Einer unserer Kunden erzählt uns alles über den Cyberangriff, dem sein Unternehmen ausgesetzt war.

Er möchte anonym bleiben, um das Image seines Unternehmens bei seinen eigenen Kunden zu wahren, und erzählt uns seine wahre Geschichte, die Auswirkungen der Ransomware auf sein Unternehmen, seine Fehler und wie er versucht hat, sich davon zu erholen.

Ein bewegendes Erlebnis, aber auch eine immer häufiger vorkommende Realität für viele kleine und mittlere Unternehmen, während Cyberkriminelle ihre Angriffe ständig verbessern.


Wie die Daten meines Unternehmens durch Ransomware verschlüsselt wurden

Als Unternehmer weiß ich sehr wohl, dass mein Unternehmen ohne seine Daten nicht existieren kann. Sie sind das Herz und deshalb befanden sich schon seit geraumer Zeit, alle unsere Server in einem naheliegenden gemieteten Rechenzentrum, auf eigenen Servern und nicht in einer öffentlichen Cloud. Zusätzlich zur Standard-Rechenzentrumssicherheit verwenden wir ein Antivirenprogramm, eine Firewall und eine Backup-Lösung.

Alles funktionierte jahrelang perfekt und ohne wirkliche Probleme... Bis zu dem Tag, an dem eine Ransomware den Großteil unserer Daten verschlüsselt hat und uns (mich) um 50000 Euro für einen Entschlüsselungscode aufforderte! Schlimmer noch, die Sicherungsdateien waren ebenfalls betroffen!!!

Ich war fassungslos: Wie ist das möglich?


Der erste Cyberangriff

Ich gestehe, dass wir 6 Monate zuvor einen ersten Angriff hatten, der von unserem IT-Reseller schnell erledigt wurde.

Was ist geschehen? Einer unserer 25 Mitarbeiter klickte versehentlich auf einen infizierten E-Mail-Anhang. Glücklicherweise verfügte die Person über einen begrenzten Zugriff im Netzwerk und „nur“ die Daten auf seinem Computer wurden verschlüsselt. Unserem externen IT-Berater gelang es die Ausbreitung der Ransomware auf den Rest des Netzwerks zu verhindern!

Unmittelbar nach diesem Schreck, machte unser Dienstleister den Vorschlag, eine 3-2-1 Backup-Strategie zu implementieren, bei der automatisch eine Kopie unserer Backups in einer anderen Cloud gespeichert wird, für den Fall, dass uns Cyberkriminelle erneut angreifen. Sicherlich schien mir die 3-2-1-Strategie angemessen, aber ich hatte zu diesem Zeitpunkt nicht das Budget dafür, und ehrlich gesagt, wie hoch ist die Wahrscheinlichkeit, dass wir zweimal angegriffen werden?


Die 2. Cyber-Attacke, der Todesstoß

Ich war fassungslos: Wir konnten zuschauen, wie Dateien und Programme unzugänglich wurden… Wahrscheinlich hatte es nach und nach in der Nacht begonnen und als wir die Systeme einschalteten/benutzten, beschleunigte sich alles... Es schüttelt mich noch immer, wenn ich daran denke!

Einer der Techniker unseres Systemhauses versuchte, uns aus der Ferne zu helfen, ein anderer stand auf dem Weg zu unseren Servern im Rechenzentrum im Stau, bis er schließlich ankam und die einzig mögliche Entscheidung traf: alle Systeme abzuschalten und alle Kabel in unseren Büros und im Rechenzentrum zu ziehen.

Es herrschte Schweigen. Uns allen blieb die Luft weg!

Dann kam die Realität zurück:

  • Ich: Lasst uns die letzte Sicherung wiederherstellen!
  • Techniker: Die sind auch verschlüsselt…
  • Ich: Wie ist das möglich?
  • Techniker: Ja, sie sind verschlüsselt und unbrauchbar…
  • Ich: Dann nehmen Sie die Daten der anderen Cloud!
  • Techniker: Wir haben keine Backups in einer anderen Cloud.
  • Ich: Doch, die 3-2-1 Strategie, die Sie mir vor 6 Monaten empfohlen haben?
  • Techniker: Sie hatten damals kein Budget für externen Speicher!
  • Ich: …


Ich schlucke noch heute, wenn ich daran zurückdenke. Zum ersten Mal muss ich öffentlich, wenn auch ohne meinen Namen zu nennen, zugeben: Wenn ich wirklich zugehört hätte oder wollte, hätte ich das Budget für den Speicherplatz in der Cloud für die 3-2-1 Strategie bereitstellen können.

Die von unserem Dienstleister empfohlene Strategie hätte den Angriff zwar nicht gestoppt, aber zumindest hätte ich die Daten vom Vortag wiederherstellen können!

Heute bedauere ich, dass ich diese Kosten, die ich für zu hoch gehalten habe, nicht berücksichtigt habe. Diese Kosten sind unscheinbar gering im Vergleich zu den von den Cyberkriminellen geforderten 50000 Euro!

Ich bedaure noch jetzt, dass ich diese Kosten, die ich für unnötig und zu teuer hielt, verworfen habe, dass ich nichts verstehen wollte, nur um Kosten zu sparen. Unserem Berater waren die Hände gebunden, um unsere Backups außerhalb des Netzwerks zu speichern und er dies kostenlos nicht anbieten konnte.

Ja, ich bin wütend, aber ich bin wütend auf mich selbst, denn ich habe Jahre damit verbracht, mein Unternehmen aufzubauen und zu erweitern. Und innerhalb von Minuten, haben Hacker einen Großteil meiner Unternehmensdaten unbrauchbar gemacht!


Der entstandene Schaden durch Ransomware in meiner Firma

Abgesehen von den verschlüsselten Daten, Servern und von den Reinvestitionskosten in die IT-Sicherheit, ist der wirkliche Schaden nicht bezifferbar! Denn dazu kommt der Ärger, der Stress, die Verzweiflung und die verlorene Zeit – all das, kann nicht als Zahl dargestellt werden.


Was wurde durch den Einbruch verschont?

  • Das vollständige Backup von Actiphy, das der Wiederverkäufer nach dem ersten Cyberangriff gesammelt hatte, um es für die 3-2-1-Offsite-Replikation in die Cloud zu kopieren.
  • Cloud-basierte Programme und Anwendungen, die wir verwenden:
    • Webserver
    • Fakturierungssystem mit Historie aller Rechnungen, gekauften Produkte, offenen Angebote
    • Marketing-Abonnementlisten (zur Kommunikation mit bestehenden und potenziellen Kunden über unsere Newsletter)
  • 50% unserer Marketing- und Vertriebskommunikation und Broschüren - die Mitarbeiter hatten eine lokale Kopie auf ihren Macs.



Was wurde von den Hackern verschlüsselt?

  • Unser Microsoft Exchange Server inklusive der gesamten E-Mail-Historie, wie auch die während des Angriffs empfangenen und gesendeten E-Mails wurden verschlüsselt.
  • Alle Daten von unseren virtuellen Servern, einschließlich:
    • CRM-Server mit Telefonnummern und Gesprächsverlauf mit unseren Kunden und Lieferanten.
    • Dateien und Ordner, die seit der Gründung des Unternehmens gespeichert wurden.
  • Alle Backups, die auf einem NAS in diesem Netzwerk gespeichert waren.


Welche Maßnahmen wurden während des Ransomware-Angriffs ergriffen?

Action

Da ich mir nicht sicher war, ob die Hacker unsere Daten nicht ein drittes Mal verschlüsseln würden und wir auch nicht wussten, ob sie eine schlummernde Malware im Netzwerk hinterlassen haben und noch weniger, ob der Entschlüsselungscode funktionieren würde, habe ich beschlossen, das geforderte Lösegeld nicht zu zahlen.

Ich war mir des Ausmaßes der Katastrophe und der Unmöglichkeit, alle beschädigten Daten wiederherzustellen, bewusst. Ich habe meine Prinzipien und weigere mich Webterroristen zu beugen. Ich will nicht, dass sie mit meinem Geld reich werden!

Trotz schlafloser Nächte und des Abwägens der Vor- und Nachteile entschied ich mich, in die IT-Sicherheit meines Unternehmens zu investieren, indem ich mir alle Informationen und Ratschläge meines IT-Fachhändlers genau anhörte und mir die Zeit nahm, um zu verstehen, wofür genau jede Lösung und Investition gedacht war. (Ich möchte unserem IT-Partner für seine Geduld und harte Arbeit danken).


Notfallmaßnahmen

  • Die einzige Lösung, um den Angriff zu stoppen, bestand darin, alles vom Netz zu nehmen!
  • 24 Stunden: Unser Wiederverkäufer setzte einen neuen E-Mail-Server auf, dieses Mal online, mit Microsoft Exchange Online und Office 365 für jeden unserer Mitarbeiter. So konnten wir schnell E-Mails von unseren bestehenden und potenziellen Kunden empfangen und beantworten, auch wenn wir keine Historie haben.
  • 36 Stunden: Änderung der Logins und Passwörter für alle PCs und Lösungen/Werkzeuge.
  • 48 Stunden: Die VoIP-Telefon Anlage wird neu konfiguriert.


Weitere Maßnahmen

  • Glücklicherweise hatte unser Wiederverkäufer nach dem ersten Cyberangriff eine Kopie der Actiphy-Vollsicherung erstellt, um sie für den 3-2-1-Strategievorschlag in die Cloud zu kopieren.
  • Zusammenführung der Daten des wiederhergestellten Backups mit den Informationen, die in den verschiedenen Cloud-Plattform gespeichert waren. Zugegeben, damit konnten wir nur einen kleinen Teil der Datenbank aktualisieren, aber das war besser als nichts.
  • Monatelang haben wir vergeblich versucht, eine aktuellere Sicherungsdatei wiederherzustellen, aber die Verschlüsselung ließ sich nicht knacken, auch nicht mit externen Werkzeugen und Spezialisten.


Welche Maßnahmen wurden nach dem Ransomware-Angriff ergriffen: Danach ist man immer schlauer!

Selbst heute, ein Jahr später, fehlen noch einige wichtige Daten, darunter der Verlauf von E-Mails und Telefongesprächen. Es ist sehr mühsam, ohne diese Daten zu arbeiten.

Ich weiß, dass Hacker immer einen Schritt voraus sind, deshalb haben wir uns darauf konzentriert:

  • Auslagerung unserer gesamten IT-Infrastruktur in die öffentliche Cloud.
  • 3-2-1-Backup-Strategie mit automatischer Überwachung, die von unserem Partner verwaltet wird.
  • Cloud-E-Mail-Archivierung, um jederzeit und unter allen Umständen auf E-Mails zugreifen zu können.
  • Cloud-E-Mail-Sicherheitslösung, um Ransomware zu stoppen, bevor sie überhaupt in mein Netzwerk gelangen. Es ist eine große Erleichterung, keine unnötigen E-Mails oder Spams mehr zu erhalten!

Ich bin zuversichtlich und denke, dass diese Sicherheitsmaßnahmen uns vor einem weiteren Angriff schützen oder wir nun so vorbereitet sind, dass wir unsere Daten wiederherstellen können ohne großen Verlust.


Standpunkt des Systemhauses zum Ransomware-Angriff seines Kunden

Leider hören wir oft „das ist zu teuer“ und werden aufgefordert, kostenlose Lösungen oder billige Lösungen zu implementieren.

Cyberkriminelle wissen, dass KMUs nur über ein begrenztes Budget für IT-Sicherheit verfügen und nutzen jede Lücke schamlos aus. Wir können nach einer Verschlüsselung leider keine Wunder vollbringen. Schade, dass erst nach einem Verlust jeder erkennt, wie wichtig die Schutzmaßnahmen sind.

Actions, planning, future

Wie können Wiederverkäufer / MSPs ihre Kunden auf Cyber-Angriffe vorbereiten? 

Wir glauben, dass es für IT-Beratungsunternehmen und Endbenutzer sehr wichtig ist, an 3 Aspekten der IT-Sicherheit zu arbeiten:


1. Stoppen Sie Ransomware, bevor sie überhaupt in das Netzwerk gelangt

In beiden Fällen erreichte die Ransomware über den Exchange Server das Netzwerk.

Deshalb haben wir:

  • Das System in der Cloud mit Office 365 (jetzt Microsoft 365) mit Exchange Online neu aufgebaut.
  • Wir empfehlen Cloud-Lösungen: Sie sind einfacher zu verwalten, kostengünstiger, und die Kunden können sie steuerlich direkt absetzen.
  • Den E-Mail-Schutzdienst eingeführt, um alle unerwünschten E-Mails in der Cloud zu eliminieren, bevor sie auf unserm Microsoft E-Mail-Server gelangen, indem E-Mails, Anhänge und URLs mehrschichtig geprüft und gefiltert werden. Es ist sehr kosteneffektiv und funktioniert mit allen Cloud- und lokalen E-Mail-Servern, es ist einfach einzurichten und der Preis ist lächerlich niedrig im Vergleich zu den Lösegeldforderungen von Hackern.
  • Alle Passwörter mithilfe der kostenlosen personalisierten Passwortkarten geändert. Wir haben unser eigenes Logo hinzugefügt und verteilen sie kostenlos an alle Kunden für jede Software, Anwendung, Onsite- und Remote-Mitarbeiter.


2. Bereit sein für den Fall, dass ein Angriff stattfindet

Wir alle wissen, dass Cyberkriminelle immer einen Schritt voraus sind; ihre Angriffe sind immer intelligenter und Millionen von Unternehmen werden immer wieder gehackt. Bereiten wir uns also auf eine solche mögliche Situation vor:

  • Eine komplette Backup Strategie / Konzept mit:
    • 3-2-1 Backup Strategie:
      automatisierte Backups, die regelmäßig außerhalb des Netzwerks gesendet werden. Actiphy beinhaltet kostenlose, unbegrenzte Replikationen, auch in die Cloud.
    • Überwachung:
      Installieren und vergessen ist keine gute Idee in Bezug auf die Sicherungen und IT-Sicherheit. Wir empfehlen dringend monatliche oder wöchentliche Überwachungsdienste, die durch die Web-Überwachungskonsole APS von Actiphy vereinfacht werden.
    • Backup-Tests
      automatisiert und manuell durchführen, entweder Onsite oder Offsite, sollten monatlich in Ihrem Dienstleistungsangebot enthalten sein.
  • E-Mail-Archivierung: Ja es ist eine gesetzliche Anforderung der DSGVO, aber wir bevorzugen den wirklichen Nutzen, wie: die leistungsfähige Suche und es begrenzt den Schaden, welcher bei einem Ransomware-Angriff unweigerlich ausgelöst wird. Hätte unser Kunde die Cloud-E-Mail-Archivierung eingesetzt, hätten wir alle E-Mails aus dem Archiv wiederherstellen können, unabhängig ob die Backupdateien verschlüsselt waren oder nicht. Er hätte direkt nach dem Einrichten des Microsofts E-Mail-Servers produktiv sein können, anstatt Wochen zu verlieren!


3. Seien Sie transparent

Seien Sie gegenüber Ihren Kunden offen, was den Status ihrer IT-Sicherheit angeht. Haben Sie keine Angst davor, bestimmte Egos zu verletzen, Daten sind wichtiger!

Seien Sie auch geduldig und erklären Sie immer wieder und teilen Sie Erfahrungen anderer KMUs, wie die Geschichte unseres Kunden: "Es passiert nicht immer anderen, es kann auch Ihnen passieren!"

Teilen ist kümmern – Teilen Sie die Geschichte

Facebook | TwitterLinkedIn | Xing | Email

Alle Kategorien