Was sich aus den Ransomware-Angriffen von REvil lernen lässt
Am 7. November 2020 bemerkte der Geschäftsführer eines mittelständischen Bremer Unternehmens Unstimmigkeiten im internen Netzwerk. Das Unternehmen ist im An- und Verkauf von Merchandising-Artikeln tätig und agiert in Deutschland sowie Frankreich. Ein Großteil der Serverdaten war plötzlich durch eine starke Verschlüsselung unzugänglich.
Über Nacht startete die in IT-Kreisen bekannte Hackergruppe REvil einen Ransomware-Angriff. Dieser legte zahlreiche Prozesse des Betriebs für mehrere Wochen lahm. Rund 90 Prozent der Daten wurden verschlüsselt. Für die Herausgabe des Generalschlüssels forderten die Angreifer eine hohe Summe von etwa 300.000 Euro.
Dieses Szenario ist erschreckend, betrifft jedoch viele kleine und mittlere Unternehmen weltweit. In den vergangenen Jahren nahm die Cyberkriminalität stark zu. Während es 2016 in Deutschland noch rund 82.000 Fälle gab, registrierte das Bundeskriminalamt im Jahr 2020 bereits über 108.000 Angriffe.
Auch wenn sich der Angriff scheinbar aus dem Nichts ereignete, handelte es sich nicht um eine spontane Aktion. Die Attacke ließ sich im Nachhinein auf den Zeitraum zwischen ein und zwei Uhr nachts zurückverfolgen. Der Geschäftsführer vermutete jedoch, dass die Täter bereits Wochen zuvor in das System eingedrungen waren.
Der Angriff betraf auch einen Mitarbeiter, der seit etwa einem Monat im Homeoffice arbeitete. Zeitgleich stellte er auf seinem Dienstlaptop fest, dass sämtliche Daten verschlüsselt waren. Ein Zugriff auf wichtige Dateien war nicht mehr möglich. Damit zog die Attacke größere Kreise als zunächst angenommen und betraf nahezu alle Mitarbeitenden.
Nur durch die Eingabe eines sechsstelligen Hexadezimalcodes konnten die Daten wiederhergestellt werden. Wichtige Informationen gingen dabei nicht verloren. Dennoch mussten die Mitarbeitenden mehrere Wochen mit starken Einschränkungen arbeiten. Essenzielle Abläufe konnten jedoch teilweise manuell fortgeführt werden. Um den wirtschaftlichen Schaden gering zu halten, war schnelles Handeln erforderlich. Unter dem hohen Zeit- und Entscheidungsdruck stellte dies jedoch eine große Herausforderung dar.
Was tun, wenn der schlimmste Fall eintritt? Diese Frage stellen sich viele IT-fremde oder unerfahrene Unternehmen. Anders als in Filmen verlaufen solche Erpressungen in der Realität meist unspektakulär. Auch in diesem Fall begann der eigentliche Prozess erst beim Zugriff auf eine verschlüsselte Datei.
Ein Countdown von fünf Tagen startete und zeigte die geforderte Lösegeldsumme an. Diese belief sich auf insgesamt 300.000 US-Dollar. Für ein mittelständisches Unternehmen ist eine solche Summe kaum zu stemmen. Nach Eingang der Forderung traten die Verantwortlichen in eine Chatkommunikation mit den Tätern ein und begannen Verhandlungen.
Dabei zeigte sich, dass mehrere Akteure beteiligt waren. Auf der einen Seite stand ein harter und unnachgiebiger Verhandlungspartner. Auf der anderen Seite agierte eine kommunikative und kompromissbereite Person. Nach mehreren Tagen konnte schließlich eine Einigung auf eine deutlich geringere Summe erzielt werden. Da es keinen alternativen Weg zur Wiederherstellung der über 20 Jahre gesammelten Unternehmensdaten gab, zahlte die Geschäftsführung das Lösegeld in der nicht nachverfolgbaren Kryptowährung Monero.
Im Anschluss überprüfte die Geschäftsführung nach dem Zero-Trust-Prinzip sämtliche Strukturen und Prozesse. Ziel war es, bestehende Sicherheitslücken möglichst genau zu identifizieren. Zur Unterstützung wurde eine IT-Sicherheitsfirma aus Bremen beauftragt, die über umfassende Erfahrung in diesem Bereich verfügte.
Der Empfehlung, die gesamte Hardware auszutauschen, konnte das Unternehmen aus wirtschaftlichen Gründen nicht folgen. Auch vonseiten der Versicherung gab es keine finanzielle Unterstützung. Daher entschied sich der Betrieb, eine neue IT-Infrastruktur aufzubauen.
In diesem Zusammenhang engagierte das Unternehmen den Rechenzentrumsdienstleister firstcolo. Dieser betreibt eigene Datacenter und bietet Colocation- sowie Managed Services an. Mitte Dezember 2020 kam es zur ersten Kontaktaufnahme. In der Folge verlagerte der Betrieb seine Datensätze in das externe Rechenzentrum und verwaltet sie heute vollständig aus der Cloud heraus.
Gerade für kleine und mittlere Unternehmen bietet die Auslagerung von Servern und Daten zahlreiche Vorteile. Aus Sicherheitsgründen ist der Wechsel von einer lokalen Datenspeicherung zu externen Rechenzentren sinnvoll. Anbieter wie firstcolo überwachen die Server rund um die Uhr und gewährleisten so eine lückenlose Kontrolle.
Zudem entfallen interne Verwaltungs- und Wartungsaufgaben. Dadurch werden Prozesse effizienter und Kosten eingespart. Der regelmäßige Austausch von Hardware, der bei intensiv genutzten Servern alle drei bis fünf Jahre erforderlich ist, entfällt für das Unternehmen vollständig.
Nicht zuletzt gewinnen flexible Arbeitsmodelle zunehmend an Bedeutung. Ob im Büro oder im Homeoffice – Cloud-Anwendungen lassen sich ortsunabhängig nutzen. Mitarbeitende greifen sicher auf Daten zu und können Änderungen am System jederzeit vornehmen.
Um künftige Cyberangriffe zu vermeiden, setzte das Unternehmen weitere Maßnahmen um. Ein besonderer Fokus lag dabei auf der Sensibilisierung der Mitarbeitenden als Hauptnutzer des Systems. Häufig verschaffen sich Angreifer über einzelne Nutzer Zugang zu Netzwerken.
Genau an diesem Punkt setzten die Verantwortlichen an. Sie entwickelten ein Sicherheitstraining, das über eine eigene Plattform absolviert werden kann. Dieses enthält Schulungsunterlagen sowie einen Abschlusstest. Nach erfolgreicher Teilnahme erhalten die Mitarbeitenden ein Zertifikat.
Ein zentrales Thema sind weiterhin Phishing-Mails, die viele Nutzer noch immer unterschätzen. Durch gezielte Schulungen und die sichere Datenverwahrung in der Cloud entstand eine IT-Infrastruktur mit deutlich reduzierter Angriffsfläche. So lassen sich zukünftige Attacken proaktiv vermeiden und der unternehmenskritische IT-Betrieb langfristig absichern.
