Thought Leadership
Samstagmorgen, 08:13 Uhr – Das Telefon klingelt. Am anderen Ende der Leitung: ein neuer Kunde, kein Vertrag, keine Service-Level-Agreements – aber mit einem existenzbedrohenden Problem.
Der Verdacht: Ransomware-Attacke. Keine Zeit für Formalitäten – ich fahre los.
Ich ahne bereits, dass es heftig wird. Weder war das Ausmaß des Cyberangriffs nach dem Erstgespräch abschätzbar, noch kannte ich die Sicherheitslage sowie die vorhandenen Anforderungen, Prozesse und Strukturen.
Strukturierter Einstieg ins Chaos
Als ich ankomme, herrscht auf allen Ebenen Alarmstufe Rot. Die komplette Windows-x86-Plattform des Unternehmens ist lahmgelegt. Alle Dateien verschlüsselt, keine Kommunikation mehr möglich, kein Backup auffindbar. Überall aufgebrachte Gesichter – in den Fluren, im Rechenzentrum, im improvisierten Krisenraum. Admins, LKA-Beamte, Fachbereiche, Geschäftsführung – alle reden durcheinander.
Meine Rolle war mir in den ersten 5 Minuten klar. Ruhe reinbringen, für Struktur sorgen. Ich verschaffe mir Gehör und teile die Akteure nach Verantwortlichkeiten und Handlungsfeldern auf.
Keyuser der Fachbereiche erstellen eine Liste aller geschäftskritischen Applikationen, Administratoren analysieren mögliche Backups und das Management kümmert sich um die Kommunikation mit Presse, Behörden, Lieferanten und Mitarbeiter. Erste forensische Analysen werden durchgeführt.
Das Ergebnis: Der Angriff war gut vorbereitet. Phishing war der Einstieg, monatelang hatten sich die Angreifer im Netz bewegt. Warnsignale wurden übersehen oder falsch interpretiert.
Ein Backup, das keiner auf dem Schirm hatte
Während alle anderen ihre Aufgaben beginnen, schaue ich mir die SAP-Landschaft an. Diese läuft – zum Glück – auf IBM Power-Systemen mit separatem Storage und segmentierter Netzwerkstruktur. Das Resultat: Die SAP-Umgebung ist unangetastet.
Doch der Rest der IT ist schwer getroffen. Insbesondere die Backup-Systeme scheinen nicht nur kompromittiert, sondern mutmaßlich gelöscht. Die Stimmung ist auf dem Tiefpunkt.
Dann der Wendepunkt: Bei der Sichtung der Hardware wird ein älteres Storage-Backupsystem entdeckt, das zwar nicht mehr im produktiven Betrieb genutzt wird, aber noch im Rack unverkabelt verbaut ist. Erleichtert stellen die Admins fest, dass darauf noch Backups vorhanden sind. Das Unternehmen hatte vor kurzem auf ein neues Speichersystem umgestellt, das alte aber nicht gelöscht oder ausgebaut. Es war vom Netzwerk getrennt – und damit für den Angreifer nicht erreichbar.
Ein Paradebeispiel für glückliche Redundanz. Das alte System war quasi ein Cold Backup – ungewollt, in dieser Situation aber rettend.
Clean Room statt Schnellschuss
Statt hektisch alles zurückzuspielen, schlage ich einen methodischen Weg vor. Gemeinsam mit dem Kunden wird eine Clean Room-Infrastruktur aufgebaut. Dort sollen die gesicherten Systeme geprüft und bei Freigabe auf neuer Hardware wieder in Betrieb genommen werden.
Die Wiederanlaufstrategie folgt dabei einer einfachen, aber effizienten Logik: Zuerst werden die betriebsnotwendigen Anwendungen priorisiert – insbesondere ERP, Produktionssteuerung, Kommunikationssysteme. Dann erfolgt eine tiefgreifende Prüfung jeder Applikation auf mögliche Schadsoftware. Nur Systeme, die virenfrei sind und keine Ransomware-Artefakte enthalten, werden überführt.
Die SAP-Systeme auf IBM Power bieten in dieser Situation einen entscheidenden Vorteil. Ihre Sicherheitsarchitektur und die physische Trennung der Infrastruktur sorgen für Integrität. Kein Zugriff der Angreifer, keine Manipulation, keine Verschlüsselung – ein sicherer Anker in der chaotischen Umgebung.
Mittwochmorgen – die neue Welt steht
Immer wieder steht die Frage im Raum, ob man nicht doch auf die Lösegeldforderung reagieren sollte. Doch die Entscheider bleiben standhaft. Keine Kommunikation mit den Angreifern, kein Einlenken, keine Zahlung. Der Wiederanlauf soll mit eigenen Mitteln gelingen.
In den folgenden Tagen arbeiten alle rund um die Uhr mit vollem Einsatz: Rücksicherung der Backups, Neuvergabe sämtlicher User- und Admin-Konten, Segmentierung der Netzwerke, Absicherung aller Managementserver.
Als die Produktion nur 4 Tage nach dem Angriff wieder anläuft, atmen alle durch, kollektive Erleichterung macht sich bereit. Alle Mühen, aller Einsatz haben sich gelohnt: ein Gänsehaut-Moment.
Wer Systeme trennt, Sicherheitstools ganzheitlich einsetzt, Prozesse integriert und testet und Mitarbeiter sensibilisiert, hat im Ernstfall eine Chance.
Grit Wasmund, IT-PS
In der Krise optimal agieren
Wenn ich heute auf den Einsatz zurückschaue, kann ich die große Anspannung und Verantwortung immer noch körperlich spüren. Man fühlt sich wie in einem falschen Film und stellt sich immer wieder die Frage: Ist das alles nur ein Alptraum oder ein schlechter Scherz?
Welche „Lessons Learned“ für das Krisenmanagement nehme ich mit? Zunächst muss eine Person bestimmt werden, die sowohl den Krisenstab leitet als auch den zentralen Workstream „Kommunikation“ koordiniert. Dazu gehört die frühzeitige Identifikation und das Briefing weiterer erforderlicher Spezialisten – etwa für Verhandlungsführung, Zahlungsabwicklung oder juristische Fragestellungen.
Zentral für einen Notfalleinsatz ist die Krisenkommunikation. In kürzester Zeit sind zielgerichtete Wordings für alle internen und externen Stakeholder zu erarbeiten – von der Erstinformation über kontinuierliche Mitarbeiter- und Kundenkommunikation bis hin zu Presseinformationen und FAQ-Dokumenten. Parallel sind Zeitpläne, Notfalllösungen und Interimsprozesse zu etablieren.
Bereits im Vorfeld sollten sich Unternehmen auf das Krisenmanagement vorbereiten: zum Beispiel Krisenkommunikations-Handbücher erstellen oder überarbeiten, Notfallübungen durchführen und strategische Beratungsleistungen einbinden – ein entscheidender Faktor, der sich im Ernstfall bezahlt macht.
Lehren für die Zukunft – technische Vorkehrungen
Jedes Unternehmen hat zudem Vorkehrungen zu treffen, die verhindern, dass es überhaupt zu einer Cyberattacke kommt.
Zu einer umfassenden Sicherheitsarchitektur gehören folgende technische Komponenten:
➤ Konsequentes Nutzermanagement: Benutzerprofile Up-to-Date halten, Segmentierung von Admin- und Benutzerkonten, Pflege auf Applikationsebene.
➤ Einführen eines zusätzlichen Offline-Backups auf Tape.
➤ Implementierung eines Tools zur Anomalie-Erkennung inklusive der für ein Funktionieren notwendigen individuellen Unternehmensprozesse.
Lehren für die Zukunft – organisatorische Vorkehrungen
Eine gute organisatorische Vorbereitung umfasst regelmäßige Audits und Security-Analysen. Hier können externe Partner ebenso unterstützen wie bei dem Erstellen und Verteilen einer Informationssicherheitsrichtlinie. Ein absolutes Muss sind regelmäßige Awareness-Schulungen für alle Mitarbeitenden.
Fazit: Wer Systeme trennt, Sicherheitstools ganzheitlich einsetzt, Prozesse integriert und testet und Mitarbeiter sensibilisiert, hat im Ernstfall eine Chance. Und es braucht Menschen mit einem kühlen Kopf, technischer Tiefe – und der Fähigkeit, in Extremsituationen Verantwortung zu übernehmen.
