wurde eine dauerhafte Betreuung.

So beschreibt es die Kanzleileitung:

„Wir dachten immer, dafür seien wir zu klein und zu unwichtig. Heute weiß ich, dass es jeden treffen kann und dass der einzige Unterschied darin liegt, ob man vorbereitet ist."

Bevor es Sie trifft

Die meisten Betriebe unterschätzen zwei Dinge: wie wahrscheinlich ein Angriff ist und wie viel davon abhängt, ob die Sicherung im Ernstfall wirklich funktioniert. Beides lässt sich in Ruhe klären, bevor ein Montagmorgen die Antwort erzwingt.

Wenn Sie wissen wollen, wie Ihr Betrieb einen solchen Tag überstehen würde, ist ein erstes Gespräch der richtige Anfang.

← Alle Projekte

Können wir helfen?