Firma komplett lahmgelegt – 8 Server ohne Funktion – Unternehmen weder per Telefon noch Email oder Internet erreichbar
Der Sonntagskrimi
„Diese verdammten …. %§%“%@!!!!“
Donnerstagabend gegen 23 Uhr.
Eigentlich wollten wir ins Bett. Morgen war Freitag. Und danach freuten wir uns aufs Wochenende. Die Wetterfrösche hatten Sonne vorausgesagt. Man könnte über den Wochenmarkt bummeln, Wandern, Fahrradfahren, irgendwohin wo es schön war.
Doch jetzt saß der Mann da unten im Büro am Rechner und fluchte.
„Da hat doch schon wieder jemand die Passwörter geändert und keine Dokumentation geschrieben“, schimpfte er.
Fehlermeldung vom Backupsystem
„Was machst du?“, wollte ich wissen.
„Das Backupsystem von der Machjetztwas GmbH hat mir gerade eine Nachricht geschickt. Irgendwas scheint da nicht zu funktionieren…“, sprach mein mich liebender Ehegatte und wandte sich wieder seinem Bildschirm zu.
Er wollte noch „gschwind“ danach schauen.
„Gschwind“ das kannte ich. Das konnte dauern. Ich ging ins Bett.
Gegen 2 Uhr wurde ich geweckt.
„Wo hast du die Firmenschlüssel?“, fragte mein Gatte. „Ich muss die Systeme vor Ort zurücksetzen“, erklärte er.
„Rucksack“, murmelte ich verschlafen. „vorderes Fach“, drehte mich um und schlief weiter.
Am Morgen fand ich den Mann unten am Frühstückstisch. Telefonierend.
Ich hörte Wortfetzen wie „Kripo“, „Anzeige erstatten“, „Cybercrime“, „alle Systeme verschüsselt“, “ja wirklich alle!“
Betrieb steht still – Mitarbeiter müssen nach Hause geschickt werden
Martin telefonierte mit dem Inhaber der Machjetztwas GmbH und musste ihn darüber informieren, dass er seine 80 Mitarbeiter nun gleich wieder nach Hause schicken konnte, sobald sie zur Arbeit kamen.
Alle 8 Server waren außer Betrieb. Internet und Telefonanlage tot.
Die Ursache waren keine geänderten und nicht dokumentierten Passwörter.
Hier waren Profis am Werk, Erpresser, eine kriminelle Vereinigung mit durchweg fähigen und geschulten Fachleuten in allen Bereichen.
„Was der Typ da geleistet hat, ist unvorstellbar“, sagte mein Göttergatte anerkennend. „Den würde ich sofort einstellen.“
Ich nicht. Fachlich mochte er hervorragend sein, doch menschlich hatte er gewisse Schwächen.
Martin hatte die Telefonanlage der Machjetztwas GmbH am Donnerstag upgedated. So etwas machte er meist spätabends, weil dann im betroffenen Unternehmen niemand gestört wurde.
Anmeldung nicht möglich
Während er da saß und den Fortschrittsbalken des Updates beobachtete, kam die Meldung „Datensicherung gestört“.
Er wollte danach sehen, konnte sich aber mit seinen Zugangsdaten nicht anmelden. Über das Wartungsportal war es zunächst trotzdem möglich, sich auf das System aufschalten.
Doch dann meldete sich eine Maschine nach der anderen einfach ab.
Beim Neustart über die Konsole war dann sofort wieder alles aus: das Passwort passte nicht.
Ob da Wartungsarbeiten am Internet stattfanden?, überlegte Martin. Da hatte es doch vor kurzem eine Meldung vom Provider gegeben…
Aber Firewall, Telefon und Drucker waren noch erreichbar. Das konnte es also nicht sein.
Dann waren auch diese Geräte weg.
Damit die Mitarbeiter der Machjetztwas GmbH am nächsten Tag arbeiten konnten, sah Martin nur noch eine Möglichkeit: sich ins Auto setzen, sich vor Ort in die Systeme einwählen und richten, was zu richten war.
Erpresserbrief per readme.txt-Datei
Doch kaum hatte er im Serverraum den Monitor eingeschaltet, erschien im Display: „No Hypervisor found. Press any key to continue“.
Die Hardware war in Ordnung. Alle Lichter blinkten grün.
Nach einer Stunde lief die virtuelle Maschine wieder. Doch alle Systeme waren verschüsselt.
Der Erpresser meldete sich in einer readme.txt-Datei zu Wort, die inmitten des Datenchaos auf dem Monitor angezeigt wurde zu Wort.
„Guten Tag“, stand da. Und
„Wir haben 50 GB Ihrer sensiblen Daten zu uns übertragen und alle Systeme verschlüsselt. Sie können Sich über eine gesicherte Leitung in unser System einloggen, um weitere Anweisungen zu erhalten.“, lautete der Text.
Datensicherungssysteme auf Werkseinstellung –neues Passwort alle 10 Sekunden überschrieben
Martin versuchte zunächst, ein System nach dem anderen über die Datensicherungen wiederherzustellen. Doch alle waren auf die Werkseinstellung zurückgesetzt worden. Die Festplatten waren mit einem unbekannten Passwort gesichert.
Jedes Passwort, das Martin versuchte, neu zu vergeben wurde, war nach 10 Sekunden wieder überschrieben worden.
Inzwischen hatte Martin die Datensicherungslaufwerke ausgebaut und mit neuen Betriebssystemen versehen – kein Zugriff möglich.
Der Logbucheintrag meldete: „die Festplatte wurde formatiert.“
Inzwischen war das komplette ms-computer-Team informiert und ebenfalls zur Stelle. Die Informatiker setzen ein Hilfssystem auf, mit dem zumindest Telefonieren und der Zugang ins Internet wieder möglich waren.
Hilfssystem aufgesetzt
Ein Mitarbeiter der Machjetztwas GmbH versuchte, sich unterstützt von Martin mit dem Hacker in Verbindung zu setzen. Geschlagene drei Stunden hatte es gedauert, bis der schließlich tatsächlich zur Kommunikation bereit war. Die Kosten, die er aufrief, waren in einer Höhe, die nicht ohne weiteres zu beschaffen war. Jeden Gegenvorschlag tat er mit der Drohung, er würde alle aus der Machjetztwas GmbH abgezogenen sensiblen Daten weitergeben, als „lächerlich“ ab.
Gab es andere Möglichkeiten?
War vielleicht noch eine externe Datensicherung bei einem Partnerunternehmen der Machjetztwas GmbH vorhanden, die man verwenden konnte?
Konnten die Daten von einem seriösen Unternehmen entschlüsselt werden?
„Wir sind keine Terroristen“
Eine Hamburger Firma bot an, zu versuchen, die Daten für 150.000 bis 200.000 € wiederherzustellen.
Eine stolze Summe. „Aber wir sind wenigstens keine Terroristen“, erklärte der Mitarbeiter dort lächelnd.
Inzwischen hatten wir die von unserem Datenwiederherstellungspartner DataRecovery aus Leipzig die Information erhalten, dass sie die Daten möglicherweise wiederherstellen könnten und haben die Festplatten mit den Datensicherungen per Kurierdienst nach Leipzig geschickt.
„Wenn Sie nicht auf unsere Bedingungen eingehen, geben wir die sensiblen Daten Ihrer Firma weiter“, hatte der Erpresser noch während der Preisverhandlungen erklärt.
Datenschutzvorfall gemeldet – für eine Weitergabe von sensiblen Daten müssen sich die Hacker nun selbst verantworten
Damit konnte er uns allerdings nicht wirklich drohen. Die Machjetztwas GmbH hatte den Datenschutzvorfall längst bei der Landesaufsichtsbehörde gemeldet. Sollte der Erpresser die Daten nun weitergeben, würde er selbst dafür geradestehen müssen, da bei den Landesbehörden bekannt war, dass er sich die Daten auf unrechtmäßige Weise angeeignet hatte.
Das LKA Stuttgart bearbeitet den Fall inzwischen ebenfalls. Das Kripo-Team stand uns während der ganzen Zeit zur Seite standen und hat uns darüber beraten, was man tun kann und wie es weitergeht.
LKA unterstützt und berät
Normalerweise sei die Wahrscheinlichkeit, die Daten zu entschlüsseln, eher gering, hatte der Kripobeamte uns zunächst wenig Mut gemacht, noch irgendetwas richten zu können. Conti strain, so der Name des „Hackingunternehmens“, sei allerdings ein echtes Geschäftsmodell. Hier gebe es meist auch tatsächlich Ware für Bezahlung, hatte er erklärt.
An diesem Wochenende haben wir begonnen, die Systeme neu aufzusetzen. Auch die Betreuerfirma der Auftragsbearbeitung steht am Samstag und Sonntag bereit, um der Machjetztwas GmbH am Montag wieder eine Plattform bereitstellen zu können, mit der der Betrieb erstmal weitergehen kann.
In den letzten zwei Wochen habe es bei dem ERP-Systemhersteller 15 solcher Fälle gegeben, bei denen Systeme ihrer Kunden lahmgelegt wurden.
Systeme überprüfen, Zugänge neu verschlüsseln und Passwörter ändern!
Der ERP-Systembetreuer hat das jetzt zum Anlass genommen, seine eigenen Systeme komplett zu überprüfen, Zugänge neu zu verschlüsseln und alle Passwörter zu ändern.
Wir auch.
Wir empfehlen allen unseren Kunden, das auch zu tun. Wir unterstützen Sie gern dabei.
Ein geruhsames Restwochenende
wünscht
Regina Störk,
die nun das Happy-End abwartet und nun doch das schöne Wetter ausnutzen geht
—- Fortsetzung folgt —
Es grüßen Regina, Martin, Sammy und das Team der ms computer GmbH