Ein Ransomware-Angriff, der global 30 Standorte einer Reederei zu Fall bringen kann.

Branche: Weltweit tätige Reederei / Mitarbeitende: +9.000

Die Ausgangslage klingt zunächst nach Daily Business. Ein Mitarbeiter einer Reederei in Deutschland meldet seiner IT einen nicht erreichbaren Dienst. Noch kein bemerkenswerter Vorfall. Doch als vermehrt Meldungen eintreffen, nimmt der IT-Leiter Kontakt zur Holding in Südostasien auf. Und tatsächlich: Dort wurden verschlüsselte Dateien auf dem Server, der den Dienst bereitstellt, gefunden. Der IT-Leiter greift sofort zum Telefon und wählt unsere 24/7-Notfallnummer.

Eine abstrakte Karte der Erde mit rosa Linien und Punkten

Der Inhalt im Überblick

Dem IT-Leiter der Reederei war klar: Da kommt eine Katastrophe angerast.

Bereits nach einem kurzen Telefonat können wir bestätigen, dass der IT-Leiter genau richtig gehandelt hat, denn alle 30 Standorte der Reederei teilen sich weltweit ein Netzwerk und den Aufbau der IT-Infrastruktur. Das Verheerende daran wird jetzt schnell klar: Noch während wir sprechen, breitet sich die Verschlüsselung der asiatischen Standorte dramatisch aus. Durch die Entfernung scheint Deutschland zunächst nicht zu stark betroffen zu sein. Doch das kann sich schnell ändern.

Noch bevor wir mit unserem Team zur Reederei fahren, sorgen wir dafür, dass die deutschen Standorte sofort alle Systeme von den asiatischen trennen und, soweit möglich, auch alle Verbindungen untereinander. Dann machen wir uns zu dritt auf den Weg zum Hauptstandort. Nach unserem technischen Onboarding stellt sich heraus, dass auch vor Ort einige Systeme bereits teilverschlüsselt sind. Wir dürfen keine Zeit verlieren.

Unser Team leitet innerhalb der Reederei Notfallprozesse ein, um größere Schäden zu verhindern.

Während wir mit den betroffenen Systemen unsere Analysen durchführen, können wir die Ransomware identifizieren und einen umfangreichen Katalog von Indicators of Compromise (IOC) erstellen: Ein wertvolles Werkzeug, um das gesamte Unternehmensnetzwerk systematisch auf Anzeichen einer Kompromittierung zu untersuchen. Natürlich geben wir unser so gewonnenes Wissen auch an die internationalen Standorte weiter.

Dank unserer schnellen Analyse kann der Umfang des Angriffs präzise abgeschätzt werden – ein entscheidender Schritt, um alle Sicherheitslücken zu schließen und den Schaden zu begrenzen. Nach der erfolgreichen Eindämmung entdeckt unser Team eine Reihe auffälliger Verbindungen zu ausländischen Standorten. Zusätzlich identifizieren wir schadhafte IP-Adressen, die auf eine gezielte, international koordinierte Attacke hindeuteten.

Unsere Analysen führen uns zu einem Standort in Asien, wo der Angriff begann: Eine Zero-Day-Schwachstelle, die gezielt ausgenutzt wurde. Die deutschen Niederlassungen der Reederei hatten Glück, dass der IT-Leiter sofort gehandelt und uns eingeschaltet hat. Andere Standorte haben die Attacke nicht überstanden.
Tim Beyer, IT-Forensiker

Wie ist der Fall ausgegangen?

Dank des engen Austauschs mit der internen IT und der schnellen sowie präzisen Arbeit unseres Teams wurde die betroffene Umgebung innerhalb von nur vier Tagen wiederhergestellt. Der Betrieb an allen deutschen Standorten nahm wieder Fahrt auf, wodurch die Auswirkungen des Angriffs deutlich reduziert wurden. Andere internationale Niederlassungen kämpften noch monatelang mit den Folgen, erlitten erhebliche finanzielle Verluste oder mussten ganz schließen.

Bei unserem Auftraggeber ist der Schaden vollständig und ohne größere finanzielle Einbußen behoben. Heute sind die deutschen Zweigstellen segmentiert und verfügen über gesicherte Kommunikationskanäle. Obwohl der Vorfall heftig und kräftezehrend war, ist die IT nun glücklich darüber, technisch vollkommen autark zu sein – ein deutlich sichereres Szenario für die Zukunft.