18.12.2024

Starke Führung in der Krise

Bereits mehrere Tage, bevor der Entschluss fällt, uns als IT-Forensik hinzuziehen, kommt es bei einem Unternehmen aus der Luftfahrtbranche zu einem schweren Ransomwareangriff, der jegliche interne Ressourcen beansprucht.

Eine Reihe von Check-in-Schaltern an einem Flughafen

Seltsame Ereignisse nach Feierabend

Es fällt einem Mitarbeiter im Homeoffice auf, der von dort abends noch schnell auf ein paar Dokumente auf einem Fileserver zugreifen will. Die Dokumente lassen sich nicht öffnen und wurden umbenannt. Die IT-Abteilung wird direkt telefonisch kontaktiert.

Die IT, die an dem Tag abends Bereitschaft hat, reagiert blitzschnell und befolgt jegliche Schritte des Notfallplans als klar wird, dass es sich um einen Angriff mit einem Verschlüsselungstrojaner handelt. Es wird direkt damit begonnen, kompromittierte Netzbereiche zu isolieren, um kritische Geschäftsprozesse aufrecht zu erhalten. Nach mehreren Stunden gelingt es sogar, aktive Verbindungen von außen zu lokalisieren und die Angreifer aus dem Netzwerk auszusperren. Es kehrt etwas Ruhe ein und die Analysen laufen, um das tatsächliche Schadensausmaß zu erkennen.

Die ersten Aufräumarbeiten laufen

Nach weiteren internen Analysen wird deutlich, wie hoch das Ausmaß des Angriffes tatsächlich ist. Es werden zusätzlich zu den aus dem Notfallplan resultierenden Maßnahmen individuelle Wiederanlaufpläne für die betroffenen Systeme festgelegt. Hierbei wird sehr strukturiert vorgegangen und es entsteht ein Gefühl der Sicherheit, da die Backup-Infrastruktur nicht durch die Ransomware verschlüsselt wurde und dadurch die Möglichkeit besteht, tagesaktuelle Backups wiedereinzuspielen und in wenigen Tagen wieder vollständig online zu sein. Der Geschäftsführer stellt hierbei allerdings die entscheidende Frage. Welche Backups können wir einspielen, bei denen keine Spuren des Angriffs vorhanden sind?

Bereits wenige Stunden nach dem Anruf am Samstagmorgen auf unserer 24/7 Notfallnummer trifft das zuständige Team ein und beginnt nach einem kurzen technischen Onboarding mit der Prüfung der Backups. Wunsch des Geschäftsführers war es natürlich, das aktuellste vorhandene Backup der jeweiligen Systeme wiedereinzuspielen. Nach den Analysen wird am Sonntagabend klar: die Backups, auf denen die Angreifer noch keinen Zugriff auf das Firmennetzwerk hatten, sind die Tagessicherungen 12 Tage vor dem Angriff. 

Die Geschäftsführung hat auf das eigene Bauchgefühl vertraut und am Ende Recht behalten. Das bereits betroffene Backup wiedereinzuspielen, hätte den Angreifern erneut vollen Zugriff gegeben.

Matthias Behle, IT-Forensiker

Wie ist der Fall ausgegangen?

Um sicher zu gehen, wurde sich für das Einspielen der Backups 14 Tage vor dem Angriff entschieden, was wir gemeinsam mit der IT-Abteilung durchgeführt haben. Hierbei wurde ein strenges Monitoring von uns implementiert, um jegliche Auffälligkeiten frühzeitig zu erkennen, wenn die Systeme wieder im Tagesbetrieb aktiv sind. Ebenfalls wurden langfristige Maßnahmen entwickelt und implementiert, um zukünftig solche Vorfälle bestmöglich zu verhindern.

Beitrag teilen
Zurück zu Cyber Crime Storys

Wir stehen Ihnen mit unserer Erfahrung zur Seite.

Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.

Joanna Lang-Recht

Head of IT Forensics

24/7 IT-Notfallhilfe

0180 622 124 6

20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf

Direkt Kontakt aufnehmen

page decor page decor page decor page decor