Wenn der Hacker zweimal zuschlägt
02.08.2022 | Die Wahrscheinlichkeit, innerhalb weniger Wochen gleich zweimal Opfer unterschiedlicher Hackergruppen zu werden, ist äußerst gering. Oder etwa nicht!?
Was im Frühjahr bei einem erfolgreichen mittelständischen Unternehmen aus Baden-Württemberg los war, hätte sich kein Drehbuchautor besser ausdenken können: In einem Abstand von nur wenigen Wochen wurde der international tätige Betrieb mit mehreren hundert Mitarbeitenden gleich zweimal gehackt. Ging der erste Vorfall noch recht glimpflich aus, schlugen die Hacker beim zweiten Angriff umso härter zu. Nichts ging mehr – die gesamte Produktion stand still, es konnten weder Rechnungen geschrieben noch Gehälter bezahlt werden, das Unternehmen war wochenlang nur eingeschränkt erreichbar.
Was war geschehen und wie konnte es so weit kommen?
Anatomie einer Katastrophe
Es heißt, der Blitz schlägt niemals zweimal an derselben Stelle ein. Dieses Sprichwort sollte angesichts des vorliegenden Falls noch einmal überdacht werden.
Im April wurde der Betrieb das erste Mal Opfer eines Ransomware-Angriffs. Über die Details ist nicht viel bekannt – der Vorfall wurde in aller Stille durch den externen IT-Dienstleister bereinigt. Leider nicht gründlich genug. Denn anstelle einer umfassenden Untersuchung inklusive Dokumentation wurden die Systeme ganz einfach zurückgesetzt und das Backup eingespielt, sodass man zum Alltagsgeschäft zurückkehren konnte. Das Fatale an diesem Vorgehen: Nicht alle Passwörter wurden nach dem Hackerangriff geändert, die Firewall blieb weiterhin ungepatcht.
Und so kam es, dass sich das Ganze Anfang Mai wiederholte. Als Sandra M. an einem sonnigen Freitagmorgen als Erste das Unternehmensgebäude betritt, ahnt sie noch nicht, was sie erwartet. Sie vermutet zunächst noch einen Hardware-Fehler, als sich ihr PC nicht hochfahren lässt. Doch schnell wird klar, dass nicht ihr Gerät das Problem ist, sondern der Server nicht mehr startet und niemand ins System kommt.
An diesem Punkt kamen die Spezialisten für IT-Security und IT-Forensik der LEITWERK AG ins Spiel. „Leider muss man sagen, dass es den Hackern hier erschreckend einfach gemacht wurde“, fasst Philipp Schmitt, Experte für IT-Security bei LEITWERK, seinen ersten Eindruck von der Situation vor Ort zusammen.
Den Hackern auf der Spur
Den Angreifern war es gelungen, in den Besitz sämtlicher Passwörter zu gelangen und so die Server auf allertiefster Ebene komplett zu verschlüsseln. Im ersten Schritt wurde deshalb das gesamte System vom Netz genommen. Gemeinsam mit der Polizei ging LEITWERKs IT-Forensiker Niko Hoff anschließend auf Spurensuche und versuchte, den Angriff zu rekonstruieren.
Schnell wurde klar, dass hinter der Attacke eine bekannte russische Hackergruppe steckte, die für die „Freilassung“ der Systeme ein hohes Lösegeld forderte. Darüber hinaus boten die Angreifer an, nach Bezahlung aufzuzeigen, über welchen Weg sie ins System gelangt waren. „Wir haben uns spaßeshalber auf Verhandlungen mit den Hackern eingelassen, weil wir herausfinden wollten, welche Daten sie erbeutet hatten“, erinnert sich Niko Hoff. Dabei fiel besonders die professionelle Organisation der Gruppe auf. „Es gab sogar einen FAQ-Bereich, in dem man sich als Betroffener über das weitere Vorgehen informieren konnte.“
Hier stießen die Security-Experten von LEITWERK auf eine interessante Information: Die Cyberkriminellen gaben an, nach erfolgter Zahlung von jeglichen weiteren Angriffen auf die Systeme abzusehen. Auf Nachfrage bestätigten die Hacker, dass sie für die erste Attacke nicht verantwortlich waren.
Schadensbegrenzung und Wiederaufbau
Nachdem LEITWERK gemeinsam mit der Unternehmensführung die gehackten Daten geprüft und darunter keine geschäftskritischen Informationen gefunden hatten, wurde gegen die Bezahlung des Lösegelds entschieden. Stattdessen begann der Wiederaufbau der kompletten Systemlandschaft inklusive Implementierung umfassender Sicherheitsmaßnahmen. Jedes einzelne Endgerät wurde gescannt und neu aufgesetzt, die Firewall wurde – nachdem sie zwei Jahre ungepatcht brachgelegen hatte – auf den aktuellen Stand gebracht und eine Zwei-Faktor-Authentisierung für das gesamte Unternehmen umgesetzt.
Insgesamt dauerte es rund drei Wochen, bis das Unternehmen wieder völlig normal arbeiten und produzieren konnte. Seitdem hat sich einiges geändert: Die IT wird nicht mehr einfach „nebenher“ betrieben, sondern nimmt einen wesentlichen Stellenwert für die Sicherheit und Wirtschaftlichkeit des Betriebs ein.
Doch der Schmerz sitzt tief – die beiden Cyberattacken haben Spuren hinterlassen. Neben dem wirtschaftlichen Schaden erlitt das Unternehmen einen erheblichen Imageverlust, den es aufzuarbeiten gilt.
Im Teufelskreis der Ransomware
Die Bedrohung durch Ransomware, so genannte Verschlüsselungstrojaner, hat in den letzten Jahren stark zugenommen. Betroffene Unternehmen stehen dabei vor der überaus unbequemen Frage: Lösegeldforderung bezahlen oder Systeme neu aufsetzen und eine Veröffentlichung der Daten im Darknet in Kauf nehmen?
Eins steht fest: Wer zahlt, macht das nur in den seltensten Fällen publik. Zu groß ist die Angst vor Folgeangriffen – denn wer einmal zahlt, macht das wahrscheinlich auch ein weiteres Mal. Hinzu kommt die Problematik, dass Unternehmen, die der Lösegeldforderung nachkommen, zum Erfolg des Geschäftsmodells Ransomware beitragen, indem sie es (unfreiwillig) finanzieren. Doch auch die Unternehmen, die eine Lösegeldzahlung verweigern, gehen damit nur ungern an die Öffentlichkeit. Dabei wäre genau das der richtige Weg, um zu zeigen, dass niemand zu 100 Prozent sicher ist und um anderen die Möglichkeit zu geben, aus den eigenen Fehlern zu lernen.
Angesicht der massiven wirtschaftlichen Schäden, die durch Ransomware verursacht werden, sichern sich immer mehr Unternehmen mittels so genannter Cyberversicherungen ab. Damit diese im K-Fall auch die Unterstützung bieten, die benötigt wird, sollten vorab zum einen die Versicherungsbedingungen und zum anderen der Zustand der unternehmenseigenen IT-Infrastrukturen genaustens geprüft werden.
Gerne beraten Sie die Experten von LEITWERK hierzu.
Beim Schutz vor Ransomware gilt: Mehr ist mehr!
Bei LEITWERK weiß man, dass die Frage nicht lautet, ob, sondern wann ein Unternehmen gehackt wird. Wie eine Studie des Digitalverbands Bitkom zeigt, waren in den letzten beiden Jahren 9 von 10 Unternehmen (88 Prozent) von Cyberangriffen betroffen. Umso wichtiger ist es deshalb, die Eintrittsschwelle für Angreifer so hoch wie möglich zu legen.
Zu den grundlegenden Dingen, die jedes Unternehmen in Sachen IT-Security beherzigen sollte, gehören:
- Zwei-Faktor-Authentisierung
- Patchmanagement
- Regelmäßige Sicherheitsscans
- Sensibilisierung der Mitarbeitenden
- Ein gutes Backup-Konzept
Wenn es um die Sicherheit der IT geht, reicht es nicht aus, sich auf den Status Quo zu verlassen. Was heute noch sicher war, kann morgen schon ganz anders aussehen. Die Angriffe werden immer professioneller und zielen auf die unterschiedlichsten Unternehmenskomponenten ab. Neben den technischen Schutzmaßnahmen ist es deshalb ein absolutes MUSS, innerhalb des Unternehmens eine Awareness für die Risiken zu schaffen. Denn im Zusammenspiel mit einem proaktiven Patchmanagement sowie einer regelmäßigen Überprüfung der IT-Landschaft auf Angriffsmöglichkeiten von außen (z.B. mittels eines Vulnerability-Scans), trägt die Sensibilisierung der Mitarbeitenden maßgeblich zum Schutz gegen Cyberangriffe bei.
„Man darf das Geschäftsmodell Cybercrime nicht unterschätzen“, warnt Philipp Schmitt. „Die Täter werden immer professioneller und werben ihren Nachwuchs im Darknet mittlerweile mit Benefits wie Krankengeld und einem 13. Monatsgehalt an“. Der Experte für IT-Security rät Unternehmen jeder Größe dringend dazu, ihre IT-Security ernstzunehmen, sich mithilfe geeigneter Maßnahmen bestmöglich abzusichern und umfassend auf den Fall der Fälle vorzubereiten.
„Immer wenn man denkt, man hat schon alles gesehen, wird man eines Besseren belehrt“, bringt er die Bedrohungslage durch Ransomware auf den Punkt.
