Starke Führung in der Krise
Bereits mehrere Tage, bevor der Entschluss fällt, uns als IT-Forensik hinzuziehen, kommt es bei einem Unternehmen aus der Luftfahrtbranche zu einem schweren Ransomwareangriff, der jegliche interne Ressourcen beansprucht.
Seltsame Ereignisse nach Feierabend
Es fällt einem Mitarbeiter im Homeoffice auf, der von dort abends noch schnell auf ein paar Dokumente auf einem Fileserver zugreifen will. Die Dokumente lassen sich nicht öffnen und wurden umbenannt. Die IT-Abteilung wird direkt telefonisch kontaktiert.
Die IT, die an dem Tag abends Bereitschaft hat, reagiert blitzschnell und befolgt jegliche Schritte des Notfallplans als klar wird, dass es sich um einen Angriff mit einem Verschlüsselungstrojaner handelt. Es wird direkt damit begonnen, kompromittierte Netzbereiche zu isolieren, um kritische Geschäftsprozesse aufrecht zu erhalten. Nach mehreren Stunden gelingt es sogar, aktive Verbindungen von außen zu lokalisieren und die Angreifer aus dem Netzwerk auszusperren. Es kehrt etwas Ruhe ein und die Analysen laufen, um das tatsächliche Schadensausmaß zu erkennen.
Die ersten Aufräumarbeiten laufen
Nach weiteren internen Analysen wird deutlich, wie hoch das Ausmaß des Angriffes tatsächlich ist. Es werden zusätzlich zu den aus dem Notfallplan resultierenden Maßnahmen individuelle Wiederanlaufpläne für die betroffenen Systeme festgelegt. Hierbei wird sehr strukturiert vorgegangen und es entsteht ein Gefühl der Sicherheit, da die Backup-Infrastruktur nicht durch die Ransomware verschlüsselt wurde und dadurch die Möglichkeit besteht, tagesaktuelle Backups wiedereinzuspielen und in wenigen Tagen wieder vollständig online zu sein. Der Geschäftsführer stellt hierbei allerdings die entscheidende Frage. Welche Backups können wir einspielen, bei denen keine Spuren des Angriffs vorhanden sind?
Bereits wenige Stunden nach dem Anruf am Samstagmorgen auf unserer 24/7 Notfallnummer trifft das zuständige Team ein und beginnt nach einem kurzen technischen Onboarding mit der Prüfung der Backups. Wunsch des Geschäftsführers war es natürlich, das aktuellste vorhandene Backup der jeweiligen Systeme wiedereinzuspielen. Nach den Analysen wird am Sonntagabend klar: die Backups, auf denen die Angreifer noch keinen Zugriff auf das Firmennetzwerk hatten, sind die Tagessicherungen 12 Tage vor dem Angriff.
Die Geschäftsführung hat auf das eigene Bauchgefühl vertraut und am Ende Recht behalten. Das bereits betroffene Backup wiedereinzuspielen, hätte den Angreifern erneut vollen Zugriff gegeben.
Matthias Behle, IT-Forensiker
Wie ist der Fall ausgegangen?
Um sicher zu gehen, wurde sich für das Einspielen der Backups 14 Tage vor dem Angriff entschieden, was wir gemeinsam mit der IT-Abteilung durchgeführt haben. Hierbei wurde ein strenges Monitoring von uns implementiert, um jegliche Auffälligkeiten frühzeitig zu erkennen, wenn die Systeme wieder im Tagesbetrieb aktiv sind. Ebenfalls wurden langfristige Maßnahmen entwickelt und implementiert, um zukünftig solche Vorfälle bestmöglich zu verhindern.
Weitere spannende Beiträge
-
- Cyber Crime Storys
Wenn Prozesse in der Krise kollabieren
Der Angriff traf das Unternehmen im öffentlichen Bereich völlig unvorbereitet. Mit über 500 Mitarbeitenden und zahlreichen sensiblen Daten war das Netzwerk ein attraktives Ziel für Cyberkriminelle. Wenn Notfallpläne an ihre Grenzen stoßen Die Angreifer verschlüsselten zentrale Systeme, stahlen Daten und hinterließen eine klare Drohung: Entweder wird gezahlt oder die Daten werden veröffentlicht. Doch ein Lösegeld […]
-
- Cyber Crime Storys
Plötzlich steht die ganze Produktion still
Es war ein Abend wie jeder andere. Der IT-Leiter des Unternehmens hatte gerade eine letzte Routineüberprüfung durchgeführt, als ihm eine fehlerhafte Anmeldung auffiel. Zunächst vermutete er ein harmloses technisches Problem, doch weitere Tests enthüllten das ganze Ausmaß. Der plötzliche Schock – ein Angriff auf die Produktion Ein typischer Arbeitstag in der Fertigungsindustrie endet im Chaos. […]
-
- Cyber Crime Storys
Schadsoftware: Ein großes Unternehmen steht kurz vor der Erpressung
Es ist bereits spät am Abend, als in der IT eines großen Finanzdienstleisters das interne Überwachungssystem Alarm schlägt. Zunächst blinkt auf den Bildschirmen eine rote Warnmeldung, dann melden sich innerhalb von Minuten 40 weitere befallene Systeme. Ein Alptraum für jedes Unternehmen.
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de