InfoGuard Cyber Security & Cyber Defence Blog

Ein Geschenk, das Sie nicht mal Ihrem grössten Feind wünschen [Teil 3]

Geschrieben von Michelle Gehri | 17. Dez 2019

Schon sind wir beim dritten Teil unserer Advents-Story angelangt. Die Zeit rennt – nicht nur bis Weihnachten, sondern auch bei der E-Trade AG. Am Ende des zweiten Teils sind wir stehen geblieben, als das das InfoGuard CSIRT ausrückte und wortwörtlich den Stecker zog. Ran an die Arbeit im Kampf gegen Ryuk!

 

Samstag, 7. Dezember

09:50 Uhr: Das InfoGuard CSIRT hat Neuigkeiten und unterrichtet gemeinsam mit Grunder, dem IT-Leiter der E-Trade AG, das Team über den aktuellen Status. Ohne auf die technischen Details einzugehen: Es sieht noch immer nicht gut aus; nur wenige Systeme sind noch vorhanden resp. darauf zugreifbar. Der Online-Shop ist ebenfalls betroffen. Aber sie haben Glück im Unglück, denn das Programm für die Verwaltung der Bestellungen funktioniert noch.

Trotzdem hat Ryuk die E-Trade AG fest im Griff. Wie weiter? Nochmals werden alle Optionen besprochen: a) bezahlen oder b), alle Systeme neu aufbauen (was Wochen dauern würde – der Tod für jeden Online-Händler). Fürst kann sich weder für das eine noch das andere entscheiden, und auch die anderen Beteiligten können sich mit den vorhandenen Optionen nicht abfinden.

Kurzum wird beschlossen, weiterzukämpfen und den Betrieb so gut wie möglich wiederaufzunehmen, da immerhin das Bestellsystem noch funktioniert. Es werden Laptops organisiert, eingerichtet und mittels der improvisierten E-Mail-Adresse mit den Kunden und Lieferanten kommuniziert. Aber nicht, dass Sie jetzt denken, Fürst, Grunder und die anderen Beteiligten seien beruhigt. Noch immer ist der Raum erfüllt von Angst, Verzweiflung und Wut. Sehr viel Wut. Das Gute daran? Wut erzeugt Adrenalin und treibt an, Wut lähmt aber auch die Verzweiflung – und die wäre nun wirklich nicht hilfreich. 

Sonntag, 8. Dezember

09:30 Uhr: Ein kleiner Hoffnungsschimmer – das InfoGuard CSIRT hat einen Fehler des Angreifers bei der Verschlüsselung entdeckt. Könnte dies die ersehnte Kehrtwende einläuten? Die Experten schaffen es, ein Backup wiederherzustellen, das nicht sauber verschlüsselt wurde. Plan c) ist geboren!
13:30 Uhr: Voller Hoffnung und Elan werden das weitere Vorgehen und die Zuständigkeiten definiert, wozu auch mehrere Mitarbeitende zum Anpacken aufgeboten werden. Fürst ist froh, auf seine loyalen Mitarbeitenden zählen zu können, die umgehend im Büro erscheinen.

Der Einkauf kümmert sich darum, das noch funktionierende Bestellsystem auf den neusten Stand zu bringen und einzupflegen, das Marketing stellt in Absprache mit dem Krisenstab die Kommunikation der Web-Updates sicher, bereitet sich auf allfällige Medienanfragen vor und kümmert sich um das leibliche Wohl des IT-Teams. Auch das HR und die Finanzabteilung unterstützen jetzt die IT-Abteilung. An Arbeit mangelt es jedenfalls nicht.

22:00 Uhr: Der kurzfristig neu aufgestellte Plan funktioniert wie am Schnürchen und noch bis spät abends sind alle Teams tatkräftig am Arbeiten. Aber da gibt es ein neues Problem: Was den restlichen Mitarbeitenden sagen, die am Montag früh zur Arbeit kommen? Und wie, was und womit sollen diese arbeiten?

Montag, 9. Dezember

08:00 Uhr: Noch am Sonntagabend wurden alle Mitarbeitenden kontaktiert und gebeten, sich vor Arbeitsbeginn in der Kantine zu versammeln. Es gab zwar Grund zur Hoffnung, aber man war noch weit davon entfernt, in Weihnachtsstimmung zu kommen. Fürst und Grunder informieren nun alle über den Vorfall – und zwar ehrlich, transparent und klar verständlich. Denn Fürst ist sich bewusst, dass die interne Kommunikation gerade in einer Krise das A und O ist. Zudem ist es wichtig, den Mitarbeitenden eine Aufgabe zu erteilen, damit sie nicht in Frust, Wut oder Angst versinken. Dafür sorgen, wie schon am Vortag, die Abteilungsleiter. So ist es zum Beispiel Aufgabe der Administration, alle Kunden via Telefon zu kontaktieren – und zwar alle.

13:30 Uhr: Dass das Glück nicht konstant anhält, war schon zu vermuten. Es gibt neue Probleme, aber immerhin «nur» mit der Infrastruktur, auf der aktuell gearbeitet wird. Improvisieren ist inzwischen zum Glück kein Problem mehr. Die Mitarbeitenden arbeiten mit ihren privaten Laptops weiter, Internet gibt’s via Handy-Hotspot.

Dienstag, 10. Dezember

09:20 Uhr: Soweit so gut. Alle Teams arbeiten noch immer auf Hochtouren und das CSIRT der InfoGuard sowie die IT-Mitarbeitenden der E-Trade AG schaffen es, die Systeme sowie den Online-Shop nach und nach wiederaufzubauen. Dadurch sind Einkauf und Bestellungen ohne grössere Einschränkungen möglich und das Jahresendgeschäft kann trotzdem abgewickelt werden. Eine noch vor kurzem dem Tod geweihte Firma ist wiederauferstanden. Oder ist es noch zu früh, um sich zu freuen?

11:00 Uhr: Schon wieder kommt Hektik auf. Das Bewirtschaftungssystem funktioniert nicht mehr! Noch ein Virus? Kurze Zeit später gibt das IT-Team Entwarnung: Nur eine technische Panne, die einfach behoben werden kann. Was im Normalfall für nicht mehr als Unmut gesorgt hätte, ruft inzwischen dicke Schweissperlen hervor. Die Nerven liegen blank…

14:10 Uhr: Bei den Mitarbeitenden ist der erste Schreck vorbei und weicht offenen Fragen und Sorgen. Müssen wir um unsere Arbeitsplätze bangen? Bekommen wir überhaupt Lohn? Und auch geschäftlich gibt es einiges zu klären. Sollen oder müssen wir die Banken und Versicherer informieren? Könnten auch unsere Partner infiltriert sein? Alle Fragen der Belegschaft werden säuberlich auf einem Flipchart aufgelistet und abgearbeitet, sobald es die Nerven zulassen.

Security Incident – darum brauchen auch Sie einen verlässlichen Partner

Sie merken vermutlich: In so einer hektischen Situation ist ein verlässlicher, erfahrener Partner unerlässlich. Einerseits fehlt es intern meist an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Andererseits gibt es genügend andere Aufgaben, um die Sie sich kümmern müssen – vermutlich noch viel mehr, als im geschilderten Fall. Aber solange Sie nicht betroffen sind, müssen Sie sich schliesslich keine Gedanken darum machen. Falsch!

Auch noch so gute Sicherheitsvorkehrungen können ein Unternehmen heutzutage nicht vor Cyberattacken schützen. Daher sollten Sie in der Lage sein, bei einem Vorfall schnell, professionell und geplant handeln zu können. Nur, wie? Unser Incident Response Retainer ist hier die optimale und effektivste Lösung! In unserem gemeinsamen Onboarding Workshop bereiten wir Sie auf den Ernstfall vor. Und wenn es dann so weit kommen sollte, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:

Den letzten Teil unserer Advents-Story über die Cyberattacke Ryuk und die E-Trade AG gibt’s übrigens bereits am Freitag, 20. Dezember – also nicht verpassen!