Ende gut – alles gut. Alles gut?
Vor einer Woche hatte ein Hackerteam mit einem Erpressungstrojaner alle Systeme der Machjetztwas GmbH lahmgelegt. Telefon und Internet waren ebenfalls betroffen. Der Betrieb stand weitestgehend still.
Ein Wettlauf mit der Zeit
Donnerstagabend, 19.50 Uhr. Die Frist, die der Erpresser uns gegeben hatte, würde in den nächsten Stunden ablaufen. Ein Wettlauf mit der Zeit.
„Ich bleib erstmal hier“, kam die Nachricht des Lieblingsehemanns, „wir installieren die ERP-Programme auf den neuen Systemen.“ Die wichtigsten Anwendungen, über die Geschäfts- und Betriebsdaten zentral in einer Datenbank gespeichert werden, sind in diesem System integriert. Das ERP-System ist das Herzstück des Unternehmens.
Das Geschäftsleiterteam der Machjetztwas GmbH saß im Konferenzraum und beobachtete die Monitore. Angespannt warteten alle darauf, dass irgendetwas passierte. Auf die Nachricht, dass die Bitcoin-Überweisung erfolgreich sein würde, dass der Erpresser sich meldete.
Für das Team in den Büros der Machjetztwas GmbH würde es ein langer Arbeitstag werden.
Ich briet mir ein paar Maultaschen mit Zwiebeln, Pilzen und Paprika und stellte mich darauf ein, den Abend allein zu verbringen.
Gegen 23 Uhr ging ich ins Bett. Der Platz neben mir war leer.
„Die Systeme sind entschlüsselt“
Um 3:09 Uhr piepte mein Handy: „Systeme entschlüsselt“, stand da in einer Textnachricht.
Geschafft!
Gegen 4 Uhr hörte ich den Gatten die Treppe zum Schlafzimmer heraufkommen. Um 6 Uhr war er wieder weg.
Als ich um 8 Uhr ins Büro kam, war die Atmosphäre anders als sonst, doch von Entspannung war noch nichts zu spüren. Alle sahen müde aus.
„Die Systeme sind entschlüsselt“, erklärte Martin, als wir uns um 9 Uhr zur Besprechung trafen. Er gab einen kurzen Abriss darüber, was in der vergangenen Nacht geschehen war. Es war still im Raum. Das Team hörte aufmerksam zu. Man hätte eine Stecknadel fallen hören können.
„Die Machjetztwas GmbH kann wieder auf ihre Daten zugreifen. Der Vormittag wird das Arbeiten dort sicherlich noch etwas holprig sein. In den nächsten Stunden werden wir zunächst jeden einzelnen Arbeitsplatz überprüfen, einrichten und mit dem neuen System verbinden. Achtet darauf: Jede IP-Adresse ist zu ändern. Keine Mitarbeiter dort darf auf das alte System zugreifen können.“
Ab Mittag sollten schließlich die Kabel neu verlegt und die Peripherie-Geräte wie Drucker und Co angeschlossen werden.
Das Team war bereit. Jeder wusste, was er zu tun hatte und tat, was nötig war. Die Arbeit lief Hand in Hand. Ruhig.
Eine Woche im Ausnahmezustand
Die ganze Woche schon hatte sich das Team der ms computer GmbH im Ausnahmezustand befunden. Alltag war anders. Nichts lief wie gewohnt. Wenn ich morgens zur Arbeit kam, war in allen Büros gähnende Leere. Außer im Verwaltungsbüro. Meine Kollegin war da.
Die täglichen Besprechungen um 9 Uhr fanden nicht statt. Es war niemand da, mit dem man sich hätte besprechen können.
Täglich wurde ein Team zusammengestellt, das sich ausschließlich mit den IT-Systeme der Machjetztwas GmbH beschäftigte. Dieser Teil des Teams hatte auch über die regelmäßige Arbeitszeit hinaus Bereitschaft. Die übrigen Mitarbeiter kümmerten sich um das Tagesgeschäft. Schließlich konnte es ja nicht sein, dass der Erpresser außer der Machjetztwas GmbH auch unseren Betrieb lahmlegte und wir unsere Kunden, die ebenfalls unsere Unterstützung brauchten, im Regen stehen ließen.
Alle Versuche, die Daten zu entschlüsseln, machten von Anfang an Probleme. Die Übertragung auf eine externe Platte für unseren Datenwiederherstellungspartner in Leipzig sollte drei Stunden dauern. Wir bestellten den Kurier, der sie dorthin bringen wollte, entsprechend. Der war pünktlich. Die Daten nicht. Nach drei Stunden zählte das System lediglich die voraussichtliche Übertragungsdauer weiter hoch. Sie lag bei 14 Stunden, als der Kurier eintraf. Er musste später wiederkommen.
Datenrettung zu 99 % möglich – benötigte Zeit: 2 Monate – noch 4 Tage bis zum Ablauf des Erpresserultimatums
Die Diagnose dauerte zwei Tage. Montag kam schließlich die Nachricht aus Leipzig: Die Server konnten bis auf die Metadaten zu 99% wiederhergestellt werden. Das würde zehn Tage dauern. Die Datensicherungen waren mehrfach überschrieben und dadurch unbrauchbar gemacht worden. Aber auch hier sah das Leipziger Datenrettungsteam eine Chance. Allerdings würde das etwa 2 Monate in Anspruch nehmen.
Eine Möglichkeit von 99 % für die Wiederherstellung der Serverdaten klang vielversprechend. Doch was, wenn nicht jedes Bit einwandfrei funktionierte? Würden die virtuellen Maschinen mit 99% der Daten und ohne Metadaten tatsächlich wieder laufen?
Zehn Tage zu Wiederherstellung der Backups. Der Erpresser hatte uns eine Siebentagefrist gesetzt. Danach wollte er alle Daten der Machjetztwas GmbH veröffentlichen.
Täglich, wenn wir die Service-Seite des Erpesserportals öffneten, poppte als erstes der Hinweis auf „Noch 6 Tage…“, „noch 5 Tage …“ Am Montag waren es noch 4 Tage bis zum Ablauf der Frist.
Wozu ist ein Erpresser fähig, dessen Forderung nicht erfüllt wird? – Wir zahlen!
Die Frage, die uns außerdem umtrieb: Wozu ist jemand fähig, der eine derartige kriminelle Energie besitzt, um diese Art groß angelegter Erpressungen zu betreiben? Was würde so jemand tun, wenn wir weiterarbeiten konnten, ohne seine Forderung erfüllt zu haben? Hatte er sich für diesen Fall Hintertüren geschaffen, über die er dann später nochmal zuschlagen konnte, dann aber ohne eine Möglichkeit je wieder irgendetwas in Ordnung zu bringen?
„Wir zahlen“, entschied die Geschäftsleitung als am Dienstagmorgen im Erpresserportal der Hinweis erschien: „Nur noch 3 Tage…“
Donnerstagabend um 24 Uhr würde die Frist ablaufen.
Die nächste Hürde: Wie kam man an Bitcoins über einen sechsstelligen Betrag in der geforderten Höhe?
Bitcoins in der geforderten Höhe und das BaFin
Beim ersten Versuch, Bitcoins zu kaufen, wurden sämtliche Konten umgehend vom BaFin – der Bundesaufsicht für Finanzdienstleistungen – gesperrt. Wegen Geldwäscheverdacht, hieß es. Doch man konnte mit der Behörde reden. Nach Vorlegen des Aktenzeichens beim Landeskriminalamt wurden die Konten zunächst wieder freigegeben.
Die Nachfrage bei der Kripo, was man denn nun tun könne, um die Forderungen des Erpressers zu erfüllen, brachte keine Lösung. „Sagen Sie Ihrem Bankberater doch, dass Sie erpresst werden“, riet der Polizeibeamte.
Die Geschäftsleitung der Machjetztwas GmbH befolgte den Rat. Doch bei dem Begriff „Erpressung“ hatten bei der Bank sofort alle Alarmglocken geklingelt. Alle Konten wurden umgehend wieder gesperrt. Bitcoins gab es nicht. Diesmal waren es dann nicht nur die Geschäftskonten, sondern auch die privaten Konten der Geschäftsführer.
Konten gesperrt
Um die Konten wieder frei zu bekommen, mussten die Angehörigen der Geschäftsleitung schließlich ihre kompletten finanziellen Verhältnisse mit den entsprechenden Unterlagen offenlegen und Punkt für Punkt dokumentieren, wo das Geld herkam, wie es dort hingekommen war und was wofür es verwendet werden sollte.
Inzwischen wissen wir: Nach einer Verordnung der BaFin sind virtuelle Währungen nur in begrenzter Höhe erlaubt. Aktuell liegt die Grenze bei maximal 50.000 $ pro Wallet.
Die Machjetztwas GmbH eröffnete entsprechend viele Konten zu je 50.000 €, mit denen Sie die geforderte Summe schließlich in Bitcoins zur Verfügung hatte.
„Das Geld ist überwiesen“
„Das Geld ist überwiesen.“ Der Einkaufsleiter, der die kaufmännischen Verhandlungen mit dem Erpresserteam geführt hatte, atmete auf.
Inzwischen war es Donnerstag, 21 Uhr. Drei Stunden vor Ablauf der Frist des Erpressers.
Um 3 Uhr endlich dann die Nachricht auf dessen Portal: „Hier sind die Dekrypt-Dateien für Windows und Linux.“ In der Anlage befanden sich zwei Dateien – mit Berechtigungsfehlern.
Nachdem die Berechtigungen angepasst worden waren, dauerte es ganze 5 Minuten. Dann waren alle Server sowie alle Backupdateien entschlüsselt.
Ende gut – alles gut?
Vielleicht.
„Wenn wir Angst haben, raschelt es überall“ (Sophokles)
Immer wieder hört man, dass Menschen, in deren Wohnungen eingebrochen wurde, sich zu Hause nicht mehr sicher fühlten. Der Gedanke daran, wer es einmal geschafft hatte, sich Zutritt in die Wohnung zu verschaffen, schafft es vielleicht auch ein zweites Mal, lässt sie nicht mehr los.
Nach einem überstandenen Einbruch in die Serversysteme scheint es nicht anders zu sein.
Wir hören es überall „rascheln“.
Bei jeder Meldung „Zugriff verweigert“ oder „Passwort falsch“ aufgrund eines Tippfehlers denken wir an Schadsoftware. Und es fallen uns tonnenweise Steine vom Herzen, wenn der zweite Versuch mit Eingabe des richtigen Passworts dann wieder funktioniert.
Wer sagt denn, dass tatsächlich alle Schadcodes entfernt wurden? Hat der Erpresser vielleicht doch noch irgendwo Spuren hinterlassen? Einen Code, der irgendwann, zu einer Zeit, wenn niemand mehr damit rechnet, zuschlägt? Hat er sich eine Hintertür offengehalten? Wenn es doch einmal geklappt hat, er doch einmal sein Ziel erreicht, Geld bekommen hat, könnte es nicht auch ein zweites Mal gelingen?
Das neue System: ein Hochsicherheitstrakt
Die Systeme der Machjetztwas GmbH gleichen inzwischen einem Hochsicherheitstrakt. Neue Systeme sind aufgebaut, Programme neu installiert worden. Vollständig getrennt vom alten nun wieder entschlüsselten System, geschützt von einem Firewallsystem, das höchstmögliche Sicherheit bietet. Daten werden extrahiert und in ein Format gebracht, mit dem keine Schadcodes übertragen werden können. Ein sogenannter Honey-Pot ist eingerichtet worden, der potenzielle Hacker auf eine falsche Fährte locken soll.
Mit der Zahlung des Lösegelds sollte ein Sicherheitsprotokoll mit Eingriffsvektoren ebenfalls übertragen werden, mit dem wir nachvollziehen können sollten, über welchen Weg der Erpresser sich Zugang zu den Systemen verschafft hat und wie es ihm gelungen ist, den ganzen Betrieb komplett lahmzulegen.
Bisher haben wir nichts erhalten.
Bleiben Sie aufmerksam.
Damit der Schaden sich in Grenzen hält.
Wir tun es auch.
Einen guten Wochenstart wünschen
Regina Störk mit Sammy und dem Team der ms computer GmbH
