Persönlicher Erfahrungsbericht

48 Stunden im Cyber-Kriegsgebiet

Jens Decker ist seit 2014 Geschäftsführer und Gründer der ConfigPoint GmbH. Seine Schwerpunkte liegen in Prozessdesign und -implementierung, im Aufbau von Shared Service Centern, der Ein- und Ausgliederung von Firmen sowie in IT-Outsourcing und Systemmanagement. Decker ist ebenso Geschäftsführer der TST IT Management GmbH und mit der Restrukturierung und Standardisierung der IT sowie der Modernisierung der Infrastruktur beauftragt. 2021 hatte er als Service Manager in einem Projekt der Gemeinde Aidlingen die technische Gesamtleitung und die Leitung der IT-Architektur für die neue IT-Umgebung der Gemeinde. Davor war Decker zwei Jahre lang Technical Advisor für ein Transitionsprojekt der Messe München: Er begleitete den Umzug von 130 Anwendungen zu einem neuen IT-Dienstleister und verantwortete die Qualitätssicherung. Decker baute außerdem zwei Jahre lang den Shared Service Center von Toshiba Europe auf und betreute davor als freier IT-Consultant diverse Projekte u.a. bei der Mercedes Benz-Bank, der Mercedes Benz Vertriebsgesellschaft und der BelAir Airlines AG in der Schweiz. 
Ich bin Jens Decker. In meiner Rolle als Berater, Unternehmer und Geschäftsführer mehrerer IT-Unternehmen habe ich mich auf die Vorbereitung von Unternehmen auf Cyberangriffe spezialisiert und helfe ihnen dabei, solche Vorfälle zu bewältigen. Was ich hier schildere, ist kein Theorieszenario, sondern eine Erfahrung, die ich persönlich gemacht habe.

Es war ein später Märzabend im Jahr 2022. Nach einem langen Tag, der gegen sechs Uhr morgens begonnen hatte, war ich endlich in meinem Hotelzimmer. Als ich einen Anruf erhielt, dass mit den IT-Systemen einer meiner Kunden etwas nicht stimmte und sie teilweise unerreichbar waren, war mir klar, dass es noch eine lange Nacht werden würde.

Ich machte mich umgehend auf den Weg in die Firma, die nur fünf Minuten vom Hotel entfernt war. Dort traf ich mich mit einem Kollegen und wir gingen direkt in die Serverräume. Unsere erste Priorität war es, nach offensichtlichen Fehlern zu suchen - war die Serverhardware eingeschaltet? Gab es einen Fehler im Speicher? Gab es einen Stromausfall oder war eine Netzwerkkomponente ausgefallen? Aber soweit wir feststellen konnten, lief alles wie es sollte.

So begann um etwa 23:30 Uhr unsere tiefergehende Suche nach einem möglichen Fehler. Wir versuchten vergeblich, per Remote Desktop auf einen der Domain Controller zuzugreifen und entschieden uns ein physisches Terminal anzuschließen. Wir sahen beim Einschalten des Bildschirms ein normales Login-Fenster, doch der Login funktionierte nicht. Langsam keimte in uns der Verdacht auf, dass wir es mit etwas Ernsthaftem zu tun hatten.

Wir wollten uns einen Überblick verschaffen und gingen mit dem Terminal die ESXi Hosts durch. Bei jedem Host, an den wir uns anschlossen, sahen wir nur einen weißen Text auf einem schwarzen Bildschirm "Hypervisor not found". Der Verdacht wuchs mit jedem Host den wir uns ansahen.

Um 23:50 Uhr war uns dann endgültig klar, dass etwas Ernsthaftes vor sich ging. Wir zogen sofort alle Stecker und trennten alle Serverkomponenten in beiden Rechenzentren vom Strom, um den laufenden Angriff zu stoppen. Um 0:10 Uhr war alles aus und es stellte sich die Frage: "Wie geht es weiter?". Wir waren uns aber sicher, dass wir den Angriff zumindest aufgehalten hatten. Dies war der Moment, um kurz innezuhalten.

Wir gingen nach draußen, zündeten uns eine Zigarette an und überlegten uns die nächsten Schritte. Das Wichtigste war jetzt, Ruhe zu bewahren und überlegt zu handeln. Es wurde uns bewusst, dass wir uns auf eine schlaflose Nacht einstellen mussten, auch die nächsten Tage würden eher einem Marathon gleichen und ganz sicher kein Spaziergang werden.

Die Waffen der Cyber-Kriminellen werden immer ausgefeilter - die Gegenmaßnahmen müssen es ebenso werden.
Die Waffen der Cyber-Kriminellen werden immer ausgefeilter - die Gegenmaßnahmen müssen es ebenso werden.
Foto: Marko Aliaksandr - shutterstock.com

Die Uhr zeigte 0:45 Uhr, als wir begannen, die wichtigsten Stellen im Unternehmen zu informieren. Unsere Kollegen in der IT waren sofort wach und gefühlt noch während dem Gespräch auf dem Weg zu uns. Wir brauchten jetzt alle Mann an Deck. Dann informierten wir die Inhaber der Firma und wichtige Entscheidungsträger. Die Rufbereitschaft sprach zunächst von einem größeren IT-Ausfall, der sich bis zum nächsten Tag hinziehen wird, um die Informationshoheit den Inhabern zu überlassen.

Die folgenden Stunden waren von intensiven Gesprächen und Entscheidungen geprägt. Gegen drei Uhr morgens hatten wir die wichtigsten Personen informiert und es war allen klar, dass wir uns inmitten eines Cyberangriffs befanden. Um 3:30 Uhr stand dann auch endgültig fest, was passiert war: Die Backups waren verschlüsselt, die Systeme zum Teil betroffen und ausgeschaltet. Wir waren wieder in der "Steinzeit" angekommen. Es war nichts mehr da außer ein Block Papier und ein Bleistift.

In den frühen Morgenstunden bildete sich ein spontaner Krisenstab. Bis 5 Uhr gab es immer wieder Abstimmungen zwischen IT und Krisenstab, um Systeme und Kunden zu priorisieren. Wir überlegten, wie wir die Systeme am besten wieder online nehmen sollten. Spätestens zu diesem Zeitpunkt war allen Beteiligten klar, dass wir den operativen Betrieb für die nächsten Tagen einstellen müssen. Die Konsequenzen waren, das mehrere Tausend Mitarbeiter nicht zur Arbeit kommen konnten, hunderte Partner und Kunden keine Waren / Dienstleitungen bekamen. Die Firma stand am Rande des Abgrunds, wir hatten somit nur wenige Tage Zeit die IT wieder zum "Laufen" zu bekommen.

Rückblickend verloren wir leider bis acht Uhr morgens wertvolle Zeit damit, einen Plan zu erstellen, den wir besser bereits "in der Schublade" gehabt hätten. Erst ab 9 Uhr konnte die IT damit beginnen, die ersten Systeme in einer Notfallumgebung wieder aufzubauen. Hierfür hatten wir inzwischen auch unsere IT-Partner mit ins Boot geholt. Zum Glück hatten wir bereits ein wirkliches gutes Netzwerk an Partnern, auf die wir uns verlassen konnten.

Parallel dazu entschied der Krisenstab, die Darknet-Adresse zu öffnen, die wir in einer Datei auf nahezu allen Systemen gefunden hatten. Keine gute Idee, wie sich herausstellen sollte. Mit dem Öffnen der Adresse begann ein Chat mit dem "Kundenservice" der Angreifer, die freundlichen "Mitarbeiter" setzen uns sofort ein Ultimatum von 24 Stunden. Sie forderten ein Lösegeld in siebenstelliger Euro Höhe in Bitcoin und boten uns im Gegenzug die Herausgabe der Entschlüsselungssoftware inklusive Passwort an. Sie versprachen, die exfiltrierten Daten zu löschen und nicht zu veröffentlichen, wenn wir das Lösegeld bezahlen würden. Wir haben nicht bezahlt. Die ersten Daten wurden nach 24 Stunden veröffentlicht.

Gemeinsam mit unseren Partnern gelang es uns, um 22 Uhr des Folgetages die Basis-Komponenten der Infrastruktur neu aufzusetzen. Um 3 Uhr nachts waren die ersten Schichten geplant, der Krisenstab war aufgeteilt und 24h besetzt, die Techniker schliefen im Konferenzraum unter den Tischen, immer mal wieder für ein paar Stunden.

Endlich, um vier Uhr morgens - fast 48 Stunden nach meinem letzten Schlaf - konnte ich mich ein paar Stunden hinlegen. Die nächsten Wochen würden eine Herausforderung sein, wie ich sie zuvor nur in wenigen Situationen erlebt hatte. Wir brauchten technisches Wissen, Architekturwissen, Wissen über die "alte" Infrastruktur und Zusammenhänge, Führungsfähigkeit, Entscheidungskraft, Teamfähigkeit und vor allem starke Nerven.

Rückblickend wurde mir klar, dass die beste Waffe gegen Cyberangriffe die Vorbereitung ist. Es ist entscheidend, im Vorfeld eine gute Beziehung zu Dienstleistern aufzubauen und klare Krisenpläne zu erstellen. Es gibt keine Garantie, dass Sie einen Cyberangriff verhindern können, aber mit der richtigen Vorbereitung können Sie sicherstellen, dass Sie bereit sind, wenn er kommt.

Es ist ein Krieg, den wir führen, und wie in jedem Krieg ist, der Schlüssel zum Sieg die Vorbereitung.

Weiterer Artikel des Autors:
"Du kommst hier nicht rein!"

Zur Startseite