Die Katastrophe vorm Wochenende: Cyber-Attacke bei einer Tischlerei

Es war eine anstrengende und stressige Woche für uns. Markus und ich hatten gerade einen Kunden bei einem Rollout-Projekt unterstützt. Im laufenden Betrieb mussten die kompletten Systeme an 4 Standorten umgestellt werden. In erster Linie sollten wir den Kunden, bei der Umstellung der Drucker unterstützen, aber wir haben auch dort angepackt, wo gerade Not am Mann war. Deshalb war ich froh, dass der Freitag eigentlich ein ruhiger Tag werden sollte, denn ich im Büro verbringen sollte.

Nach der wöchentlichen Mitarbeiterbesprechung, habe ich noch mit kurz mit Peter, dem Projektleiter der Umstellung telefoniert, um in ein Update zu geben und über die kleineren Probleme zu informieren, damit diese das nächste Mal vermieden werden können.

Der verhängnisvolle Anfruf

Aber ich hatte mich wohl zu früh gefreut, dass es ein ruhiger Tag vor dem Wochenende werden wird. Kurz vor Mittag kam der unheilbringende Anruf. Irgendwie hatte ich schon ein ungutes Gefühl, aber ich sagte: „ICTE – Ebner, guten Tag! Wie kann ich Ihnen helfen?“#Am Telefon meldete sich ein aufgeregter und gestresst klingender Mann: Guten Tag Herr Ebner. Ich bin Herr Maier von der Tischlerei X. Ich habe in der Zeitung gelesen, dass Sie Experte für IT Sicherheit sind. Wir hoffen, dass Sie uns bei unserem Problem helfen können. Eigentlich betreut unsere IT der Sohn meines Nachbarn, der Informatik studiert und sich selbstständig gemacht hat, aber leider ist dieser gerade mit seiner Freundin im Amazonas auf Urlaub und nicht erreichbar. Aber gerade jetzt stehen unser komplette System, kein Computer funktioniert mehr. Ich kann auf die Pläne und Aufträge nicht zugreifen, muss aber dringend die Bestellung für einen großen Auftrag aufgeben, damit wir mit der Produktion übernächste Woche beginnen können. Wenn wir nicht rechtzeitig produzieren können, kann das Hotel nicht rechtzeitig eröffnen.“

„Beruhigen Sie sich bitte erstmal, ich werde Ihnen so gut es geht helfen und komme gleich zu Ihnen und wir schauen uns die Situation an und planen dann die weiteren Schritte. Sehen Sie eine Meldung?“ antwortete ich. Der Mann antwortet: „Ja, da steht Ihre Daten wurden verschlüsselt und Zahlen Sie € 5.000,00 in Bitcoins, damit wir Ihre Daten wieder entschlüsseln.“ In dem Moment wusste ich was los war, ich riet Herrn Maier alle Systeme herunterzufahren und von Netzwerk zu trennen.

Wie schlimm ist die Lage wirklich?

30 Minuten später war ich auch schon vor Ort, um mir ein Bild von der Lage sowie der Infrastruktur zu machen. Ich wurde von Herrn Maier, dem Inhaber und seiner Sekretärin empfangen. Die Beiden hatten in der Zwischenzeit alle Computer und auch den Server heruntergefahren und überall das Netzwerkkabel gezogen, um die Situation soweit wie noch möglich einzugrenzen.

Glücklicherweise gibt es eine Dokumentation und die auch die wichtigsten Passwörter sind dem Geschäftsführer bekannt. Laut dieser wird auch täglich ein Backup vom Server gemacht, somit besteht Hoffnung, dass bis Montag der Server wieder laufen sollte und auf die Daten zugreifen zu können. Aber es sollte nicht lange dauern, bis  ich auf das erste Problem stoßen sollte, leider war auch die Sicherung im Unternehmen, ebenfalls von der Verschlüsslung betroffen. Jedoch sollte es noch kein großes Problem sein, laut Dokumentation gibt es noch eine Sicherung auf ein externe Festplatte, die täglich gewechselt wird. Also frage ich die Sekretärin und den Chef, wo die Platte der Sicherung von gestern ist. Die beiden schauen sich erst einmal an und in dem Moment ahne ich, dass es mir nicht gefallen wird, was ich gleich hören werde. Meine Befürchtungen sollten sich bestätigen, beide haben vergessen, die Festplatte schon längere Zeit zu wechseln. Die Sicherung auf der Platte, die ich bekommen habe, ist schon mehr als ein Monat alt ist.

Ein Hauch von Hoffnung besteht trotzdem

Ich informierte die beiden noch anwesenden Mitarbeiter der Tischlerei darüber, dass nach der Wiederherstellung der Daten über Monat fehlen wird. Herr Maier fluchte zwar, aber es ist im eingefallen, dass eventuell noch eine ältere Kopie der Daten auf seinen OneDrive for Business liegen könnte. 

Glücklicherweise hatten wir vor einigen Wochen einen Server bei einem Kunden getauscht und den alten Server noch bei uns im Büro. Aus diesem Grund entschied mich dafür, dass ich die Rücksicherung auf diesen zu machen und so holte ich diesen schnell aus dem Büro. So können wir später noch versuchen, ob es eine Möglichkeit gibt, die Daten zu entschlüsseln.

Ich begann also mit der Rücksicherung der Daten, auf den geholten Server. Während die veraltete Sicherung auf den Server gemacht wurde, ging ich zu Herrn Maier, um mit Ihm die Daten auf seinem OneDrive anzuschauen. Da die Daten mit seinem Notebook synchronisierten, befürchtete ich schon das schlimmste, das sich leider bewahrheiten sollten. Die Daten auf OneDrive waren ebenfalls verschlüsselt.

 

Erstes System läuft wieder

Während die Daten auf den neuen Server gespielt werden, bestimmen wir, die Reihenfolge in der die Clients neu installiert werden. Deshalb schauen wir auch die einzelnen Geräte an und stellen fest, dass die beiden wichtigsten Geräte in der Produktion stehen. Alle andere Programme. Alle andere greifen auf die Daten und Programme auf den Server zu.

Auf den beiden Laptops laufen „nur“ Programme zur Steuerung der Produktionsmaschinen. Leider finden wir nicht das benötigte Installationsmedium für dieses Programm. Deshalb versuchen wir noch unser Glück beim Hersteller der Software. Obwohl es Freitagnachmittag ist, erreichen wir gleich mal jemanden von dem Hersteller der Maschinen, leider ist heute keiner der Techniker mehr erreichbar, aber er sagt uns einen Termin gleich für Montag in der Früh zu. 

Die Rücksicherung des Servers schreitet langsam voran. Die Zeit nutzte ich, um die ersten Computer im Büro neu zu installieren. Nach rund 4 Stunden sind erst 60 % des Servers wiederhergestellt und auf den ersten beiden Computer war alle Software installiert, die keine Serverdaten benötigen. Um 20 Uhr beschließen, wir das wir die weiteren Tätigkeiten auf den nächsten Tag verschieben.

Tag 2: Ein Lichtblick für den Kunden

Wie vereinbart treffen Herr Maier und ich uns am Samstag in der Früh in der Tischlerei, um an der Wiederherstellung der Systeme zu arbeiten. Glücklicherweise war lief die Rücksicherung des Servers ohne Probleme. Somit war dieser einsatzbereit und ich konnte, die bereits fertig installierten Computer wieder mit dem Server verbinden und die restlichen Programme installieren. 

Herr Maier macht sich sofort daran, die Unterlagen für den wichtigen Auftrag zusammenzusuchen, da diese leider nicht mehr am Server und in OneDrive verfügbar waren – leider gab es für den Cloud-Dienst kein Backup. Herr Maier konnte aus vielen unterschiedlichen Quellen und Notizen die meisten Informationen wiederherstellen. Es fehlte nur der finale Plan. Als nächstes musste er nur noch den aktuellen Lagerbestand erfassen – zwei seiner Mitarbeiter kamen am Nachmittag dazu, um ihn dabei zu unterstützen. Mit einem Tag Verspätung kann er das benötigte Material für den Produktionsstart übernächste Woche zu bestellen. 

Ich konnte, die restlichen sechs Computer im Büro ohne Probleme installieren und bereitet die zwei Computer in der Werkstatt soweit vor, damit wir diese Montag Vormittag mit dem Techniker des Maschinenhersteller fertig konfigurieren können. 

Natürlich suchte ich auch nach einem Tool, um die Daten am bisherigen Server zu entschlüsseln, aber leider gab es für diese Schadsoftware keines. 

Samstag Abend waren alle Computer soweit fertig, damit die Mitarbeiter am Montag bereits wieder arbeiten konnten. Es fehlten nur noch die zwei Computer, die die Maschinen steuerten. Deshalb entschieden wir uns dafür, Sonntag zu erholen und vereinbarten dass wir uns Montag gleich um 7 Uhr in der Tischlerei zu treffen.

1. Arbeitstag nach der Attacke

Am Montag war ich bei der Tischlerei und es waren auch schon alle Mitarbeiter des Unternehmens im Betrieb da. Herr Maier hatte bereits alle über die Situation informiert und alle machten sich daran, die Informationen für alle Aufträge, die im letzten Monat eingelangt sind zusammen. 

Abgesehen das Daten von einem Monat fehlten, funktionierten alle Systeme, bis auf die Maschinen, die über die zwei befallenen Computer gesteuert wurden. Aber in der Werkstatt konnte zum Teil gearbeitet werden, da die anderen Maschinen glücklicherweise funktionierten.

Um 8 Uhr kam auch der Techniker, der die Steuerung der beiden Maschinen konfigurieren sollte. Nachdem wir ihn über die Situation informierten, machte er sich gleich an die Arbeit. Er installierte auf den beiden Maschinen die Firmware (Software, für die grundlegenden Funktionen der Maschinen) neu und installiert das Steuerungsprogramm auf die beiden Computern. Gegen Mittag waren auch diese beiden Maschinen wieder einsatzbereit. 

 

Folgen und Kosten der Attacke

Die Tischlerei musst Ihre Kunden über den Vorfall informieren und teilweise Unterlagen und Dokumente erneut anfordern, dadurch hatten die Mitarbeiter neben den täglichen Tätigkeiten noch jede Menge Arbeit und mussten die Wochen nach der Attacke zahlreiche Überstunden machen. 

Einige Aufträge konnten nicht termingerecht erledigt werden und einige Kunden stornierten auch Ihre Aufträge. 

Für die Tischlerei fielen neben die Kosten für den externen IT-Support auch noch die Kosten für Überstunden an, dazu kam noch der Umsatzverlust durch die stornierten Aufträge.

Fazit

Die Tischlerei hatte bei dem Vorfall auch viel Glück, da hier die IT Betreuung recht gute Vorarbeit geleistet hatte, jedoch kam hier das Problem das bei der Sicherung der Daten auf den regelmäßigen Tausch des externen Datenträgers verlassen wurde. Da die Daten hauptsächlich am Server liegen, wurde nicht berücksichtigt, dass auch die Cloud-Service von Microsoft 365 im Unternehmen genutzt werden, deshalb wurde auch kein Backup für diese Services gemacht. 

Wir setzten hier auf automatisierte Backup-Lösungen, die automatisch Ihre Daten auf einen Datenträger in Ihrem Unternehmen und in ein österreichisches Rechenzentrum sichern. Somit kann nicht vergessen werden, dass die Platte gewechselt werden muss. 

Zusätzlich empfehlen wir die Sicherung von Cloud-Services, da zwar die Verfügbarkeit der Daten garantiert wird, aber diese nicht vor Verlust (z.B. Löschen oder Verschlüsselung) schützen.