Ein ganz normaler Montag – [2]

Dies ist der zweite Teil der Geschichte über den IT-Admin Frank, dessen Karriere an diesem Montag eine ganz neue Richtung zu nehmen scheint. Ein Erpressungstrojaner hat sich im Netzwerk seines Unternehmens breitgemacht und zur Abschaltung der gesamten IT geführt. Wer möchte, kann hier den Teil 1 nachlesen.

Gegen 14:06 kommt Frank mit seinen beiden anderen IT-Kollegen zusammen, um die nächsten Schritte zu besprechen. Man ist sich schnell einig, dass die Priorität auf der Wiederherstellung eines wie auch immer gearteten Notbetriebs liegen muss. Schließlich stehen alle Produktionsprozesse und auch die Kommunikation mit den Kunden funktioniert seit über einer Stunde nicht mehr. Ein wesentliches Alleinstellungsmerkmal der Firma ist die schnelle und flexible Herstellung von kleinen Mengen stark individualisierter Produkte bei minimalen Lieferzeiten. Gut funktionierende IT-Prozesse sind da das Fundament. Die Kunden bestellen die Produkte meist über den Online-Shop und erwarten eine Lieferung bereits am nächsten Arbeitstag.

„Wir haben den Internetzugang noch gar nicht abgeklemmt!“, schießt es Frank augenblicklich durch den Kopf. Er springt auf, lässt seine Kollegen mit einem verdatterten Gesichtsausdruck zurück, läuft in den Serverraum und zieht die Kabel an den beiden Firewalls. „Alles Offline! Puh!“

Die nächsten Fragen jagen in wilder Folge durch Franks Kopf. In welchen Schritten geht man nun weiter vor? Welchen Server startet man als nächstes? Was ist mit den Backups? „Hoffentlich sind die Backups noch ok!?“ Frank ist mehr als beunruhigt. Offensichtlich war es dem Trojaner im Laufe des Vormittags gelungen, eine große Zahl von Daten zu verschlüsseln, für die nun ein utopisches Lösegeld verlangt wird. Oder die man doch einfach vom Backup wiederherstellen könnte? Frank kann sich beim besten Willen nicht vorstellen, dass seine Firma an irgendwelche Hacker Geld bezahlen könnte. „Letztlich sollen das doch einfach die Geschäftsführer entscheiden“, beschließt Frank, „schließlich werden sie ja für solche Entscheidungen auch gut bezahlt“. Dafür müssten sich aber die beiden Geschäftsführer wenigstens gemeldet haben. Bislang sind die beiden mindestens so offline wie die ganze restliche Firma.

Mit der Trennung der IT vom Internet haben die externen Angreifer wenigstens keine Chance mehr, steuernd auf die Schadsoftware einzuwirken. Eine Verbindung zu den C&C-Servern der Angreifer ist unterbunden, genauso wie das Nachladen weiterer schädlicher Module. Ein kurzer Moment zum Durchatmen.

Frank ist zu seinen Kollegen zurückgekehrt, die fröhlich darüber witzeln, dass wenigstens der Kaffeeautomat noch offline funktioniert. Das Gerät hat sich mittlerweile zum zentralen Sammelpunkt auch der anderen Kolleginnen und Kollegen entwickelt. Zwischen neu entdeckten Bedürfnissen zum persönlichen Gespräch haben einige auch begonnen, endlich ihren Schreibtisch aufzuräumen und die „geschenkte“ Zeit zu dem zu nutzen, wozu man üblicherweise selten kommt.

Franks Sorge gilt weiterhin dem Zustand der Backups und der Frage: „Wie diese zurücksichern?“. Dabei wird er gleich mit zwei ziemlich unerwarteten Problemen konfrontiert: Erstens kann er sich nicht sicher sein, dass der Backup-Server nicht auch kompromittiert worden ist, weswegen es vermutlich keine wirklich gute Idee ist, ihn einfach hochzufahren und zu nutzen. Im schlimmsten Falle könnte das sogar dazu führen, dass Backups im Moment der Verfügbarkeit, also praktisch nach Einlegen des Bandes in das Laufwerk, von noch aktiven Schadprogrammen gelöscht werden. Zweitens ist der Backup-Server teil der Windows-Domäne. Frank kann sich daher gar nicht sicher sein, ob der Backup-Server ohne die Verfügbarkeit wenigstens eines Windows Active-Directory-Servers überhaupt richtig arbeitet. Außerdem besteht das Risiko, dass bei der Nutzung des Servers forensisches Beweismaterial verloren geht (z.B. durch Logfiles, die sich nach einer Zeit überschreiben.) Und zum guten Schluss hatte Frank jüngst irgendwo einmal gelesen, dass sich Schadsoftware sogar in der Firmware von Computerkomponenten verstecken kann. Damit ließe sich ein Server niemals 100%tig säubern.

Frank ist gestresst. Der Magen ist gereizt, auch ohne ein Übermaß an Kaffee. Frank fühlt sich von der Menge der Abhängigkeiten und zu berücksichtigenden Aspekten geradezu überfordert. Das Ganze kommt ihm wie ein überdimensionales Wollknäuel vor, bei dem er gerade verzweifelt versucht, den Anfang des Fadens zu finden.

Gegen 15:17 kommt die IT-Crew nach längerer Diskussion gemeinsam zum Schluss, dass nur ein neuer Backup-Server sicher genug ist, um die wertvollen Backup-Bänder von dort einzulesen. Wertvoll alleine deshalb, weil sie den Unterschied zwischen der Zahlung einer großen Lösegeldsumme mit unsicherem Ausgang und einer kontrollierten Wiederherstellung des Betriebs ausmachen. Dummerweise hat man nicht einfach solche Hardware herumstehen und noch viel blöder verfügt ein neu aufgesetzter Backup-Server über keine Mediendatenbank, sodass eine gezielte Rücksicherung der Bänder gar nicht möglich ist, da niemand sicher weiß, welcher Sicherungsstand auf welchem Band gespeichert ist. So bleibt nur, alle Bänder zur erneuten Inventarisierung einmal einzulesen.

Gegen 16:00 erreicht Frank den Hardware-Dealer seines Vertrauens, um auf die Schnelle drei bis vier neue Server zu ordern. Denn was für den Backup-Server gilt, ist auch für den Active-Directory-Server der Fall. Um sicher zu gehen, muss auch das Active Directory neu aufgesetzt werden. Glücklicherweise sind die Einkaufsprozesse in Franks Firma relativ schlank, ansonsten könnte sich alleine der Einkauf der neuen Hardware über mehrere Tage hinziehen.

Um 16:38 steht der Vertriebsleiter Jens Kauffmann in Franks Büro. Sein verkniffener Blick und die vor der Brust verschränkten Arme verraten keinen Freundschaftsbesuch. Noch immer können die Kunden nicht kontaktiert werden oder vielmehr können diese die Firma nicht erreichen. Die Anschaffung eines redundanten Mailservers für eine Notfallkommunikation war von Frank schon vor längerem vorgeschlagen aber aus Kostengründen immer wieder verschoben worden. Dabei hatte Frank mehrfach versucht, eine Cloudlösung ins Spiel zu bringen, deren Kosten überschaubar gewesen wären. Hinsichtlich der Nutzung von Cloudservices hatte sich die Geschäftsleitung bislang aber sehr reserviert gezeigt – ironischerweise immer mit Sicherheitsbedenken. Jetzt würde eine solche Lösung Frank zumindest das Problem in Person von Jens Kauffmann vom Halse schaffen. Noch bevor der schlanke Mann in der Mitte von Franks Büro seinen ersten Satz von sich geben kann, flüchtet Frank nach vorne: „Jens, bei allem Respekt. Ich habe großes Verständnis für Dein Problem, aber derzeit steht die gesamte IT und ich weiß noch nicht, wie wir das Problem in den Griff bekommen.“ Sein Gegenüber leistet schon die ganze Zeit muskuläre Schwerstarbeit und mobilisiert nun auch noch die letzte verfügbare Stirnfalte: „Dir ist aber schon klar, dass mich gerade Klaus angerufen hat, der, nur so am Rande gesagt, auf 360 ist?!“ Klaus kommt Frank gerade recht. Den ganzen Morgen hatte er versucht, Klaus zu erreichen. Klaus Wiegand ist einer der beiden Geschäftsführer und eigentlich auch für die IT zuständig. Eigentlich.

Fortsetzung folgt.

 

Während Frank noch über die nächsten Schritte nachdenkt, was würden Sie an seiner Stelle tun? Welche Fehler hat Frank oder sein Unternehmen bereits begangen? Seien Sie gespannt, wie es bei Frank weitergeht.