«Absolute Sicherheit gibt es im Cyber-Bereich einfach nicht»

«Absolute Sicherheit gibt es im Cyber-Bereich einfach nicht»

4. April 2020 - Einer der grössten und folgenschwersten Cyber-Angriffe der Schweizer Wirtschaft betraf im Sommer 2019 das Haustechnik-Unternehmen Meier Tobler. Der CIO des Unternehmens schildert den Fall, die Learnings und zieht Parallelen zur heutigen Corona-Krise.
Artikel erschienen in IT Magazine 2020/04

Schnelle Reaktion ist die halbe Miete

Als einer der zwei externen IT-Dienstleister von Meier Tobler das Unternehmen im Juli 2019 nachts um 2.00 Uhr über den Breach informiert, reagiert das Unternehmen schnell: Die ­Stecker werden gezogen, alle Systeme sofort heruntergefahren und man beginnt kurz darauf damit, die Kunden über die eigene Handlungsunfähigkeit zu informieren. Ein Krisenstab wird einberufen, ein War Room eingerichtet, der damalige CIO aus den Ferien zurückgeholt. Nur einige Stunden später engagiert Meier Tobler einen externen Cyber-Defense-Spezialisten, der das Krisen-­Management begleiten soll. Die Wiederherstellungsarbeiten beginnen sofort. Auch informiert man die Meldestelle Melani, schaltet die Justiz ein und entscheidet, die Lösegeld­forderung der Angreifer nicht zu bezahlen.

Bereits einen Tag später läuft der Betrieb der SAP-Instanz auf Citrix und die Telefonie ist wiederhergestellt, noch einen Tag später gehen die ersten 20 Arbeitsplätze ans Netz, Kunden­anfragen können damit erstmals wieder bearbeitet werden.
Über die folgenden Wochen und Monate gehen auch die über die Schweiz verstreuten Arbeitsplätze, Lager und Filialen (Marchés) endlich wieder in den geregelten Betrieb über. Der Angriff ist zwar überstanden, aber die Aufräumarbeiten dauern bis heute noch an.

«Das alles war schlimm. Das gönne ich nicht einmal meinem ärgsten Widersacher», so Claude Urbani rückblickend zum ­Breach, der Millionenschäden verursachte.

Korrekte Schutzmassnahmen und etwas Glück

«Die Leute waren komplett am Anschlag», erinnert sich der CIO. Die IT-Fachkräfte arbeiteten Tag und Nacht, seit Wochen. Als Urbani im September 2019 um Hilfe angefragt wurde und das Steuer der internen IT-Abteilung übernahm, war die Situation noch immer äusserst schwierig.

«Dass wir unsere Umgebung in dieser Form retten konnten, war eine Mischung aus guter Vorbereitung, der korrekten initialen Reaktion und letztlich wohl auch etwas Glück im Unglück», so Claude Urbani. «Die Hacker versuchten, maximalen Schaden anzurichten. Das ist auf den Datenbanken des ERP-Systems nicht einfach, daher werden erst einmal alle verfügbaren Windows-Systeme wie Active Directory oder Shares eher infiziert. Und das gelang den Angreifern ja auch.» Unabhängig vom Befall und der Verbreitung einer Malware sei es aber natürlich zentral, dass von der Umgebung abgesonderte Backups existieren. Diese Vorbereitungen hatte das Unternehmen glücklicherweise getroffen. «Ausserdem haben wir eben wirklich gut reagiert», erklärt Urbani weiter. «Im Anschluss haben wir jedes System einzeln in der Isolation geprüft. Das ist essenziell – sonst hat man möglicherweise gleich einen weiteren Schaden.»

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER