InfoGuard Cyber Security & Cyber Defence Blog

Ein Geschenk, das Sie nicht mal Ihrem grössten Feind wünschen [Teil 2]

Geschrieben von Michelle Gehri | 11. Dez 2019

Sie erinnern sich noch an den ersten Teil unserer Advents-Story, als Ryuk bei der E-Trade AG sein Unheil trieb? Im zweiten Teil erfahren Sie, welche Überraschungen den CEO Peter Fürst und sein Team an Tag drei erwarten. Es ist mittlerweile Freitag – und Ryuk spielt wohl Samichlaus...

 

Freitag, 6. Dezember – ho, ho, ho… aber nicht der Samichlaus, sondern Ryuk ist da!

07:05 Uhr: Fürst, wie immer der erste im Büro, ist mehr als verwirrt. Sein Computer läuft zwar, aber wo sind seine Anwendungen? Wo sind alle Daten hin? Und wer hat alles auf die Werkseinstellungen zurückgesetzt? Auch wenn Fürst kein IT-Experte ist, ahnt er, dass es sich hier nicht um eine gewöhnliche Panne handelt…

07:40 Uhr: Inzwischen ist auch der IT-Leiter Max Grunder im Büro von Fürst – nicht minder bleich als der CEO. «RYUK» prangt gross auf dem Bildschirm, inkl. einer E-Mailadresse. Ryuk, ist das nicht…? Eine kurze Google-Suche bestätigt die Vermutung. Hinter Ryuk verbirgt sich ein Verschlüsslungstrojaner. Und jetzt?

Als Manager wussten beide mit unvorhergesehenen Situationen umzugehen. Aber wer hat schon Erfahrung mit Ransomware? Spontan richten sie eine neue Web-Mailadresse ein, um Ryuk zu kontaktieren: «Hello Ryuk, how can we get our data back?» Gefühlt drei Sekunden später kommt prompt die Antwort. «To unlock files, you need to pay 70 Bitcoins», plus weiteren Angaben zum Vorgehen und sogar einem netten Hinweis mit «to confirm our honest intentions, we will unlock two files for free.». «Wie grosszügig!», flucht Grunder.

Das Business-Modell von Ryuk ist inzwischen übrigens so erfolgreich, dass dahinter eine nicht gerade kleine, hochprofessionelle Organisation steckt – sogar mit Supporthotline, sollte es Probleme mit der Zahlung geben. Die Chancen, nach der Bezahlung die Daten wiederzubekommen, stehen also gar nicht so schlecht. Ein kleiner Trost, angesichts der Misere bei der E-Trade AG… 70 Bitcoins klingt erstmal nach wenig, meinen Grunder und Fürst. Eine Google-Anfrage später werden sie jedoch eines Besseren belehrt: 70 Bitcoins entsprechen rund CHF 525'000.–! Und: Wo kauft man überhaupt Bitcoins? Und soll man überhaupt bezahlen…?

Als wäre die technische Komponente nicht schon genug kompliziert, stellen sich plötzlich ganz andere Fragen: Wie können die Mitarbeitenden der E-Trade AG weiterarbeiten? Wie können sie das operative Geschäft am Laufen halten? Was und wie kommunizieren sie intern und extern? Und, und, und… Der Krisenstab, zudem inzwischen noch einige Führungskräfte und Mitglieder des Verwaltungsrats gehören, entwirft einen Plan – ein sogenanntes «Erpresser-Management». Darin kommen Themen vor wie die Risikoeinschätzung betreffend Bezahlung (oder eben Nicht-Bezahlung), die Verhandlungstaktik (kann man überhaupt mit Ryuk verhandeln?), Vorbereitungsmassnahmen im Falle einer Zahlung usw. Zeitgleich informiert Fürst die Polizei sowie die Melde- und Analysestelle Informationssicherung MELANI. Deren Rat: Auf keinen Fall bezahlen. Aber die stecken ja auch nicht in der Haut von Fürst. Also muss Plan B her…

10:10 Uhr: Plan B ist schnell erklärt: Andere Cyber Security-Experten hinzuziehen, womit wir bei uns – InfoGuard – angelangt wären. Sie als Leser haben bestimmt schon gemerkt, dass in so einer Krise keine Zeit ist, um einen passenden, vertrauenswürdigen Partner zu evaluieren. Umso wichtiger ist es, bereits im Vorfeld entsprechende Abklärungen getroffen und eine Notfallnummer parat zu haben. Oder man hat Glück und kennt jemanden – wie im Fall der E-Trade AG –, der einen ebensolchen Partner empfehlen kann. Kommen wir also zurück zu Fürst und seinem Dilemma…

Innert Kürze sind unsere Cyber Defence-Spezialisten bei der E-Trade AG vor Ort. Und nicht nur Fürst, sondern auch sein IT-Leiter Grunder merken schnell, dass diese Entscheidung richtig war. Denn schon nach wenigen Minuten wissen die, was zu tun ist, merkt Grunder schnell.

12:30 Uhr: Fürst und der Krisenstab sind froh, einen Teil ihrer Last an die Experten abgeben zu können. Aber vorbereitet auf das was folgt, sind sie dann doch nicht. «Stecker ziehen – und zwar sofort und ohne Ausnahme.», lautet die erste Anweisung des InfoGuard CSIRT (Computer Security Incident Response Team). Fürst schluckt leer. Das geht doch nicht! Der Betrieb ist schon genug eingeschränkt, und Kunden müssen weiterhin bestellen oder wenigstens informiert werden können. Aber auch für dieses Problem haben die Experten eine pragmatische Lösung parat. Schnell wird eine neue Mailadresse bei einem externen Web-Provider eingerichtet. Anschliessend wird eine letzte Rund- Mail an alle Kunden versendet mit dem Hinweis auf technische Probleme sowie einem Link zu einer «Notfall-Homepage», wo laufend Updates kommuniziert werden. Zudem sollen sich die Kunden bei Fragen an diese E-Mail-Adresse wenden.

Viele Mitarbeitende wurden indessen übrigens nach Hause geschickt, weil ohne Computer schlichtweg nichts läuft. Praktischerweise ist bereits Freitag. Und jetzt gibt es nur noch eines zu tun: Stecker ziehen und ran an die Arbeit. Das Wochenende muss warten!

EDR-as-a-Service: Erkennen Sie Security Incidents frühzeitig, damit es gar nie soweit kommt

Im Fall der E-Trade AG wurden nicht nur Emotet und das gut getarnte Phishing-Mail zum Verhängnis, sondern auch die technische Komponente. Angriffe werden immer komplexer, Zero-Day-Exploits und agile Cybercrime-Techniken sind nicht einfach zu erkennen. Unsere Cyber Defence-Experten setzen daher klar auf Tanium – dem führenden und einem der innovativsten Anbieter im Bereich Endpoint Detection and Response (EDR). Das Beste daran? Unser ISO 27001 zertifiziertes Cyber Defence Center kümmert sich für Sie darum im Rahmen unseres EDR-as-a-Service. Sie wollen Sicherheitsvorfälle frühzeitig erkennen und darauf reagieren können, bevor ein Schaden wie bei der E-Trade AG entsteht? Hier erfahren Sie hier mehr zu unserem EDR-as-a-Service:


Und wie ging es nun mit der E-Trade AG weiter? Das erfahren Sie nächsten Mittwoch, 18. Dezember, im dritten Teil unserer Advents-Story.