Wir wurden überfallen!

Nein, nicht mit der Pistole in der Hand. Die Verbrecher kamen unbemerkt über eine bis dahin unentdeckte Lücke in unserem Computersystem.
Am 1. Oktober geschahen unvermittelt seltsame Dinge auf unseren Rechnern, Programme konnten plötzlich nicht mehr gestartet werden, die Telefonanlage „spinnte“.
Was war los? Heute wissen wir, dass über eine unentdeckte Lücke in unserer Firewall ein bis zu dem Zeitpunkt unbekannter Abkömmling eines Virus mit Namen „Dharma“ in unser Netzwerk eingeschleust wurde. Unser Systemadministrator Frank Friedrich hat nach kurzer Analyse eine Attacke auf unsere IT-Infrastruktur diagnostiziert und um Hilfe gebeten. Auf fast allen Windows-Rechnern im Netz wurden die Dateien auf den lokalen Festplatten verschlüsselt. Unser Produktionsnetz war glücklicherweise nicht betroffen. Dort laufen die Rechner fast alle unter Linux und MacOs.

Was bedeutet das für uns:

1. Das Mailsystem lief unter Exchange, ging nicht mehr
2. Telefonie läuft bei uns übers Netz, ging nicht mehr
2. Löhne auszahlen läuft über eine Bankensoftware, ging nicht mehr
3. Löhne berechnen läuft über ein Lohnprogramm, ging nicht mehr
4. Auftragsbearbeitung und Kalkulation, ging nicht mehr
5. Lieferscheine schreiben, Rechnungen schreiben, ging nicht mehr
6. Anbindung an unsere Logistikpartner DPD, UPS etc. läuft übers Internet, ging nicht mehr

Kurz gesagt, waren wir lahm gelegt. Die Produktion lief zwar weiter ohne Reibungsverluste, aber der Versand war extrem gefordert. Sämtliche Paketscheine und Speditionsaufträge mussten von Hand geschrieben werden. Das ist bei einigen hundert Sendungen pro Tag schon eine Herausforderung.

Mit der Firma OP OpenSource Solutions kamen am 02.10.2018 eine Gruppe von IT-Forensikern (ich wusste gar nicht dass der Begriff existiert) zu uns und unterstützte uns in den darauf folgenden Wochen fast rund um die Uhr.

Das Wichtigste war erst mal, das Ausmaß des Schadens einzugrenzen. Natürlich sichern wir unsere Daten und arbeiten auch mit Cloudsystemen. Leider fielen die Sicherungen innerhalb des Netzes jedoch dem gleichen Virus zum Opfer. Die letzte saubere Datensicherung unserer kaufmännischen Software war vier Wochen alt und in der Cloud gesichert. Durch die Verschlüsselung der Festplatten wurde hier glücklicherweise die automatische Synchronisation verhindert. Unsere Finanzbuchhaltung befindet sich schon seit längerer Zeit in der Cloud, die Lohnbuchhaltung sollte zum Jahresende umziehen. Mit Hilfe von Datev konnten wir den Umzug in die Cloud vorziehen und die alten Daten des Jahres wieder herstellen.

Trotzdem konnten wir so nicht arbeiten.

Unsere Unterstützer hatten auf dem verschlüsselten Server eine Nachricht der Verbrecher gefunden. Per Mail nahmen wir Kontakt auf und sahen uns einer Forderung über fast 4.500,-€ zahlbar in Bitcoin gegenüber. Durch Verhandlungen konnten wir den Betrag auf knapp 3.500,- € reduzieren. Nachdem die Erpresser eine Testdatei entschlüsseln konnten, zahlten wir den geforderten Betrag und konnten danach unser Mailsystem mit dem kompletten Archiv zurück entschlüsseln.

Nach dem Entschlüsseln unseres Mailarchivs konnten wir sonst keine Daten mehr entschlüsseln. Auf Nachfrage per Mail bei den Erpressern hieß es, wir hätten einen Fehler gemacht und müssten jetzt weitere Schlüssel nachkaufen. Wenn wir die restlichen Dateien (Kaufmännische Software, Lohnbuchhaltung etc.) entschlüsseln wollten, sollten wir weiter Lösegeld zahlen. Auf diese Forderung gingen wir nicht ein. Das Risiko in einer Endlosschleife zu hängen, war uns zu groß.

Wir brachen den Kontakt zu den Verbrechern ab.

Bevor jetzt Fragen kommen: In der Nachricht war nur eine ID, über die wir kommunizierten, wahrscheinlich gehört die ID zu einem ebenfalls gehackten Rechner irgendwo auf diesem Planeten. Den Mailverkehr haben wir selbstverständlich mit den dazugehörigen Headern an die zuständige Abteilung der Kriminalpolizei übergeben und den Vorgang natürlich auch an die Datenschutzbehörde gemeldet. Wir gehen mit an Sicherheit grenzender Wahrscheinlichkeit davon aus, dass keine Daten abgezogen wurden. Der Virus verschlüsselt die Festplatten und lässt keinen Zugriff mehr zu. Mit absoluter Sicherheit können wir das aber nicht bestätigen.

Wir waren am 03.10.2018 immer noch offline, mit erheblichem Einsatz haben die Leute von OpenSource Solutions einen neuen Server auf Linux Basis mit komplett neuer Firewall aufgesetzt. Um wirklich alle Lücken geschlossen zu halten, haben wir eine Anwendung nach der anderen wieder online gebracht. Nur die unbedingt notwendigen Zugänge nach draußen wurden freigegeben. Das bedeutet natürlich immer wieder Verluste, wenn neu installierte Software einfach zu Registrierungszwecken eine Website aufrufen wollte. Das war selbstverständlich zu diesem Zeitpunkt unterbunden. Unser normales Arbeiten während dieser Zeit war extrem erschwert.

Mittlerweile läuft auch wieder alles, fast so wie früher. Dem Engagement unserer Kollegen in der Produktion ist es zu verdanken, dass trotz der Schwierigkeiten keine Sendung verspätet raus ging. Unsere Kunden können das auch bestätigen.

Nachdem fast alle Schäden behoben sind, können wir auch den Umfang beziffern. Uns hat diese Attacke alles in allem ca. 70.000,-€ gekostet. Ein Teil davon sind Update Gebühren für Software, ein Teil Umstellungskosten und Installationskosten und natürlich auch die Kosten für das Unterstützerteam um Dirk Kleinbauer und Andreas Bauer. Die Jungs haben großartige Arbeit geleistet, teilweise rund um die Uhr gearbeitet, waren am Feiertag und am Wochenende im Einsatz. Ohne sie hätten wir die Probleme nicht in den Griff bekommen.

In der Rückschau ist für uns das Ärgerliche, dass wir uns sicher wähnten und doch nicht sicher waren. Datenschutz und Datensicherung haben bei uns einen hohen Stellenwert. Das war auch der Grund, warum wir schon im letzten Jahr unsere Finanzbuchhaltung zu Datev in die Cloud umgezogen haben und zu diesem Jahreswechsel mit der Lohnbuchhaltung folgen wollten. Wir gehen davon aus, dass ein Konzern wie Datev wesentlich mehr Ressourcen zur Verfügung hat als ein kleines  Unternehmen wie Braun & Klein. Wir haben auch unsere Mitarbeiter geschult im Hinblick auf Phishing Mails und dem Erkennen von Malware. Letztlich zeigt die Attacke aber, dass wir selbst immer wieder nach möglichen Lücken und Schwachstellen suchen müssen. Dass auch Weltkonzerne wie Facebook (im September 2018) oder die Telekom (November 2016) Opfer von Cyberkriminalität geworden sind, ist uns dabei auch kein Trost.

Warum schreiben wir hier darüber? Warum haben wir mit dem Saarländischen Rundfunk (Bericht | Videobericht) geredet und die Sache nicht einfach unter den Teppich gekehrt? Das ist auch laut Spiegel Online das übliche Vorgehen. Dabei entstehen alleine in Deutschland durch die Cyberkriminalität jährlich Schäden von über 40 Milliarden €.

Wir haben aus diesem Angriff gelernt, wir möchten diese Erfahrungen weitergeben und mithelfen ein Bewusstsein für dieses Thema zu wecken. Jeder vernünftige Unternehmer achtet in seinem Unternehmen auf Arbeitsschutz und die Abwehr von alltäglichen Gefahren. Diese Cyberkriminalität ist eine häufig unterschätzte, weil unsichtbare Gefahr, die aber dafür um so realer ist. Wer nun denkt, welcher Hacker interessiert sich schon für mein Unternehmen, dem sei gesagt, genau das ist der Punkt, die Hacker interessieren sich nicht für das Unternehmen, kennen dieses normalerweise gar nicht mal. Die Schadprogramme laufen als „Roboter“ über das weltweite Netz und suchen ständig nach irgendwelchen Schwachstellen. Sobald eine gefunden ist, erfolgt automatisch die Attacke.