Hackerangriff, Trojanerausbruch, Lösegeldforderung – und jetzt?

Stellen Sie sich ein Unternehmen der fertigenden Industrie vor. Einen Mittelständler, der großen Anlagenbau betreibt und zu einem Konzern der metallverarbeitenden Industrie gehört. Einige hundert Mitarbeiter, Projekte im sieben- und achtstelligen Umsatzbereich.

An einem Donnerstagnachmittag stellen die IT-Admins fest, dass ihre Next Generation Firewall verdächtigen Traffic blockiert, da ist plötzlich irgendetwas los. Ein Dienstleister für die Firewall wird dazu befragt, aber noch kein Alarm geschlagen.

Am Freitagabend realisiert das IT-Team: es passieren viele ungewöhnliche Dinge, die Warnmeldungen nehmen zu, da ist etwas Größeres im Gange, wir müssen irgendetwas tun. Man nimmt Kontakt in alle Richtungen auf und kommt so auch an einen Ansprechpartner bei michael wessel. Dieser empfiehlt, alle IT-Systeme auszuschalten. Die Clients hat das Team bereits am Freitagmittag heruntergefahren, nun werden alle weiteren aktiven Komponenten ebenfalls heruntergefahren und vom Netz getrennt. Die Welt steht still.

Sondieren, Klassifizieren, Behandeln

Am Wochenende finden weitere Abstimmungen statt und am Montag nimmt ein Incident Responder der michael wessel die Arbeit vor Ort auf. Weiterhin wurde über den Mutterkonzern ein „Forensiker“ einer großen, bekannten Beratungsgesellschaft eingebunden, der Firewall-Dienstleister ist ebenfalls vor Ort. Die Kollegen stellen sich als Penetration Tester und Network Architect vor. Die Triage beginnt.

Im Lauf des Tages sammeln sich die Informationsbausteine zu einem Bild, das einen sehr glimpflichen Verlauf zeigt: durch das Einschreiten der Palo Alto Networks Firewall konnte der identifizierte Emotet Dropper daran gehindert werden, seine Payloads nachzuladen. Der Trojaner hat sich zwar massiv lateral im Netz ausgebreitet, aber wie sich später zeigte, konnte er nichts verschlüsseln. Es ist allerdings unklar, ob er zum Beispiel Zugangsdaten kompromittiert hat.

Bei den zu ergreifenden Maßnahmen wird gestritten. Der Penetration Tester der namhaften Beratungsgesellschaft proklamiert die reine Lehre, dass alles auf Null gesetzt und neu hergestellt werden müsse. Keine Daten dürfen kopiert werden, nichts dürfe ohne gründliche Löschung wieder in Betrieb gehen. Auf die Rückfrage der Inhabervertretung, wovon man da spreche, wählt der Mitarbeiter der michael wessel eine anschauliche Gleichung, die für die Kundin nachvollziehbar ist: summieren Sie Ihre fünf letzten IT-Projekte und schlagen Sie 30% Sicherheit noch drauf.

Es ist schnell klar, dass dieses Vorgehen den wirtschaftlichen Totalschaden für das Unternehmen bedeuten würde. Daher ist unser Ansatz auch wesentlich pragmatischer und behält vor allem den Betrieb im Blick: lieber mit 98% Sicherheit weiterarbeiten als mit 99% Sicherheit in die Insolvenz.

Behandlungsplan

Gegen den drei Tage andauernden Widerstand des vom Konzern eingesetzten Beraters erarbeitet michael wessel mit dem IT-Team des Unternehmens einen Aktionsplan, der durch kreative Lösungen auch die bevorstehende Abgabe eines Angebotes für ein 30-Millionen-Euro-Projekt ermöglicht. So werden wichtige Mitarbeiter in den angemieteten Schulungsraum des SAP-Providers in räumlicher Nähe einquartiert. Ihre Daten bekommen sie auf offline bereinigten USB-Sticks, ebenso werden ihre CAD-Workstations offline gesäubert und mitgenommen. Der Zugriff auf die eigene SAP-Umgebung beim Provider ist sichergestellt und so kann die Projektausarbeitung weitergehen.

Systeme (Clients und Server) dürfen nur nach gründlicher Bereinigung wieder ans Netz. In welcher Reihenfolge wieder angefahren wird, bestimmt das IT-Team nach erbetener Vorgabe der Geschäftsführung, was die wichtigsten Prozesse und Funktionen für das Unternehmen sind.

Die Bereinigung wird in unterschiedlichen Abstufungen durchgeführt. So werden alle Client Systeme um ihre Festplatten erleichtert, es werden hunderte SSDs gekauft und mit einer einheitlichen neuen Betriebsumgebung inklusive Sophos Intercept X versehen. Einige Server werden ebenfalls neu aufgesetzt, andere werden offline mit mehreren AV Engines gesäubert und nach erneuten Offline Scans ohne Befund wieder hochgefahren. Wenn das dann installierte Intercept X auch noch ohne erneute Meldung bleibt, darf das System wieder ans Netz. Insbesondere die Active Directory Domain Controller werden neu erstellt, alle Kennwörter aller Konten werden zurückgesetzt, alle Konten mit erweiterten Berechtigungen werden deaktiviert und neu angelegt.

Forensik

In der Rückschau zeigt sich: Emotet war überall, der Dropper fand sich praktisch auf allen Systemen und hielt sich dort möglicherweise auch schon lange auf. Somit kann er auch in Backups enthalten sein, die daher auch kein einfacher Ausweg sind. Der Auslöser für den plötzlichen Ausbruch ist noch unbekannt. Jedoch nahm der Vorfall einen äußerst glimpflichen Verlauf dank der bereits implementierten Sicherheitsprodukte. Dennoch stand ein monatelanger Betriebsstillstand im Raum, um wieder sicher betriebsfähig zu werden. Dieses Szenario konnte durch ein angemessenes Vorgehen verhindert werden.

Fazit

Bei einem akuten Fall sind mehr als nur Theorien gefragt. Es ist strukturiertes, beherztes Handeln mit Umsicht gefragt, das entweder von langer Hand geplant und stetig aktualisiert vorliegen muss, auch ohne dass ein einziges internes IT-System läuft, und das von der eigenen Mannschaft im Schlaf umgesetzt werden kann. Oder es muss ein erfahrener Incident Responder eingesetzt und mit allen nötigen Kompetenzen ausgestattet werden, der dieses Handeln live und individuell erarbeitet und steuert.

Diese Rolle ist nicht zu verwechseln mit Forensikern, die in aller Ruhe analysieren, was eigentlich passiert ist, wenn „es“ vorbei und das Unternehmen wieder handlungsfähig ist. Auch nicht mit Network Architects, die  Sicherheitsmodelle und Zonenkonzepte nach BSI-Grundschutz planen, um solche Vorfälle nach Kräften zu verhindern. Ebenso kommt ein Penetration Tester zu diesem Zeitpunkt zu spät, der die umgesetzten Sicherheitskonzepte überprüft. Diese und weitere Rollen sind wichtig in Planung, Implementierung, Betrieb, damit es gar nicht erst soweit kommt. Oder damit wie in diesem Beispiel ein Angriff oder Ausbruch frühzeitig eingedämmt werden kann. Wenn es brennt, braucht man jedoch die Feuerwehr und keinen Brandschutzberater.

Incident Responder sind wenig bekannt, aber sie werden immer öfter gerufen und immer wichtiger. Die Einschläge nehmen zu. Auch wir arbeiteten als Berater und Architekten gerne frühzeitig dafür vor, dass sie nicht gebraucht werden, aber im Bedarfsfall müssen wir diese Funktion liefern und die Theorien überwinden.