Ransomware: "Die Schuldfrage kam gar nicht auf"
Dieser Beitrag ist die 5. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Seid ihr um die IT-Sicherheit in eurem Unternehmen besorgt? Nach einer Umfrage aus diesem Sommer beantworten 82 Prozent aller CIOs diese Frage mit einem Ja. Anlass dafür gibt es ständig, denn die Verantwortung für Sicherheitslücken liegt längst nicht nur bei IT-Verantwortlichen selbst.
Erst im Juli etwa wurde eine Sicherheitslücke in Confluence von Angreifern aktiv ausgenutzt. Entwickler Atlassian hatte ein hardcodiertes Passwort verwendet. Und das war nicht die erste Lücke in der Software.
Man muss also immer vorbereitet sein auf die Sicherheitslücken der anderen. Nicht nur darauf, mögliche Angriffe zu verhindern, sondern im Ernstfall auch mit ihren Folgen umzugehen. Die Verwaltung des Landkreises Anhalt-Bitterfeld kämpft heute noch mit den Auswirkungen eines Ransomware-Angriffs, der bereits mehr als ein Jahr zurückliegt.
IT-Sicherheit ist über diesen Landkreis hinaus ein Politikum: Die Bundesregierung soll Angst vor russischen Kollegen geschürt haben, das Innenministerium erwägt ein Verbot von chinesischer Mobilfunktechnik. Zwischen die Sorge vor einem Cyberkrieg mischen sich viel Paranoia, Propaganda und Panikmache.
Dennoch ist heute auch klar, dass die Gefahrenlage für die Unternehmens-IT längst nicht mehr von einzelnen Script Kiddies ausgeht, sondern von Profi-Hackern mit staatlichen Ressourcen. Und ihr hängt mitten drin. Ein Beispiel, wie man mit dem Ernstfall umgeht, stellen wir in dieser Ausgabe vor: Es geht um den Cyberangriff auf die Deutsche Windtechnik AG im April dieses Jahres.
Ein Sicherheitsvorfall ist der Worst Case für jede IT-Abteilung. Beim Serviceanbieter Deutsche Windtechnik AG ist genau das im April 2022 passiert: Angreifer legten mit Ransomware das System und somit auch das Unternehmen für ein paar Tage lahm. Alle rund 2.000 Mitarbeiterinnen und Mitarbeitern waren betroffen – spätestens, als der Exchange-Server nicht mehr ging.
Klaas Feldmann war als Head of IT bei der Deutschen Windtechnik AG für die Betreuung genau dieses Vorfalls verantwortlich. Mit Golem.de hat er für Chefs von Devs über Krisenmanagement, Schuldfragen und das beruhigende Gefühl funktionierender Backups gesprochen.
Interview mit Klaas Feldmann von Deutsche Windtechnik
Golem.de: Laut Pressemitteilung wurde die Ransomware nachts verbreitet. Wann haben Sie von dem Vorfall erfahren? Klaas Feldmann: Unser Infrastruktur-Leiter hat mich früh angerufen und mir die Situation erklärt. Er hat mich tatsächlich geweckt – er ist einer von denen, die mich wecken dürfen. Dann haben wir uns sofort angeschaut, was geht, was geht nicht und in kürzester Zeit unseren Incident Manager kontaktiert, den wir von außen hinzugezogen haben. Golem.de: Was genau war passiert? Klaas Feldmann: Man kann davon ausgehen, dass eine Identität übernommen wurde. Zunächst vermutlich ein Mitarbeiter, der an seinem Laptop auf den falschen Link geklickt hat und dann die Session von einem Supporter mit höheren Berechtigungen. Wir wissen nicht genau, welcher Account das war, aber wir haben nicht viele privilegierte Accounts. Golem.de: Erste Medienberichte sprachen von "hektischen Szenen" im Büro. Waren Sie in Panik? Klaas Feldmann: Nein, definitiv nicht. Wir haben entschieden, so viele Geräte wie möglich zu separieren. Das haben wir an die Standorte weitergegeben. Wenn das dort jemand so interpretiert hat, durch den Flur zu laufen und allen Bescheid zu sagen, hat das vielleicht jemand als Panik empfunden. Es ist ja auch was Besonderes, wenn von einem Angriff die Rede ist. Golem.de: Ich gehe davon aus, Sie haben kein Lösegeld bezahlt. Klaas Feldmann: Uns war zu dem Zeitpunkt schon klar, dass wir ein volles, sicheres Backup haben. Wir sind gar nicht erst mit den Angreifern in Kontakt gegangen, um auch eventuelle Countdowns zu aktivieren, die uns nur unnötig in zeitlichen Stress bringen würden. Natürlich kann man den Gedanken nicht komplett loswerden, auch das Zahlen von Lösegeld als Option zu sehen, aber wir haben sehr schnell und einstimmig entschieden, dass wir das nicht in Erwägung ziehen. Die funktionierende Datensicherung hat uns bewusst gemacht: Wir können alles wieder aufbauen. Golem.de: Und dann haben Sie alle Server von Null wieder aufgebaut? Klaas Feldmann: Nicht alle. Mit Exchange sind wir direkt in die Cloud gegangen, aber das war eine Migration, die wir schon am Laufen hatten. Der Vorfall hat das Ganze etwas beschleunigt. Golem.de: Und konnten Sie den genauen Ursprung der Ransomware ermitteln? Klaas Feldmann: Die Ergebnisse sind nicht endgültig, wir haben den Patient Zero nicht gefunden, sondern uns schnell dem Wiederaufbau gewidmet. Ich glaube, ein Forensiker würde am liebsten ewig suchen, aber wir brauchten die Hardware wieder. Wir kamen dann an den Punkt, wo wir sagten: Die Indikatoren reichen uns aus, um sicher zu sein. Golem.de: Der Vorfall wurde von Beobachtern gemeinsam mit anderen Cyberangriffen auf Energieversorger im Zusammenhang mit dem russischen Angriff auf die Ukraine gesehen. Hat diese politische Dimension das Krisenmanagement beeinflusst? Klaas Feldmann: Die Sicherheitslage hat sich innerhalb kürzester Zeit stark verändert, einhergehend mit der Situation in der Ukraine. Microsoft hat uns dabei unterstützt und dort Muster erkannt, die jetzt häufiger vorkommen. Natürlich kann ich das nicht bewerten. Wir haben Indicators of Compromise, es gab Indizien auf Frameworks der Conti-Gruppe. Deswegen lässt sich da eine Verbindung zu Russland mutmaßen, aber für uns hatte das in der Krisenbewältigung keine Bedeutung – nur, dass wir es hier nicht mit Script Kiddies zu tun hatten, sondern wirklich mit Profis. Golem.de: Kurz nach dem Vorfall gab es eine Pressemitteilung. Es ist ja nicht unbedingt ein angenehmes Thema, wenn man über so einen Vorfall sprechen muss. Klaas Feldmann: Natürlich ist das nicht angenehm, das wünscht sich niemand. Aber es ist passiert und wir wollen zeigen, dass wir viel draus lernen. Es wäre falsch zu behaupten, wir hätten vorher alles richtig gemacht. Das Thema Sicherheit ist schwierig und je nach Sicherheitslage passt es sich an. Aber wie gesagt, es gab nie Schuldzuweisungen, sondern war immer aufbauend: Wie kriegen wir es besser hin und wie machen wir die Fehler nicht wieder? Es gab keine Schuldzuweisung oder Panik – die Schuldfrage kam gar nicht auf. Es ging wirklich konzentriert darum: Wie kriegen wir das wieder System wieder zum Laufen? Golem.de: Welche Sicherheitsmaßnahmen haben Sie nach dem Vorfall verbessert? Klaas Feldmann: Multi Factor Authentication gab es schon, aber nicht verpflichtend. Das haben wir jetzt auf alle Bereiche ausgeweitet. Wir haben außerdem ein Tier-Level-System eingeführt, mit dem wir Zugriffe der Benutzer wesentlich granularer aufteilen, damit – sollte so etwas wieder passieren – das Ausmaß des Schadens so gering wie möglich ist. Wir haben Endpoint Protection eingeführt, wir haben Identitätsüberwachung in den Netzwerken und überlegen, wie wir ein 24/7 Security Operations Center aufbauen können. Das sind Themen, die noch länger brauchen. Das ist ein laufender Prozess. Golem.de: Und wie haben Ihre Kunden auf den Vorfall reagiert? Klaas Feldmann: Ich habe mit Kollegen in den USA gesprochen, mit Energieversorgern aus Skandinavien und CIOs aus Deutschland. Man kann durchaus von Verbündeten gegen diese Angreifer sprechen, weil allen bewusst ist, dass wir im selben Boot sitzen. Das war in dem Moment ein sehr, sehr tolles Gefühl.
Was ihr jetzt noch lesen solltet
Die Politisierung von Ransomware-Angriffen lässt sich auch daran ablesen, wie oft Regierungsbehörden betroffen sind. Allerdings muss man hier von einer Dunkelziffer ausgehen – die Statistik zeigt nur öffentlich gemachte Angriffe. Und nicht alle Unternehmen reagieren mit der angebrachten Transparenz auf unangenehme Sicherheitslücken.
Globalisierung und Digitalisierung haben die Welt enger zusammengebracht und gleichzeitig zu einer Wortneuschöpfung geführt: Cyberwar. In Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers beschreibt der Wired-Journalist Andy Greenwald diese neue Form der Kriegsführung. Sein Buch aus dem Jahr 2019 beginnt mit einer Szene, die heute aktueller denn je wirkt: einem Angriff auf das Stromnetz der Ukraine an Weihnachten 2015.
Obwohl es ein Sachbuch ist, liest sich Greenbergs Bericht wie ein internationaler Spionage-Thriller – weil er das auf eine Art ja auch ist. Wer einen Vorgeschmack bekommen möchte, findet seinen 2018 erschienen Artikel über die Malware NotPetya nach wie vor bei Wired online.
Eine etwas trockenere Lektüre ist die von Sophos im April 2022 veröffentlichte Studie zum State of Ransomware. Demnach bezahlen schockierende 46 Prozent aller betroffenen Unternehmen das geforderte Lösegeld, obwohl die Erfolgsrate dieses verzweifelten Auswegs aus der Krise weiter gesunken ist.
Wenn ihr noch mehr über den Angriff auf die Deutsche Windtechnik AG erfahren wollt, findet ihr auf Golem.de meinen exklusiven Bericht über die Hintergründe des Vorfalls. Neben diesem Report gibt es bei Golem Plus auch weitere Artikel über die Arbeit in der IT-Welt – momentan noch im Startangebot für 5 Euro im Monat.
Dieser Beitrag ist die 5. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
- Anzeige Hier geht es zu den konfigurierbaren Golem-PCs bei Systemtreff Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.