Jede Minute wird in allen Ecken der Welt bestätigt, dass der Mensch das verwundbarste Sicherheitsglied im IT-Bereich ist. Sicherheitsrisiken im Online-Bereich können nur minimiert, aber nicht beseitigt werden. Bei der fortschrittlichen Technologie, mit der wir fast alle arbeiten, genügt eine Sekunde Unaufmerksamkeit oder ein Klick auf einen verdächtigen Link, und schon ist das Problem gelöst. Das weiß die Herstellerfirma Remeslo strojal, s.r.o., die ein solcher Klick 130 Tausend Euro gekostet hat.
Und wir sprechen hier von einer Geschichte mit einem glücklicheren Ende. Dank der Tapferkeit der Manager des Unternehmens und des schnellen Eingreifens von Experten Dritter konnten alle Daten für die Zukunft gerettet werden.
Aber lassen Sie uns zurück zum März 2022 und den Ereignissen Schritt für Schritt gehen.
Ransomware in Aktion
Remeslo strojal, s.r.o. ist ein Teil der Remeslo Holding und exportiert seine technischen Produkte in 17 Länder weltweit. Der Angriff wurde am frühen Morgen aufgezeichnet.
„Ein Kollege sagte mir, er könne eine Datei auf einem Netzlaufwerk nicht öffnen. Sie hatte die Erweiterung .xlsx.kqgs“, beginnt die Geschichte des IT-Technikers Richard Ševčík. Das .kqgs passte nicht, also entfernte er es. Die Datei hatte jedoch nicht den richtigen Inhalt und die gleiche Erweiterung befand sich in jedem Verzeichnis auf dem Netzlaufwerk. „Ich begann zu vermuten, dass etwas nicht stimmte. Es kam eine Meldung aus der Wirtschaftsabteilung – Wir können die Buchhaltungsdatenbank nicht öffnen, und auch andere Abteilungen meldeten Probleme. Das waren keine einfachen Momente. Wir sind verschlüsselt“, meldete er die offensichtliche Tatsache an das Management der Holding und ergriff Maßnahmen.
Er schaltete sofort alle Server und Switches im Unternehmen ab, um die Netzwerkkommunikation über das Internet mit der Welt zu unterbrechen. Er wandte sich an das Unternehmen, das die Firewall, das Internet und die E-Mails verwaltete. Das Unternehmen empfahl Spezialisten aus Bratislava, die Erfahrung mit ähnlichen Situationen hatten, um das akute Problem zu lösen. Es war klar, dass es sich um einen Ransomware-Angriff handelte: eine Datei mit Entschlüsselungsanweisungen war in dem Verzeichnis angehängt. Die Frage, ob man den Angreifer bezahlen sollte, lag klar auf dem Tisch.
„In diesen Fällen haben Sie immer nur zwei Möglichkeiten. Zahlen Sie dem Angreifer ein Lösegeld und warten Sie ab, ob er tatsächlich den versprochenen Entschlüsselungsschlüssel schickt, oder verlassen Sie sich auf die Wiederherstellung der Daten aus Backups. Wir haben bezahlt“, gibt Richard Ševčík zu. Er fügte hinzu, dass der Betrag glücklicherweise nicht flüssig war und der Angreifer tatsächlich einen funktionierenden Entschlüsseler schickte, der die notwendigen Daten entschlüsselte.
Lösungen nach der Entschlüsselung
Das Unternehmen kaufte daraufhin 5 Computer, auf denen die IT-Mitarbeiter ein „sauberes“ lokales Netzwerk wieder aufbauen konnten. Sie luden Daten von Backups hoch, die nicht kompromittiert worden waren. Die Daten aus den wiederhergestellten entschlüsselten Daten, einschließlich der Wirtschaftsdaten, wurden durch Antivirenprogramme laufen gelassen: „Es war wirklich eine sehr anspruchsvolle, akribische Arbeit.“
Es war auch ein Glück, dass der Angreifer nicht weiter als bis zu den Netzwerkverzeichnissen vordringen konnte, dass die Backups in gutem Zustand waren und dass das Produktionsprogramm Remeslo strojal, s.r.o., funktionierte.
Zur gleichen Zeit schalteten sie auf allen kompromittierten Computern die Switches ein und untersuchten die Aktivitäten im Netzwerk. Sie richteten einen behelfsmäßigen Arbeitsplatz für ihre Kollegen ein, einen Konferenzraum mit fünf Computern, an denen sich Buchhalter und Produktionsmitarbeiter vorerst abwechselten. Nachdem sie festgestellt hatten, dass der Produktionsserver nicht gehackt worden war, schlossen sie die 3 Computer an, die sich bereits auf dem Produktionsserver befanden.
„Wir haben ein Krisenteam eingerichtet, mit regelmäßigen täglichen Treffen zwischen Management und Produktion und Ökonomen, um über die nächsten Schritte zu entscheiden: wie man die Kommunikation per E-Mail sicherstellt, wie man den Verpflichtungen nachkommt und wirtschaftliche Daten an den Staat liefert, wie man schnell Mehrwertsteuerstundungen beantragt, und so weiter. Das war eine Menge“, bestätigt Richard Ševčík, der für das absolute Engagement aller seiner Kollegen dankbar ist.
Auf dem Weg in die Zukunft
Richard Ševčík gibt auch zu, dass sie zum Glück nicht mehr über den Stürmer gehört haben. „Natürlich haben wir den Fall der Polizei gemeldet und sie hat eine Strafverfolgung gegen den unbekannten Täter eingeleitet. Aus der Erfahrung anderer Unternehmen oder Personen, die angegriffen wurden, erwarten wir jedoch nicht, dass das ‚Lösegeld‘ zurückgegeben wird. Wir gehen weiter und vorsichtiger vor.“
Nach der ersten schwierigen Woche wandte sich das angegriffene Unternehmen aus Žiar nad Hronom an die Experten des Unternehmens GAMO, a. s. aus Banská Bystrica, das in der Nähe, in Kremnica, einen ähnlichen Fall bearbeitet hatte. Es handelte sich um einen komplexen Entwurf eines Wiederherstellungssystems für ein Unternehmen, das von einem Ransomware-Angriff betroffen war, einschließlich der Lieferung einer Lösung.
Remeslo strojal, s.r.o. musste eine LAN-Infrastruktur mit einer sicheren Verbindung zum und vom Internet, eine Server-Infrastruktur und eine einheitliche Desktop-Umgebung für die Arbeit bereitstellen. In Anwesenheit der Geschäftsleitung und geladener Gäste entwickelten GAMO und sein Team dann einen stufenweisen Wiederherstellungsplan. Die Alternative, ob die Lösung in der Cloud bereitgestellt oder die Server im eigenen Haus aufgebaut werden sollten, überließen sie der Entscheidung des angegriffenen Unternehmens.
„Ich habe viel telefoniert und per E-Mail mit Anbietern von Buchhaltungs- und Gehaltsabrechnungssoftware, dem Lieferanten des Produktionsprogramms und GAMO-Spezialisten kommuniziert, um die für uns am besten geeignete und sicherste Lösung auszuwählen“, erklärt der IT-Techniker. „Das Ergebnis war, dass wir die Daten in der On-Premise-Infrastruktur, d.h. auf unseren Servern, belassen.“
Lösungen von Drittanbietern
Remeslo strojal, s.r.o., beurteilt rückblickend den Stand der Sicherheit vor dem Angriff und heute wie folgt: „Wir hatten auf den einzelnen Computern Antivirensoftware installiert, wir hatten eine Firewall und Backups gesichert. Allerdings hatten wir das Netzwerk nur auf Workgroup, ohne einen Domänenserver, was für die heutige Zeit sicherlich nicht ausreicht.“
Die Lösung von GAMO a. s. wurde entwickelt, um die höchsten Sicherheitsstandards bei der Arbeit mit Daten zu erfüllen und deren Schutz zu gewährleisten. Richard Ševčík: „Die Entwürfe waren korrekt und auf einem hohen technischen und professionellen Niveau. Wir haben uns für die Zusammenarbeit entschieden, um eine sichere und finanziell tragfähige Lösung zu finden.“
Lassen Sie uns das Ganze aufschlüsseln, indem wir es auf den Punkt bringen.
Was waren die Gründe für die Erneuerung der Infrastruktur?
- Ersatz und Konsolidierung von veralteter Hardware;
- Umstellung auf eine Virtualisierungsplattform, die den Betrieb vereinfacht und die Weiterentwicklung der Systeme in der Zukunft ermöglicht;
- Geräte mit aktivem Herstellersupport – garantierte Garantie, d.h. im Falle eines Geräteausfalls wird das Gerät in kurzer Zeit durch ein neues ersetzt;
- Erhöhen Sie die allgemeine Sicherheit bei der Arbeit mit Unternehmensdaten.
Die Aufgabe der Spezialisten bestand darin, einen Hardware-Hintergrund zu schaffen, der die langfristige und stabile Nutzung des Informationssystems ermöglicht. Eine Lösung, die das Unternehmen im Laufe der Zeit weiterentwickeln kann, die einfach zu verwalten ist und die die Widerstandsfähigkeit der Systeme erhöht.
Finale in der Praxis
GAMO lieferte nach und nach neue Server, Computer und Laptops und begann damit, saubere und geprüfte Daten auf sie hochzuladen. In der Zwischenzeit wurden die Daten von den alten Computern auf USB-Sticks heruntergeladen und zur Virenprüfung nach Banská Bystrica, dem Hauptsitz von GAMO, a. s., geschickt. Das angegriffene Unternehmen erwarb eine neue Domain remeslostrojal.sk und die Daten wurden auf diese hochgeladen, einschließlich des direkten Uploads auf Anwendungen in der Cloud-Umgebung. Die Ordner der einzelnen Mitarbeiter von den überprüften USB-Sticks wurden auf Microsoft 365 gespeichert und alle 62 neu erworbenen Computer wurden nach und nach an das Netzwerk angeschlossen. Gleichzeitig wurde daran gearbeitet, das Netzwerk in einzelne Segmente aufzuteilen und neue Regeln aufzustellen. Die Mitarbeiter wurden geschult und es wurden strenge Einschränkungen, Richtlinien und Regeln für ein angemessenes Nutzerverhalten im Internet eingeführt.
„Wir haben Geräte gekauft, bei denen die Backups von den alten Servern hochgeladen wurden. Es handelte sich um eine große Datenmenge, die einige Tage lang geprüft wurde, bevor sie auf dem Gerät gespeichert wurde. Wir mussten fast 6 Monate auf neue Switches warten, da es keine entsprechenden Chips auf dem Markt gab. Erst nach etwa 7 Monaten konnten wir wieder zur Normalität übergehen und alle Programme starten. Die Kosten beliefen sich bisher auf 130 Tausend Euro“, fasst der IT-Techniker die sechsmonatige Reise zusammen.
Eine Reise, die durch einen unglücklichen Klick auf eine verschlüsselte Datei ausgelöst wird.
Gute Nachrichten zum Schluss
Die durch den Cyberangriff verursachte Situation zwang Remeslo strojal, s.r.o. dazu, die schrittweise digitale Transformation zu vergessen und einen großen Sprung zu machen. Von dem Niveau von vor 10 Jahren sind sie vollständig in die Umgebung eines modernen digitalen Büros eingetreten und haben auf allen Ebenen mit Microsoft 365 Systemen und Anwendungen gearbeitet. Diese ermöglichen eine nahtlose Zusammenarbeit, eine einfache Kommunikation und, was am wichtigsten ist, einen erstklassigen Schutz für Identitäten und Geräte. Dank der EDR-Technologie haben sie heute einen detaillierten Überblick über die Bedrohungen im System und erkennen ungewöhnliches Verhalten und Sicherheitsverstöße in diesem erfolgreichen Fertigungsunternehmen.
Entfaltung der Schritte des Unternehmens Craft aus dem Angriff
- Einrichtung eines Krisenstabs für den Kontakt des Managements mit der Produktion und den Ökonomen.
- Die Datenrettung durch Experten, die Erfahrung mit Angreifern und Datenrettung haben, und die Einrichtung eines provisorischen Arbeitsplatzes, der unter behelfsmäßigen Bedingungen auf etwa 5 Computern arbeitet, danach auf 10 Computern.
- Kontaktaufnahme mit einem Unternehmen, um neue Hardware zu liefern oder kompromittierte PCs neu zu installieren und eine neue, auf Sicherheit basierende Netzwerkinfrastruktur aufzubauen.
- Allmähliche Einführung neuer PCs für Produktion, Wirtschaft und Unternehmen.
- Erstellen neuer Regeln im Netzwerk.
- Hochladen von Druckern, Bereinigen von Daten von alten auf neue Computer, Bereitstellen von Programmen, die einzelne Benutzer zum Arbeiten benötigen.
