Angriff auf ein Unternehmen - So könnte es ablaufen....

Datenschutz Datensicherheit

Ein schöner Sonnenaufgang im Industriegebiet. Sara M. beginnt Ihren Arbeitstag...nicht ahnend, dass das Chaos beginnt.

Erleben Sie fast live wie ein Angriff mit einem Verschlüsselungstrojaner in einem Unternehmen ablaufen könnte. Stellen Sie sich die gleichen Fragen wie die fiktiven Protagonisten. Wie würden Sie reagieren?

07:45 Uhr - Ein schöner Sonnenaufgang im Industriegebiet. Sara M. beginnt Ihren Arbeitstag...nicht ahnend, dass das Chaos beginnt.

Netzwerkadministratorin Sara M. beginnt ihren Arbeitstag ☕ mit der Routineüberprüfung des Netzwerks.
Gegen 07:46 Uhr bemerkt sie ungewöhnlichen Datenverkehr, der ihre Aufmerksamkeit erregt. 🤔

❓ Wie wird dies bei Ihnen festgestellt? Ist definiert was „ungewöhnlich“ ist?

Sie stellt fest, dass mehrere Server ungewöhnlich hohe Aktivitäten aufweisen, was auf eine mögliche Sicherheitsverletzung hindeutet. Gleichzeitig erreichen sie erste Berichte von Mitarbeitern, die Probleme beim Zugriff auf ihre Dateien melden. 🙄

❓ Gibt es bei Ihnen funktionierende Störungsmeldungen (E-Mail, Ticket)?

Sara leitet sofort eine tiefergehende Analyse ein, um das Ausmaß des Problems zu erfassen. Sie informiert umgehend ihren Vorgesetzten, den IT-Sicherheitsleiter Markus B., über ihre Beobachtungen. 📞

Wie würden Sie reagieren?
Wie wird Markus B. reagieren?

Seien Sie gespannt…. weiter geht es in Kürze….

 

08:30 Uhr - IT-Sicherheitsleiter Markus B.

Nach Erhalt der Nachricht von Sara M. trifft Markus B. sofortige Maßnahmen. 💪
Er entscheidet, das gesamte Unternehmensnetzwerk als Vorsichtsmaßnahme vom Internet zu trennen. ✂

❓ Wie kann dies bei Ihnen umgesetzt werden? Was bedeutet das für das Unternehmen, Maschinen, Prozesse und Kommunikation?
❓ Ist die Kompetenz hierzu geklärt?

Markus setzt sich mit der Geschäftsführung in Verbindung, um sie über die potenzielle Sicherheitsbedrohung zu informieren. 🕊

❓ Wie erfolgt die Kommunikation ohne Internet?

Er ruft ein Krisentreffen mit dem IT-Sicherheitsteam zusammen, um den Vorfall zu bewerten und die nächsten Schritte zu planen.
In der Zwischenzeit beginnt das IT-Team mit der Isolierung betroffener Systeme, um eine weitere Ausbreitung der Bedrohung zu verhindern.
Markus bereitet sich darauf vor, das gesamte Ausmaß der Situation zu verstehen und geeignete Gegenmaßnahmen zu ergreifen. 😰

Wie reagiert die Geschäftsführung?
Welche Gegenmaßnahmen kann Markus ergreifen?

Seien Sie gespannt…. weiter geht es in Kürze….

15.04., 09:00 Uhr - CEO Martin R.

CEO Martin R. wird über die potenzielle Cyberattacke informiert und ruft sofort ein Krisenreaktionsteam zusammen.
Er leitet die Zusammenarbeit mit externen Cyber-Sicherheitsexperten ein, um Unterstützung bei der Bewältigung des Vorfalls zu erhalten.

❓ Welche externen Experten gibt es und wer muss alles informiert werden? (Versicherung? Datenschutzbehörde? Kriminalpolizei?)
❓ Wie werden diese Stellen erreicht und wo sind die Kontaktdaten abgelegt?

Martin erörtert die Situation mit dem Vorstand und stellt sicher, dass alle erforderlichen Ressourcen zur Verfügung gestellt werden.
Er veranlasst die Einrichtung eines Kommunikationskanals, um regelmäßige Updates innerhalb des Unternehmens zu gewährleisten.

❓ Wo und wie? (Bspw. extra Webspace getrennt vom Unternehmen?)

Martin betont die Wichtigkeit, transparent zu bleiben und gleichzeitig Panik zu vermeiden.
Er bereitet sich darauf vor, die weiteren Schritte zu leiten und die Auswirkungen auf das Unternehmen so gering wie möglich zu halten.

Wird es dem Team gelingen den Angriff abzuwehren?
Wie wird es weitergehen?

Seien Sie gespannt…. weiter geht es in Kürze….

Woche 2 - 20.04.

  • Die Bemühungen zur Eindämmung des Angriffs schlagen weiterhin fehl, und die IT-Abteilung arbeitet rund um die Uhr.
  • Kundenbeschwerden über Serviceausfälle beginnen sich zu häufen, was den Druck auf das Unternehmen erhöht.
  • Das PR-Team arbeitet intensiv an der Schadensbegrenzung und bereitet Statements für Kunden und die Öffentlichkeit vor.
  • Markus B. und sein Team erkennen, dass die Ransomware komplexer ist als zunächst angenommen.
  • CEO Martin R. hält regelmäßige Meetings mit dem Krisenteam ab, um den Fortschritt zu überwachen und zu diskutieren.
  • Die Stimmung im Unternehmen ist angespannt, da die Unsicherheit über die Dauer und die Auswirkungen des Vorfalls wächst.

❓ Wie organisieren Sie all diese Arbeiten in einem Unternehmen dessen IT lahmgelegt ist?
❓ Wie halten Sie untereinander und zu den wichtigen Stakeholdern Kontakt?
❓ Wer bereitet die Presseerklärungen vor und gibt diese frei? Wer reagiert auf Anfragen der Presse?

Wird es dem Team gelingen die Datenverarbeitung wieder herzustellen ohne Lösegeld zu bezahlen?
Wie wird es weitergehen?

Seien Sie gespannt…. weiter geht es in Kürze….

 

Lösegeld ja oder nein? Wie wird verhandelt?

22.04.

  • Trotz der anhaltenden Schwierigkeiten entscheidet Martin R. das geforderte Lösegeld nicht zu zahlen.
  • Diese Entscheidung führt zu gemischten Reaktionen im Unternehmen; einige befürworten die Entscheidung, während andere besorgt sind.
  • Die IT-Abteilung setzt ihre Bemühungen fort, eine Lösung zu finden, aber die Komplexität der Ransomware stellt eine enorme Herausforderung dar.
  • Mitarbeiter beginnen, das Unternehmen zu verlassen, da der anhaltende Druck und die Unsicherheit zu hoch werden.

❓Wie hoch ist die Loyalität der wichtigsten Mitarbeitenden in Ihrem Unternehmen? Haben diese schon auf Maßnahmen/Risiken hingewiesen die bisher nicht beachtet wurden?

  • Das Managementteam beginnt, Notfallpläne für den weiteren Geschäftsbetrieb zu entwickeln.

❓Wie aktuell sind derzeit Ihre Notfallpläne? Was wird darin berücksichtigt?

  • Martin R. bleibt in engem Kontakt mit den Sicherheitsexperten und sucht nach alternativen Wegen, um den Angriff zu bewältigen.

 

Woche 3 - 29.04.

  • Die kritische Infrastruktur des Unternehmens ist weiterhin stark beeinträchtigt, und es gibt keine Anzeichen einer Besserung.

❓Ist die Infrastruktur in Ihrem Unternehmen bewertet und priorisiert – auch für einen Wiederanlauf oder eine Auslagerung?

  • Diskussionen über eine mögliche Zahlung des Lösegelds beginnen, da die üblichen Wiederherstellungsmethoden fehlschlagen.

❓Wie solche Diskussionen in der Praxis ablaufen? Hierzu ein „unterhaltsamer“ Vortrag: https://media.ccc.de/v/37c3-12134-hirne_hacken_hackback_edition

❓Wer führt diese Diskussionen bei Ihnen und mit welcher Kompetenz?

  • Martin R. und sein Führungsteam stehen unter immensem Druck von Stakeholdern und Investoren.
  • Die öffentliche Wahrnehmung des Unternehmens leidet erheblich, was zu einem weiteren Vertrauensverlust führt.
  • Die finanziellen Verluste beginnen spürbare Auswirkungen auf das Unternehmen zu haben.
  • Das Managementteam erwägt schweren Herzens die Möglichkeit, das Lösegeld zu zahlen, um weitere Schäden abzuwenden.

 

Woche 4 - 6

03.05.

  • Nach langen Diskussionen und Abwägungen trifft das Unternehmen die Entscheidung, das Lösegeld zu zahlen.
  • Die Verhandlungen mit den Angreifern sind komplex und erfordern äußerste Vorsicht.
  • Das Unternehmen organisiert die erforderlichen Mittel, um die Zahlung zu leisten.
  • Trotz der Zahlung bleiben Bedenken, ob die Angreifer ihr Wort halten und die Entschlüsselungscodes bereitstellen werden.

❓Gibt es diese Liquidität? Macht sich jemand strafbar wenn hier Gelder bezahlt werden?

05.05.

  • Die Lösegeldzahlung wird abgeschlossen, und das Unternehmen erhält die versprochenen Entschlüsselungscodes.
  • Es zeigt sich jedoch schnell, dass einige der Codes nicht funktionieren oder nur teilweise wirksam sind.
  • Das IT-Team arbeitet fieberhaft daran, die verbleibenden Daten zu retten und die Systeme wiederherzustellen.

10.05.

  • Trotz der Bemühungen des IT-Teams bleiben einige Systeme weiterhin nicht voll funktionsfähig.
  • Das öffentliche Vertrauen in das Unternehmen ist stark geschädigt, und Kunden beginnen, sich abzuwenden.
  • CEO Martin gibt seinen Rücktritt bekannt, was zu weiteren Turbulenzen im Unternehmen führt.

17.05.

  • Einige Systeme sind immer noch nicht vollständig funktionsfähig.
  • Das Unternehmen beginnt mit der Restrukturierung und der Überarbeitung seiner Sicherheitsstrategie.
  • Neue IT-Sicherheitsexperten werden eingestellt, um die zukünftige Sicherheit des Unternehmens zu gewährleisten.

Fazit:

  • Die Ransomware-Krise hat langfristige Auswirkungen, sowohl finanziell als auch in Bezug auf das öffentliche Vertrauen.
  • Die Entscheidung, das Lösegeld zu zahlen, löste das Problem nicht vollständig und führte zu weiteren Herausforderungen.
  • Die Krise unterstreicht die Bedeutung robuster Cyber-Sicherheitsmaßnahmen und die Notwendigkeit einer effektiven Krisenreaktion.

 

Zurück zur Übersicht