Der K-Fall im Datenschutz: Cyber-Angriff – das ist zu tun
Die INTARGIA Managementberatung, Teil der valantic Gruppe, berät Kunden immer dort, wo sowohl IT als auch Business-Know-How gefragt sind. Von A wie Anwendungsfall bis Z wie „ziemlich moderne Dinge rund um Digitalisierung“. Außerdem spielt das Thema Datenschutz eine sehr wichtige Rolle. Wir sind aktuell von über 100 Unternehmen als externer Datenschutzbeauftragter bestellt. Die praktische Umsetzung der unternehmerischen Vorgaben gehört für uns zum täglich Brot.
Solche Berater hat man sehr gerne an Bord!
INTARGIA möchten Ihnen am Beispiel real erfolgter Cyber-Angriffe die Gelegenheit bieten, aus den Erfahrungen und Schmerzen anderer zu lernen. Dabei ging es um einen typischen deutschen Hidden Champion, der Opfer eines Ransomware-Angriffs wurde. Ransomware hatte die IT-Systeme verschlüsselt und damit unbrauchbar gemacht. Aber auch sehr namhaften und bekannten Unternehmen ist schon Ähnliches passiert. Keiner der Betroffenen hängt derartige Vorfälle gerne an die große Glocke.
Inhalt
Die Erkenntnis über einen Cyber Angriff im eigenen Unternehmen
Los geht es meistens damit, dass die IT-Abteilung Unregelmäßigkeiten erkennt – in den genannten Fällen am frühen Morgen. Nach einem ersten „Aha-Erlebnis“ – niemand glaubt zunächst, dass ihm so etwas wirklich selbst passieren könnte – schlägt die Faust der Erkenntnis zu: Wir sind Opfer eines Cyber-Angriffs geworden. Danach werden Netzwerkverbindungen getrennt, Systeme heruntergefahren und die Vorgesetzten beziehungsweise die Unternehmensleitung informiert.
Im weiteren Verlauf der Realitätsbewältigung klingelt dann das Telefon der Berater von INTARGIA. Gewünscht werden konkrete Handlungsweisen, Kontakte zu Forensik-Experten und aktives Krisenmanagement. Bei Anrufen dieser Art ist unmittelbar eines klar: Es muss jetzt sehr schnell gehen. In der Regel wird ein Berater direkt vor Ort angefordert.
Am Ort des Geschehens ist eine gewisse Anspannung quasi mit Händen greifbar. Auf dem Weg in den Besprechungsraum, der in den nächsten Tagen zum „Cyber War Room“ umfunktioniert wird, geht es durch offene und festgestellte Türen – Zutrittskontrollsysteme sind meist ausgefallen – und vorbei an verwaisten Arbeitsplätzen. Man bekommt einen ersten Eindruck, dass hier wohl gerade gar nichts mehr geht. Danach geht es möglichst strukturiert los:
- Namen und Rollen werden notiert
- Was ist passiert – Reihenfolge, zeitlicher Ablauf?
- Wer hat wann was genau gemacht?
- Liegt ein Erpresserschreiben vor?
- Wer wurde wie, wann, von wem und mit welchem Inhalt informiert (Kunden, Geschäftspartner, Behörden)?
- Welche Form von Backups stehen zur Verfügung?
- Wann hat das letzte „saubere“ Backup, zum Beispiel durch Auslagerung von Bändern, stattgefunden?
Jede Minute kostet Geld
In den genannte Fällen wurden jeweils mehr oder weniger alle wesentlichen Systeme verschlüsselt. Folglich stand der Geschäftsbetrieb zu diesem Zeitpunkt komplett still. Hunderte oder tausende von Mitarbeitern wurden gegebenenfalls nach Hause geschickt, Kundenaufträge können nicht bearbeitet werden. Nicht nur die Uhr tickt, vor allem der „Geldzähler“ läuft. Aktuell kostet jede Minute richtig viel Geld, und Geld ist an dieser Stelle ein gutes Stichwort. Die Erpresser fordern Lösegeld, erst dann werden die Systeme entschlüsselt und sind wieder nutzbar. Weitere Fragen drängen sich auf:
- Hat sich Ihr Unternehmen mit der Frage, wie in einem Erpressungsfall verfahren wird, schon beschäftigt?
- Gibt es Regelungen auch für den Fall, dass Personen von der Eigentümerfamilie betroffen sind oder sogar mit der Verunreinigung von Produkten gedroht wird?
- Ist den Geschäftsführern und Vorstandsmitgliedern bewusst, dass sie nach der Zahlung von Lösegeld im Darknet als „zahlendes Opfer“ gelistet werden?
- Hat Ihr Unternehmen ein Bitcoin-Konto?
- Wollen Sie Behörden einschalten (Kripo, das LKA oder gar den Verfassungsschutz)?
Es dauert einige Zeit, bis den verantwortlichen Personen das Ausmaß und die potenzielle Bedrohung klar wird. Die Berater von INTARGIA weisen auf die 72-Stunden-Frist hin, wo nach Bekanntwerden eines Data Breaches eine Meldung an die Datenschutzbehörde erfolgen muss.
Zahlen oder nicht zahlen?
Bei einem Ransomware-Angriff mit Lösegeldforderung stellt sich immer die entscheidende Frage: Zahlen oder nicht zahlen? Kann die eigene IT auch ohne Lösegeldzahlung vollständig wieder hochgefahren werden? Den betroffenen Unternehmen stehen zwei Optionen zur Auswahl:
Das No-Pay-Szenario geht vom kompletten Neuaufbau der gesamten IT auf der „grünen Wiese“ aus, in das vorhandene Backups wieder eingespielt werden. Die grüne Wiese ist dabei besonders wichtig. Auch wenn Sie alle Systeme aus dem Backup wiederherstellen können, bestünde die Gefahr, dass die Angreifer nach wie vor einen Schlüssel im System versteckt haben – Stichwort: Golden Ticket. Dieser Gefahr will sich kein Unternehmen aussetzen, weshalb die Neuinstallation aller Systeme in Verbindung mit modernen Abwehr- und Containmentsystemen in der Regel unvermeidbar sind.
Das Pay-Szenario sieht vor, dass die Erpresser bezahlt werden, wichtige Systeme völlig abgeschottet von der neuen Umgebung wieder in Betrieb genommen und Daten „handverlesen“ in das neue System übernommen werden. Denn auch hier ist klar, dass ein System, in dem ein Fremder einmal administrative Rechte hatte, nie wieder Ihr volles Vertrauen genießen wird.
Nun fragen Sie sich vielleicht, warum überhaupt jemand auf die Idee kommen könnte, an Erpresser zu zahlen? In einem der vorliegenden Fälle sah die Situation wie folgt aus:
- Backups erfolgten täglich auf Disk – aber alle Disks waren verschlüsselt
- Wöchentliche Backups erfolgten auf Bändern
- Monatlich wurden Bänder aus der Tape Library entnommen und eingelagert
Nach eingehender Analyse stellte sich heraus, dass eine Datenlücke von drei Wochen nicht überbrückt werden konnte. Die Angreifer waren mehrere Wochen im Netz unterwegs und hatten sehr viel Zeit darauf verwendet, jedes einzelne in der Tape-Library vorhandene Band einzulegen und zu löschen. Das Unternehmen hatte just in den vergangenen Wochen massivste Produktentwicklung und Vorplanung betrieben. Auch ein auf Datenrettung spezialisiertes Unternehmen konnte die gelöschten Bänder nicht wiederherstellen, so dass dem Vorstand letztlich nur eine Entscheidung blieb: wir bezahlen.
Und das sollte man sich im Übrigen nicht zu einfach vorstellen. Zwischen der ersten Kontaktaufnahme mit den Erpressern und der Bereitstellung des Schlüssels für Ihre Daten, können durchaus einmal 48 bis 72 Stunden liegen. Zwei weitere Dinge sind an dieser Stelle zu bedenken:
- Die Entschlüsselung der Daten wird – je nach Datenmenge – mehrere Tage in Anspruch nehmen
- Wie schnell wären Sie in der Lage, für eine sechs- bis siebenstellige Summe Bitcoin zu besorgen? Es gibt zwar Börsen, an denen man Kryptowährungen erwerben kann. Aber dort gelten die Gesetze des Marktes, nach denen die Nachfrage den Preis bestimmt. Es ist also ratsam, in vielen kleineren Margen einzukaufen, um nicht den eigenen Preis hochzutreiben. Auch das kostet Zeit.
Wie kann ich mein Unternehmen für solche Situationen vorbereiten oder sie sogar komplett verhindern?
Eine spannende Geschichte, oder? Bleibt die Frage, wie man solche Situationen verhindert und sich auf den nicht auszuschließenden Katastrophenfall vorbereiten kann. Dabei sind einige Vorkehrungen zu treffen und einige Fragen vorab zu klären:
- Wollen Sie den Forderungen der Erpresser nachgeben: zahlen oder nicht zahlen?
- Business Continuity Management (BCM): gibt es ein Sicherheitskonzept und Notfallpläne für die Aufrechterhaltung der Produktion und der Betreuung von Kundenanfragen?
- Sind das Krisenmanagement und die Kommunikation inklusive der Verantwortlichkeiten im K-Fall strukturiert?
- Ist im Krisenfall eine schnelle Abschottung und Wiederherstellung der betroffenen Systeme gewährleistet?
- Ist Ihr Unternehmen für die Spurensicherung und Dokumentation des Tatzeithergangs gut gerüstet?
Wollen Sie mehr erfahren? Dann stehen wir Ihnen für weitere Fragen und für ein unverbindliches Gespräch sehr gerne zur Verfügung.
Wir beraten Sie gerne.
Ihr Ansprechpartner
Thomas Lang
Geschäftsführender Partner
