logo-mount10
Beratung vereinbaren

Lernen wir aus Fehlern.

Aber am besten nicht aus den eigenen.

März, 2020, Quelle: brand eins, Ausgabe 03/2020: Lehrreiche Attacke, Text: Stefan Scheytt

Warum braucht es MOUNT10? Leistet meine IT nicht hervorragende Arbeit?

Mit diesen Fragen sehen wir uns sehr regelmäßig konfrontiert. Aber nichts macht die Notwendigkeit eines Datenverteidigungskonzeptes und einer lückenlosen Rückversicherung so spürbar und nachvollziehbar wie veranschaulichende Beispiele aus der Praxis. Und in der März-Ausgabe des Magazins brand eins konnten Leser ein Lehrstück finden, wie es im Buche steht und so tagtäglich dutzenden Unternehmen passiert:

Ein Familienunternehmen, spezialisiert auf elektronische Steuerungstechnik sowie auf Sicherheitssysteme für Maschinen und wohl am bekanntesten für den knallroten Notfall-Ausschalt-Knopf, der weltweit die Sicherheit von zig Millionen Maschinen, Fließbändern und Förderanlagen garantieren soll, wurde Opfer einer Cyber-Attacke, die alles veränderte.

Die Stunde null: Das Unternehmen in der Nähe von Stuttgart, jährlicher Umsatz bis dato ca. 345 Mio. Euro, erlebte im Oktober 2019 einen Schlag, den jeder Betrieb ganz oben auf der Liste der Horrorszenarien führt – einen Cyber-Angriff mit vernichtenden Folgen. Alle Server und Kommunikationssysteme der Firma wurden mit dem Virus einer Erpressungssoftware infiziert. Ein ganz klassisches Beispiel. Mit einem Klick war alles tot, weder das Telefon noch das Senden von E-Mails funktionierte mehr. 2.500 Mitarbeiter konnten plötzlich nicht mehr auf Firmendaten zugreifen. Das Unternehmen hat weltweit 42 Tochtergesellschaften, die nun alle lahmgelegt waren. Der Sicherheitsschwerpunkt der Firma wirkte plötzlich wie bittere Ironie.

Was eine solche Attacke für ein Unternehmen, gerade mit technischem Schwerpunkt, bedeutet, lässt sich nicht drastisch genug schildern. Patente, Blaupausen, technische Zeichnungen, Adressen, Kundenkontakte, Buchhaltung, Teilelisten, Gutachten und Zertifikate, Gehaltszettel, und, und, und … alles futsch. Der Grund dafür? Keine Industriespionage, kein Angriff einer feindlichen Nation oder der Racheakt eines ehemaligen Angestellten – obwohl all das möglich ist. Nein, es war schlicht und einfach Erpressung. Die Daten wurden so lange als „Geisel“ gehalten (daher der engl. Begriff „Ransomware“, ransom = Lösegeld), bis ein bestimmter Betrag in Form von Bitcoins bezahlt wurde. Der betroffene Firmenbesitzer fand eine treffende Metapher und sprach von einem „Großbrand“, dessen verheerende Auswirkungen erst sichtbar werden, wenn sich der Rauch lichtet und alles vor einem in Trümmern liegt. Das Trümmerfeld war massiv und der Unternehmer kann sich glücklicher schätzen als viele andere, denn zumindest konnte sich seine Firma nach 3 langen Monaten völligen Stillstandes langsam wieder aus der Asche erheben. Monatelang konnte man nicht einmal telefonieren, sogar die schweren Zugangstore des Betriebes mussten von Hand geschoben werden. Noch heute, ein halbes Jahr später, gleichen Bereiche im Haus einem Tatort mit Absperrbändern, Zutrittsverboten und Sachverständigen, die Rechner auf Spuren scannen. Tausende dieser Rechner aus aller Welt mussten neu aufgesetzt werden. Monate im Blindflug mit Millionen an Verlusten.

Zwischenzeitlich musste die Firma rein „old school“ funktionieren, mit Aktenordnern, Stift und Papier. Sie hat sich – vor allem psychologisch – noch immer nicht von dem Schock erholt und wandte sich ein großes Stück weit von der Digitalisierung ab. Man vertraut dort keiner Team-Software und keinem Workspace-Tool mehr, sondern organisiert sich verstärkt über schwarze Bretter und tauscht Daten wieder vermehrt physisch, in ausgedruckter Form aus. Aber sind das die Schlüsse, die man aus einer solchen Katastrophe ziehen sollte? Zumindest sieht der Unternehmer die Lösung nicht bloß in einer Verstärkung der Firewall, wenn er Bilanz zieht:

„Weil aber irgendjemand irgendwann mit der richtigen Leiter auch über diese Schutzmauer steigen kann, gilt es jetzt, die Auswirkungen eines möglichen neuen Angriffs durch eine komplexere und kleinteiligere Netzarchitektur zu minimieren. Dann wären nur ein paar Rechner betroffen, es gäbe nur ein lokales Feuer statt eines Flächenbrands. Auch ist geplant, die Mitarbeiter noch intensiver hinsichtlich der Abwehr äußerer Bedrohungen zu schulen.“

Der Titel des Beitrages im brand eins lautet „Lehrreiche Attacke“ – wir von MOUNT10 würden darauf aber nicht unser Unternehmen verwetten. Der betroffene Firmenbesitzer sucht die Lösung weiterhin inhouse und rüstet sich für neue Attacken lediglich durch eine zukunftsverweigernde Abkehr vom Digitalen und eine bloße Minimierung des möglichen Impacts. Er rüstet sich aber nicht gegen den Datenverlust an sich. Es braucht vielmehr eine externe, treuhänderische Sicherheitsinstanz wie MOUNT10, die ihn zukünftig kompromisslos vor Datenverlust, Datenmanipulation und dem womöglich finalen Vernichtungsschlag schützt. Sein Unternehmen hat eine zweite Chance bekommen. Er sollte diese verantwortungsvoll nutzen.