Als Achim Kapitz ans Telefon geht, hat er einen panischen mittelständischen Kunden am Ohr, dessen Systeme weltweit gerade von Ransomware verschlüsselt wurden. Wie konnte Kapitz die Daten retten und was müssen Partner und Hersteller liefern, damit Kunden solch eine Krise überstehe?
ChannelPartner sprach mit Achim Kapitz, Senior Account & Alliance Manager bei der dignum GmbH, einem mittelständischen Systemintegrator aus Gauting bei München, und Martin Böker von Veritas Technologies über wichtige Lehren aus Ransomware-Agriffen und wie man Kunden besser auf solche Szenarien vorbereiten kann.
ChannelPartner.de: Herr Kapitz, was ist bei dem Kunden passiert?
Achim Kapitz: Hacker sind gezielt gegen die Exchange-Lücke vorgegangen, haben interne Systeme ausspioniert und am Tag X mitten in der Nacht viele Systeme mit einem Verschlüsselungstrojaner gleichzeitig kompromittiert. Am nächsten Morgen hat das Unternehmen die eigenen Systeme abgeschottet und mich kontaktiert, damit drei meiner Consultans bei der Wiederherstellung der Daten helfen.
Martin Böker: Das deckt sich mit den Schilderungen vieler anderer Angriffe gegen Unternehmen: Unsere Partner und Veritas als Experte in Sachen Enterprise-Datensicherung müssen Kunden raten, die Systeme schneller vom Netz zu nehmen, also den Stecker zu ziehen und so den Schaden zu begrenzen. Denn Hacker verbringen im Schnitt 45 Tage im Opfernetz, in denen sie die gesamte Netzstruktur inklusive der Backup-Prozesse durchleuchten.
Warum ruft ein Kunde bei einem Partner an, der auf Backup und Disaster Recovery spezialisiert ist?
Kapitz: In der Krise geht es darum, Systeme schnell wieder zum Laufen zu kriegen. Dazu müssen große Mengen von Daten zuverlässig wiederhergestellt werden. In so einer Situation ist jeder Kunde deutlich überfordert, denn dabei gehen immer Dinge schief. Die Techniker stehen unter hohem Druck, müssen Konfigurationen abändern und viele Aufgaben gleichzeitig bewältigen. Bei dem Stress kann es schnell geschehen, dass Befehle falsch eingegeben werden.
Böker: Es ist wichtig, nach dem Angriff direkt kompetente Partner mit Backup-Know-how dazuzuholen. Denn die Backup-Files sind die letzte Verteidigungslinie. Sie zuverlässig wiederherstellen zu können, rettet die Firma, da sie dadurch schnell wieder den Betrieb aufnehmen kann. Ursachenforschung und Analyse für künftige Präventionsmaßnahmen sind natürlich auch wichtig - aber sie können auch dann noch stattfinden, wenn der Betrieb wieder läuft, sind also nachgelagert.
Wie schnell war in dem konkreten Fall der betroffene Kunde wieder online?
Kapitz: Der Kunde hatte seinen Restore-Prozess zuvor regelmäßig getestet und konnte den Restore mit NetBackup schnell beenden. Trotzdem dauerte der Vorgang insgesamt zwei Wochen, da es mit einem Restore Probleme gab. Alle Kunden sind deutlich schlechter vorbereitet, als sie denken. Eine weitere Lektion: Auch die Backup-Infrastruktur muss resilient und gehärtet sein, damit sie nicht selbst angreifbar wird.
Was können andere Partner und Kunden aus dem Vorfall lernen?
Kapitz: Es ist keine Frage, ob der Angriff kommt, sondern wann. Man muss sich auf diesen Tag vorbereiten, Notfallpläne entwickeln und durchspielen. Der Plan muss auch unter Druck umsetzbar sein und sich stark auf die Prozesse intern auswirken. Wer zum Beispiel hat das letzte Wort, um alles abzuschalten? Ist man dazu überhaupt bereit? Außerdem sollte der Kunde vorab ein Expertennetz aufbauen, auf das er im Ernstfall zurückgreifen kann. Es gilt, dieses Netz zu pflegen und hierbei das "Geiz-ist-Geil-Prinzip" zu vernachlässigen. Wenn Kunden auf Qualität und Know-how setzen, werden sie auch Hilfe bekommen, wenn sie um zehn Uhr Abends am Wochenende anrufen.
Böker: Eine langjährige enge Zusammenarbeit mit dem Partner zahlt sich am Ende aus, denn der Partner kennt das Netz, die handelnden Personen, die Systeme und Prozesse und kann schnell helfen. Zeit ist bei einem Angriff ein essenzieller Faktor. Wenn sich der 'Rettungstrupp' im Ernstfall erst einarbeiten muss, geht zu viel Zeit verloren.
Was muss ein Hersteller in solch einer Krisensituation leisten?
Kapitz: Es gibt die technische und die kulturelle Seite. Die Backup-Systeme müssen gehärtet und in einer sicheren Architektur gekoppelt sein, damit der Hacker nicht in das System eindringen kann. Auch wie der Hersteller Patches bauen und einspielen kann, wirkt sich auf die Widerstandsfähigkeit aus. Genauso wichtig ist, ob er seiner Verantwortung für die Kunden gerecht wird und in der Krise unbürokratisch hilft, weil er den Ernst der Lage versteht. Das meine ich mit kulturell. Veritas macht hier einen guten Job. Es gibt aber Hersteller auf dem Markt, die in solchen Krisen erst einmal nach der Lizenz fragen."
Was können Partner tun, um Kunden besser vorzubereiten?
Kapitz: Der Partner muss helfen, beim Kunden intern für ein friedliches Verhältnis zwischen der Backup- und der Security-Welt zu sorgen, denn beide Teams stehen meist im Konflikt zueinander. Das eine will auf alle kritischen Systeme zugreifen, um das Backup zu machen, während das andere alle Zugriffe streng kontrolliert. Beide sprechen eine eigene Sprache, haben eigene Ziele. Deswegen haben wir mit dem "Backup Risk Assessment" ein Dienstleistungspaket geschnürt und eine Partnerschaft mit dem Security-Dienstleister UC Advisory geschlossen, um Kunden strukturiert durch diesen Prozess zu führen, damit deren Teams besser für den Ernstfall vorbereitet sind und ihre Backup-Umgebung als letzte Verteidigungslinie standhält.
Wird uns das Thema erhalten bleiben?
Böker: Das Thema ist bei Politik und Wirtschaft ganz oben auf der Agenda. Das Versicherungsunternehmen Allianz hat vor Kurzem ein Risk Barometer vorgestellt, indem mehrere Tausend Risk Manager Cybercrime als größte Gefahr einstuften - noch vor Klimawandel, Naturkatastrophen und der Pandemie. Und es passiert viel: Die AXA Versicherung schließt in Frankreich keine neuen Policen mehr ab, bei denen geleistete Ransomware-Zahlungen erstattet werden. Auch die hierbei meistgenutzte Währung Bitcoin soll transparenter werden, um im Einzelfall die Zielpersonen solcher Transfers zu identifizieren. In dem Bericht des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums steht, dass Unternehmen nun rechtlich zur Verantwortung gezogen werden, wenn sie Lösegeld an die Hacker zahlen. Sich aus der Krise freizukaufen, war schon immer der schlechteste aller möglichen Auswege. Künftig wird es diese schlechte Option immer seltener geben."
Kapitz: Alle unsere Kunden sind anfälliger geworden, da sie in kurzer Zeit viel stärker in die Cloud migriert sind und ihre Daten daurch noch dezentraler gespeichert sind. Das Thema Ransomware gibt uns Zugang zur Vorstandsebene, die eine Lösung hierfür erwartet. Uns als Branche muss es gelingen, die letzte Verteidigungslinie gegen Ransomware - das Backup - so widerstandsfähig zu machen, dass sich Daten immer zuverlässig wiederherstellen lassen. Das wird Kunden sehr helfen, den Schaden eines erfolgreichen Einbruchs einzudämmen.
Böker: Wir als Hersteller müssen schneller werden, aber auch den Dialog mit der Vorstandebene verstärkt suchen. Backup sollte nicht länger als lästiger IT-Posten betrachtet werden, sondern als Garant für das Überleben der Unternehmen ganz oben auf der Strategieliste stehen.
Pannen bei Ransomware-Angriffen