Vor einer Woche hatte ein Hackerteam mit einem Erpressungstrojaner alle Systeme der Machjetztwas GmbH lahmgelegt. Telefon und Internet waren ebenfalls betroffen. Der Betrieb stand weitestgehend still. Inzwischen sind die Daten entschlüsselt und die Systeme wiederhergestellt. Heute kam die Mail mit dem „Report“, auf den wir seit Tagen gewartet haben

ÜBER EINE INFIZIERTE MAIL INS SYSTEM

„Ich hab dir eine Mail weitergeleitet.“ Der Gatte sah mich an und strahlte.
Eigentlich wollte ich grad etwas ganz anderes tun. Da war noch das Zertifikat, das eingebunden werden musste. Herr Kunde brauchte Zugangsdaten, weil er seine Webseite künftig selber pflegen wollte und dann war da noch der Shop, bei dem ich eigentlich noch ein paar Änderungen programmieren sollte.

Eigentlich.

Aber jetzt stand der Mann da neben mir und wartete darauf, dass ich die Mail öffnete, las, was er mir da zugedacht hatte.

DER REPORT DES HACKERS

„Report“ stand im Betreff.

Da war er also, der Report des Hackers, die Infos darüber, wie er in die Systeme der Machjetztwas GmbH kommen konnte.

Eigentlich hatte ich ganz andere Themen für meinen aktuellen Newsletter vorbereitet. Um die Installation von Windows 1 sollte es gehen. Eigentlich hatte der Kollege Windows 11 installieren wollen. Über den Verkehr in unserem Dorf und ob Homeoffice da helfen könnte, wollte ich ebenfalls schreiben.

Aber nun ist da der Bericht. Und ich weiß, dass Euch unser alles rund um unseren Cyberkrimi der vergangenen Woche aktuell viel mehr interessiert, als jedes andere Thema. Sogar Katzenvideos können da vermutlich nicht mithalten.

Diese Themen müssen also warten.

„WIR SIND ÜBER EINE INFIZIERTE E-MAIL IN IHR NETZWERK EINGEDRUNGEN“

Ich öffne nun die Mail.

„Wir sind über eine infizierte E-Mail in Ihr Netzwerk eingedrungen“, steht da.

Der Hacker empfiehlt: „Geben Sie also zunächst allen Ihren Mitarbeitern strenge Anweisungen zu Sicherheitsmaßnahmen.“

Meine Rede seit langem: Die Hacker werden immer geschickter mit Ihren Fake-Emails. Wie schnell klickt man auf eine Rechnung im Anhang, wenn einem der Absender bekannt vorkommt. Oder auf eine Bewerbung, wenn man tatsächlich gerade neue Mitarbeiter sucht. Die Seiten, die Mails, sehen oft täuschend echt aus. Deshalb ist das der wichtigste Punkt, an dem man Ansetzen muss: Mitarbeiter schulen und sensibilisieren. Ihnen Tipps geben, wie sie Fakemails besser erkennen und sich – und damit das Unternehmen – besser vor Schadsoftware schützen können.

ÄHNLICHE TIPPS VON HEISE WIE VON „UNSEREM“ ERPRESSER

Gerade heute hatte ich einen wirklich hilfreichen Link bei Heise online entdeckt:

E-Mail-Konto gehackt: Was Sie jetzt tun muessen

Die Tipps des Heisedienstes sind denen vom Erpresser der Machjetztwas GmbH sehr ähnlich. Vermutlich kennen sie dort „unseren“ Hacker ebenfalls. Schließlich war er schon bei einer Reihe anderer ziemlich großer Unternehmen und Organisationen erfolgreich.

7. Testen Sie Ihre Sicherheitssysteme gegen Angriffe von außen regelmäßig. Versuchen Sie sowohl von extern als auch von intern unberechtigt auf die Systeme zuzugreifen.
8. Setzen Sie EDR-Systeme (Endpoint Detection and Response Systeme) ein. 

Anm. der Redaktion: EDR-Systeme überprüfen die Systeme in Echtzeit auf böswillige Aktivitäten und melden sie sofort an den Administrator

9. Überprüfen Sie die Gruppenrichtlinien, schränken Sie Domänen- und lokale Administratorrechte für bestimmte Benutzer ein.
10. Verbessern Sie Ihr DLP-Softwaresystem.

Anm. der Red.: Ein DLP-Softwaresystem – Data Loss Prevention Software – soll Ihre Daten nachhaltig vor Verlust schützen.

Das wars. Keine Zeile, kein Wort mehr als nötig.

KEIN FREUND GROSSER WORT

Und auch der Polizist, der uns die Zeilen des Erpressers hat zukommen lassen, scheint kein Freund großer Worte zu sein.

„Mit freundlichen Grüßen“ stand da. Mehr nicht.

Das wars.

Die Systeme der Machjetztwas GmbH sind neu aufgebaut, die Daten verfügbar, der Betrieb läuft wieder. Der Erpresser hat erreicht, was er wollte und uns freundlicherweise mitgeteilt, dass er über eine Benutzer-Email die IT der Machjetztwas GmbH geentert hat.

Damit müssen wir uns dann nun wohl zufriedengeben.

Donnerstagabend, 19.50 Uhr. Die Frist, die der Erpresser uns gegeben hatte, würde in den nächsten Stunden ablaufen. Ein Wettlauf mit der Zeit.
„Ich bleib erstmal hier“, kam die Nachricht des Lieblingsehemanns, „wir installieren die ERP-Programme auf den neuen Systemen.“ Die wichtigsten Anwendungen, über die Geschäfts- und Betriebsdaten zentral in einer Datenbank gespeichert werden, sind in diesem System integriert. Das ERP-System ist das Herzstück des Unternehmens.
Das Geschäftsleiterteam der Machjetztwas GmbH saß im Konferenzraum und beobachtete die Monitore. Angespannt warteten alle darauf, dass irgendetwas passierte. Auf die Nachricht, dass die Bitcoin-Überweisung erfolgreich sein würde, dass der Erpresser sich meldete.
Für das Team in den Büros der Machjetztwas GmbH würde es ein langer Arbeitstag werden.
Ich briet mir ein paar Maultaschen mit Zwiebeln, Pilzen und Paprika und stellte mich darauf ein, den Abend allein zu verbringen.
Gegen 23 Uhr ging ich ins Bett. Der Platz neben mir war leer.

„DIE SYSTEME SIND ENTSCHLÜSSELT“

Um 3:09 Uhr piepte mein Handy: „Systeme entschlüsselt“, stand da in einer Textnachricht.
Geschafft!
Gegen 4 Uhr hörte ich den Gatten die Treppe zum Schlafzimmer heraufkommen. Um 6 Uhr war er wieder weg.
Als ich um 8 Uhr ins Büro kam, war die Atmosphäre anders als sonst, doch von Entspannung war noch nichts zu spüren. Alle sahen müde aus.
„Die Systeme sind entschlüsselt“, erklärte Martin, als wir uns um 9 Uhr zur Besprechung trafen. Er gab einen kurzen Abriss darüber, was in der vergangenen Nacht geschehen war. Es war still im Raum. Das Team hörte aufmerksam zu. Man hätte eine Stecknadel fallen hören können.
„Die Machjetztwas GmbH kann wieder auf ihre Daten zugreifen. Der Vormittag wird das Arbeiten dort sicherlich noch etwas holprig sein. In den nächsten Stunden werden wir zunächst jeden einzelnen Arbeitsplatz überprüfen, einrichten und mit dem neuen System verbinden. Achtet darauf: Jede IP-Adresse ist zu ändern. Keine Mitarbeiter dort darf auf das alte System zugreifen können.“
Ab Mittag sollten schließlich die Kabel neu verlegt und die Peripherie-Geräte wie Drucker und Co angeschlossen werden.
Das Team war bereit. Jeder wusste, was er zu tun hatte und tat, was nötig war. Die Arbeit lief Hand in Hand. Ruhig.

EINE WOCHE IM AUSNAHMEZUSTAND

Die ganze Woche schon hatte sich das Team der ms computer GmbH im Ausnahmezustand befunden. Alltag war anders. Nichts lief wie gewohnt. Wenn ich morgens zur Arbeit kam, war in allen Büros gähnende Leere. Außer im Verwaltungsbüro. Meine Kollegin war da.
Die täglichen Besprechungen um 9 Uhr fanden nicht statt. Es war niemand da, mit dem man sich hätte besprechen können.
Täglich wurde ein Team zusammengestellt, das sich ausschließlich mit den IT-Systeme der Machjetztwas GmbH beschäftigte. Dieser Teil des Teams hatte auch über die regelmäßige Arbeitszeit hinaus Bereitschaft. Die übrigen Mitarbeiter kümmerten sich um das Tagesgeschäft. Schließlich konnte es ja nicht sein, dass der Erpresser außer der Machjetztwas GmbH auch unseren Betrieb lahmlegte und wir unsere Kunden, die ebenfalls unsere Unterstützung brauchten, im Regen stehen ließen.
Alle Versuche, die Daten zu entschlüsseln, machten von Anfang an Probleme. Die Übertragung auf eine externe Platte für unseren Datenwiederherstellungspartner in Leipzig sollte drei Stunden dauern. Wir bestellten den Kurier, der sie dorthin bringen wollte, entsprechend. Der war pünktlich. Die Daten nicht. Nach drei Stunden zählte das System lediglich die voraussichtliche Übertragungsdauer weiter hoch. Sie lag bei 14 Stunden, als der Kurier eintraf. Er musste später wiederkommen.

DATENRETTUNG ZU 99 % MÖGLICH – BENÖTIGTE ZEIT: 2 MONATE – NOCH 4 TAGE BIS ZUM ABLAUF DES ERPRESSERULTIMATUMS

Die Diagnose dauerte zwei Tage. Montag kam schließlich die Nachricht aus Leipzig: Die Server konnten bis auf die Metadaten zu 99% wiederhergestellt werden. Das würde zehn Tage dauern. Die Datensicherungen waren mehrfach überschrieben und dadurch unbrauchbar gemacht worden. Aber auch hier sah das Leipziger Datenrettungsteam eine Chance. Allerdings würde das etwa 2 Monate in Anspruch nehmen.
Eine Möglichkeit von 99 % für die Wiederherstellung der Serverdaten klang vielversprechend. Doch was, wenn nicht jedes Bit einwandfrei funktionierte? Würden die virtuellen Maschinen mit 99% der Daten und ohne Metadaten tatsächlich wieder laufen?
Zehn Tage zu Wiederherstellung der Backups. Der Erpresser hatte uns eine Siebentagefrist gesetzt. Danach wollte er alle Daten der Machjetztwas GmbH veröffentlichen.
Täglich, wenn wir die Service-Seite des Erpesserportals öffneten, poppte als erstes der Hinweis auf „Noch 6 Tage…“, „noch 5 Tage …“ Am Montag waren es noch 4 Tage bis zum Ablauf der Frist.