Ein Angriff mit Schadsoftware, die Auswirkungen und was zu tun ist

Die Mehrzahl der Industrieunternehmen ist inzwischen an einem Punkt gelangt, an dem die Produktions- und Fertigungsprozesse größtenteils mittels Digitalisierung effizienter gestaltet werden. Mit dieser Transformation einhergehen müsste konsequenterweise eine entsprechende Anpassung des IT-Sicherheitsniveaus, auch um die daraus resultierende Herausforderung hinsichtlich der Verfügbarkeit und Sicherheit aller Daten zu gewährleisten. Zum Beispiel durch eine Neugestaltung der Netzwerk-Infrastrukturen. Doch das ist keineswegs der Regelfall – im Gegenteil, Cyber-Sicherheit ist ein Aspekt der tendenziell (noch) eher vernachlässigt wird. Aus diesem Grund ist es Kriminellen möglich, ihre zunehmend gezielten Angriffe dergestalt durchführen zu können, indem sie oftmals schlichtweg vorhandene Schwachstellen in Systemen ausnutzen. Ein leichtes Spiel scheinbar, denn in einer aktuellen Umfrage* von 500 Sicherheitsbeauftragten gaben 65 Prozent der Teilnehmer an, dass sie Sicherheitslücken aufgrund veralteter Software haben.

In der Realität zeigt sich dann, dass die enorm gestiegene Komplexität der Netzwerk-Infrastrukturen in Verbindung mit einem gezielten Angriff eine durchschlagende Wirkung haben kann. Wie etwa bei einem mittelständischen Unternehmen aus der Metallverarbeitung mit weit über 300 Mitarbeitern und mehreren Standorten, auch außerhalb von Deutschland – in dem bereits vor geraumer Zeit mit der Digitalisierung begonnen wurde, sodass mittlerweile annähernd alle Prozesse IT-gesteuert sind.

Auswirkungen eines Angriffs 

Obwohl der Angriff über ZCrypt – eine Malware, die nicht nur eine Verschlüsselung der Daten initiiert, sondern sich als Virus auch replizieren und dann weiter verteilen kann – auf einen Standort außerhalb Deutschlands erfolgte, führte er zu einem Stillstand des gesamten Unternehmens. Denn der hohe Vernetzungsgrad – die Niederlassungen sind untereinander verbunden – hatte zur Konsequenz, dass kurzfristig für alle Standorte eine umfängliche externe Isolation notwendig wurde. Daraus resultierte ein einwöchiger Produktionsausfall, wodurch Aufträge nicht in geplanter Zeit gefertigt und ausgeliefert werden konnten. Insgesamt dauerte es mehr als sechs Wochen, bis – verbunden mit einem erheblichen Mehraufwand für alle Mitarbeiter – das Unternehmen wieder in den Regelbetrieb übergehen konnte.

Was getan werden musste

Aufgrund der Schwere des Angriffs und der Komplexität der Malware – es wurde befürchtet, dass über den Virus auch die Systeme in Deutschland stark befallen sein würden – bestand die Notwendigkeit erst einmal ALLE Systeme komplett herunterzufahren und jede externe Verbindung zeitweilig aufzuheben. Obwohl zeitnah agiert wurde, erstreckte sich der gesamte Prozess zur Wiederaufnahme jedoch über einen längeren Zeitraum: Im ersten Schritt fand systematisch die manuelle forensische Analyse aller Server auf Spuren einer Infektion statt. Sofern vorhanden wurde der jeweilige Server stillgelegt und vom Backup wiederhergestellt. Dies ermöglichte, den Betrieb sukzessive strukturiert wieder aufzunehmen. Nachdem alle relevanten Server online waren, konnte dann die Vernetzung der Standorte erfolgen – allerdings erst nach Etablierung eines angemessenen Schutzniveaus durch Firewalls zur Absicherung der Kommunikation zwischen den einzelnen Niederlassungen.


Im Weiteren fand eine manuelle Untersuchung ALLER Endgeräte auf Befall mit Schadsoftware statt. Jeder infizierte Client wurden gelöscht und neu installiert, ein Reparaturversuch fand nicht statt. So ließ sich gewährleisten, dass diese zügig wieder in den Regelbetrieb übergehen konnten.

Doch obwohl massiv parallel mit vielen Mitarbeitern an der Wiederherstellung gearbeitet wurde und sich der Virus in Deutschland nicht – wie eigentlich zu befürchten gewesen wäre – ausgebreitet hat, nahm der gesamte Prozess fast eine Woche Zeit in Anspruch.

Was daraus resultierte

Es hat sich gezeigt, dass nicht nur das Unternehmen im Falle einer erfolgreichen Attacke leidet, sondern auch die gesamte Lieferkette davon betroffen ist. Ein einziger verwundbarer Punkt im IT-System eines Unternehmens reicht teilweise schon aus, um gravierende Folgen hervorzurufen. Aus diesem Grund ist es empfehlenswert, die IT-Systeme gegen Angriffe besser abzusichern.


Tipps für eine gute Vorgehensweise nach einem Angriff

Direkt nach einem Angriff sollte eine Analyse des Vorfalles zur Ermittlung des „Root-Cause“ durchgeführt werden – dabei wird eruiert, wo die Infektion initial begonnen hat. Des Weiteren ist eine Analyse der fehlgeschlagenen Sicherheitsmechanismen erforderlich, um hieraus ableiten zu können, welche Maßnahmen zusätzlich zu etablieren sind.

  • Konkreter Maßnahmenkatalog für das Unternehmen nach dem Angriff

    • Einsatz einer Lösung zur Endpoint-Absicherung mit „EDR“ (Enhanced Detection and Response)
    • Interne Segmentierung der Netze und Überwachung des internen Datenverkehrs durch intelligente Firewalls
    • Austausch der externen Firewall gegen ein aktuelles Modell mit angemessenen Schutzfunktionen
  • Einrichtung von dauerhaften Sensibilisierungs-maßnahmen mit Online-Lehrgängen für die Mitarbeiter (gegen Angriffsarten wie Phishing, Social Engineering)
  • Regelmäßige Kontrolle der Schutzmaßnahmen


Grundsätzlich zu beachten

  • Erhebung des aktuellen Sicherheitsniveaus und Ermittlung der notwendigen Maßnahmen, um zukünftig ein angemessenes Schutzniveau zu erreichen
  • Erstellung eines ganzheitlichen Sicherheitskonzepts



* Aktuelle globale Studie von OTRS, https://corporate.otrs.com/de/otrs-studie-nur-56-prozent-der-it-sicherheitsteams-sind-optimal-auf-einen-sicherheitsvorfall-vorbereitet/

Kontakt

Zertifikate

© HEGO Informationstechnologie GmbH. ALLE RECHTE VORBEHALTEN.