Es war ein später Märzabend im Jahr 2022. Nach einem langen Tag, der gegen sechs Uhr morgens begonnen hatte, war ich endlich in meinem Hotelzimmer. Als ich einen Anruf erhielt, dass mit den IT-Systemen einer meiner Kunden etwas nicht stimmte und sie teilweise unerreichbar waren, war mir klar, dass es noch eine lange Nacht werden würde.
Ich machte mich umgehend auf den Weg in die Firma, die nur fünf Minuten vom Hotel entfernt war. Dort traf ich mich mit einem Kollegen und wir gingen direkt in die Serverräume. Unsere erste Priorität war es, nach offensichtlichen Fehlern zu suchen - war die Serverhardware eingeschaltet? Gab es einen Fehler im Speicher? Gab es einen Stromausfall oder war eine Netzwerkkomponente ausgefallen? Aber soweit wir feststellen konnten, lief alles wie es sollte.
So begann um etwa 23:30 Uhr unsere tiefergehende Suche nach einem möglichen Fehler. Wir versuchten vergeblich, per Remote Desktop auf einen der Domain Controller zuzugreifen und entschieden uns ein physisches Terminal anzuschließen. Wir sahen beim Einschalten des Bildschirms ein normales Login-Fenster, doch der Login funktionierte nicht. Langsam keimte in uns der Verdacht auf, dass wir es mit etwas Ernsthaftem zu tun hatten.
Wir wollten uns einen Überblick verschaffen und gingen mit dem Terminal die ESXi Hosts durch. Bei jedem Host, an den wir uns anschlossen, sahen wir nur einen weißen Text auf einem schwarzen Bildschirm "Hypervisor not found". Der Verdacht wuchs mit jedem Host den wir uns ansahen.
Um 23:50 Uhr war uns dann endgültig klar, dass etwas Ernsthaftes vor sich ging. Wir zogen sofort alle Stecker und trennten alle Serverkomponenten in beiden Rechenzentren vom Strom, um den laufenden Angriff zu stoppen. Um 0:10 Uhr war alles aus und es stellte sich die Frage: "Wie geht es weiter?". Wir waren uns aber sicher, dass wir den Angriff zumindest aufgehalten hatten. Dies war der Moment, um kurz innezuhalten.
Wir gingen nach draußen, zündeten uns eine Zigarette an und überlegten uns die nächsten Schritte. Das Wichtigste war jetzt, Ruhe zu bewahren und überlegt zu handeln. Es wurde uns bewusst, dass wir uns auf eine schlaflose Nacht einstellen mussten, auch die nächsten Tage würden eher einem Marathon gleichen und ganz sicher kein Spaziergang werden.
Die Uhr zeigte 0:45 Uhr, als wir begannen, die wichtigsten Stellen im Unternehmen zu informieren. Unsere Kollegen in der IT waren sofort wach und gefühlt noch während dem Gespräch auf dem Weg zu uns. Wir brauchten jetzt alle Mann an Deck. Dann informierten wir die Inhaber der Firma und wichtige Entscheidungsträger. Die Rufbereitschaft sprach zunächst von einem größeren IT-Ausfall, der sich bis zum nächsten Tag hinziehen wird, um die Informationshoheit den Inhabern zu überlassen.
Die folgenden Stunden waren von intensiven Gesprächen und Entscheidungen geprägt. Gegen drei Uhr morgens hatten wir die wichtigsten Personen informiert und es war allen klar, dass wir uns inmitten eines Cyberangriffs befanden. Um 3:30 Uhr stand dann auch endgültig fest, was passiert war: Die Backups waren verschlüsselt, die Systeme zum Teil betroffen und ausgeschaltet. Wir waren wieder in der "Steinzeit" angekommen. Es war nichts mehr da außer ein Block Papier und ein Bleistift.
In den frühen Morgenstunden bildete sich ein spontaner Krisenstab. Bis 5 Uhr gab es immer wieder Abstimmungen zwischen IT und Krisenstab, um Systeme und Kunden zu priorisieren. Wir überlegten, wie wir die Systeme am besten wieder online nehmen sollten. Spätestens zu diesem Zeitpunkt war allen Beteiligten klar, dass wir den operativen Betrieb für die nächsten Tagen einstellen müssen. Die Konsequenzen waren, das mehrere Tausend Mitarbeiter nicht zur Arbeit kommen konnten, hunderte Partner und Kunden keine Waren / Dienstleitungen bekamen. Die Firma stand am Rande des Abgrunds, wir hatten somit nur wenige Tage Zeit die IT wieder zum "Laufen" zu bekommen.
Rückblickend verloren wir leider bis acht Uhr morgens wertvolle Zeit damit, einen Plan zu erstellen, den wir besser bereits "in der Schublade" gehabt hätten. Erst ab 9 Uhr konnte die IT damit beginnen, die ersten Systeme in einer Notfallumgebung wieder aufzubauen. Hierfür hatten wir inzwischen auch unsere IT-Partner mit ins Boot geholt. Zum Glück hatten wir bereits ein wirkliches gutes Netzwerk an Partnern, auf die wir uns verlassen konnten.
Parallel dazu entschied der Krisenstab, die Darknet-Adresse zu öffnen, die wir in einer Datei auf nahezu allen Systemen gefunden hatten. Keine gute Idee, wie sich herausstellen sollte. Mit dem Öffnen der Adresse begann ein Chat mit dem "Kundenservice" der Angreifer, die freundlichen "Mitarbeiter" setzen uns sofort ein Ultimatum von 24 Stunden. Sie forderten ein Lösegeld in siebenstelliger Euro Höhe in Bitcoin und boten uns im Gegenzug die Herausgabe der Entschlüsselungssoftware inklusive Passwort an. Sie versprachen, die exfiltrierten Daten zu löschen und nicht zu veröffentlichen, wenn wir das Lösegeld bezahlen würden. Wir haben nicht bezahlt. Die ersten Daten wurden nach 24 Stunden veröffentlicht.
Gemeinsam mit unseren Partnern gelang es uns, um 22 Uhr des Folgetages die Basis-Komponenten der Infrastruktur neu aufzusetzen. Um 3 Uhr nachts waren die ersten Schichten geplant, der Krisenstab war aufgeteilt und 24h besetzt, die Techniker schliefen im Konferenzraum unter den Tischen, immer mal wieder für ein paar Stunden.
Endlich, um vier Uhr morgens - fast 48 Stunden nach meinem letzten Schlaf - konnte ich mich ein paar Stunden hinlegen. Die nächsten Wochen würden eine Herausforderung sein, wie ich sie zuvor nur in wenigen Situationen erlebt hatte. Wir brauchten technisches Wissen, Architekturwissen, Wissen über die "alte" Infrastruktur und Zusammenhänge, Führungsfähigkeit, Entscheidungskraft, Teamfähigkeit und vor allem starke Nerven.
Rückblickend wurde mir klar, dass die beste Waffe gegen Cyberangriffe die Vorbereitung ist. Es ist entscheidend, im Vorfeld eine gute Beziehung zu Dienstleistern aufzubauen und klare Krisenpläne zu erstellen. Es gibt keine Garantie, dass Sie einen Cyberangriff verhindern können, aber mit der richtigen Vorbereitung können Sie sicherstellen, dass Sie bereit sind, wenn er kommt.
Es ist ein Krieg, den wir führen, und wie in jedem Krieg ist, der Schlüssel zum Sieg die Vorbereitung.
Weiterer Artikel des Autors:
"Du kommst hier nicht rein!"