Ein Angriff - und die gesamte IT ist unbrauchbar

Wer konnte das sein? Ein Kollege, der für Patches den Dienst abgeschaltet hatte? Das ergab keinen Sinn, denn welcher Patch verlangt diese Abschaltung? Zudem waren auch Dienste wie Windows Update und BITS (Background Intelligent Transfer Service, dieser Dienst sorgt für den Download der Updates) deaktiviert.

Stellenmarkt
  1. Produktverantwortlicher (w/m/d) für das Enterprise Project Management (EPM) System
    IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
  2. IT-Spezialistin/IT-Spezialist Kommunikation & Kollaboration / Smart Work (m/w/d)
    Landschaftsverband Rheinland LVR-InfoKom, Köln
Detailsuche

Das weckte schlimmste Befürchtungen, denn es ergibt eigentlich nur in einem Zusammenhang Sinn, die Dienste abzuschalten: Jemand wollte die Spuren verwischen und eine Auto-Reparatur des Systems vermeiden.

Ich schaltete mich nun auf das Herz des Netzwerks, die Active Directory Server. Hier die gleiche Symptomatik: abgeschaltete Ereignislogs und Windows Update Services und BITS, beendete Monitoring-Dienste. Meinem Kollegen und mir wurde klar, was da vorging, spätestens als ich Sekunden später zwangsweise vom System ausgeloggt wurde. Ja, es war noch jemand auf dem System, und er hatte meine Anwesenheit bemerkt. Und dieser jemand wollte seine Spuren verwischen, seine Tätigkeiten nicht nachvollziehbar machen.

Was jetzt folgte war Krisenmanagement par Excellence: Ein Rückruf meines Bereichsleiters führte dazu, dass wir sofort die Firewalls der Kundenumgebung sperrten und alle Server so schnell wie möglich herunterfuhren. Die gesamte IT des Kunden war damit tot, Hunderte von Server heruntergefahren. Der Kunde war komplett offline.

Ein ganzes Unternehmen komplett handlungsunfähig

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    19./20.05.2022, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
Weitere IT-Trainings

Es wurde noch in der Nacht ein Krisenstab einberufen, ein externer Security Spezialist dazu geladen, der Kunde mitten in der Nacht angerufen und eingebunden. Nun war der GAU für den Kunden Realität: Da auch die Zugangssysteme der Lagerhallen und Produktionsanlagen über die IT liefen, konnte keiner mehr in die Gebäude.

Die Telefonanlage war nicht mehr funktionstüchtig. Der Webshop des Kunden (essenziell für sein Business) offline. Es gab keinen Weg, Bestellungen abzuwickeln, aufzunehmen, nachzuverfolgen oder abzuarbeiten. Es gab keinen Weg mehr, Aufträge durchzuführen oder Produkte zu produzieren. Der Kunde war komplett handlungsunfähig, über 160 Mitarbeiter auf den Schlag ohne Arbeitsmöglichkeit.

Es waren mehrere Dutzend Server verschlüsselt und ohne Zugriffsmöglichkeit. Die gesamte Active Directory Datenbank war defekt, die Domain Controller zu Virenschleudern geworden.

Nun galt es, schnell zu handeln. Der Kunde rief eine Kernmannschaft zusammen, die die Bestellungen in den nächsten Tagen an den wenigen direkt verbunden Telefonen aufnahm und mit Stift und Notizblock aufzeichnete. Zugangssysteme wurden vom Hersteller überbrückt. Kunden wurden angerufen, informiert, beschwichtigt und um Verständnis gebeten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Unmengen an Daten verloren

Das Krisenteam des Providers zog innerhalb weniger Tage ein Kernsystem hoch, das wenigstens Webshop, Bestellverarbeitung und den so wichtigen Zugang zu den Lagerhäusern wieder bereitstellte. In der Folge wurde jeder Server isoliert hochgefahren, untersucht, und in den meisten Fällen ersetzt durch neue, unbelastete Maschinen. Es wurde der Zeitpunkt der Verseuchung identifiziert und die Backups aus dem Tag davor wurden wiederhergestellt.

Da es sich aber um mehr als eine Woche zwischen Kompromittierung und dem Zeitpunkt der Abschaltung handelte, waren Unmengen an Daten einfach verloren.

Der gesamte Prozess der Wiederherstellung zog sich dann über mehrere Monate hin, in denen der Kunde nach und nach wieder normaler arbeiten konnte. Ich selbst war stark an diesem Prozess beteiligt. Ich zog so schnell wie möglich aus den verseuchten Servern die Reste der Active Directory per ungefährlichem CSV-Export heraus und bestückte damit eine neue, völlig frische Umgebung, damit wenigstens Konten und Gruppen bereitstanden.

Die AD-Server wurden dazu isoliert hochgefahren, der Export lokal auf eine temporäre virtuelle Festplatte gemacht. Diese wurde wieder abgehängt und separat auf Viren geprüft. Dann konnte ich die Daten in die frische Umgebung importieren.

Das gleiche Spiel mit dem Mailsystem: Ich zog alle Mails aus den Mailsystemen auf eine virtuelle temporäre Platte und gab diese zur Desinfektion an den Sicherheitspartner weiter. Danach spielte ich sie auf ein eilig hochgezogenes Mailsystem auf. Ich versuchte, so viel wie möglich hier und dort zu helfen, die Systeme wieder zum Laufen zu bringen und die Kollegen zu unterstützen, die gleichzeitig am Aufbau anderer Systeme arbeiteten.

Was war aber eigentlich passiert?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ransomware: Jeder hat Daten, die eine Erpressung wert sindEmotet: Nur eine Mail geöffnet 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Engel 21. Jan 2022

Nein, du übersiehst nichts. Eigentlich hatte ich genau das mit meinem ersten Satz von...

Mnt 20. Jan 2022

Ja seltsamer Tipp. Ich stehe definitiv dahinter, wenn Mail- und andere Endusersysteme in...

win.ini 20. Jan 2022

Es wurde doch geschildert, das kein Geld für die zusätzliche Härtung bereitgestellt...

phade 20. Jan 2022

Exakt. Das falsche Konzept stammt jedoch von einem Entscheider. - falsche...



Aktuell auf der Startseite von Golem.de
US-Militär
Kernkraft im Weltall von Vernunft bis möglichem Betrug

Zwei Techniken sollen 2027 mit Satelliten fliegen, ein Fusionsreaktor und eine Radioisotopenbatterie. Nur eine davon ist glaubwürdig.
Von Frank Wunderlich-Pfeiffer

US-Militär: Kernkraft im Weltall von Vernunft bis möglichem Betrug
Artikel
  1. Verkaufsstart angekündigt: VW ID.Buzz soll bis zu 424 km weit kommen
    Verkaufsstart angekündigt
    VW ID.Buzz soll bis zu 424 km weit kommen

    In wenigen Tagen können die ersten Modelle des vollelektrischen ID.Buzz bestellt werden. VW macht erstmals Angaben zur Reichweite.

  2. Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
    Nordvpn, Expressvpn, Mullvad & Co
    Die Qual der VPN-Wahl

    Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
    Von Moritz Tremmel

  3. Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
    Halbleiter & SMIC
    Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

    Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /