Ein ganz normaler Montag

In dieser kleinen Fortsetzungsgeschichte geht es um Frank, der eines Montagmorgens mit der größten Krise seiner bisherigen Karriere konfrontiert wird. Er wird dabei einige mutige Entscheidungen treffen müssen und sicherlich auch einige Fehler begehen. Begleiten Sie Frank durch diese Krise, die uns allen jeden Tag drohen kann.

Es ist einer jener Montage, die man wahrscheinlich lange in Erinnerung behält. 8:30 Uhr morgens, mit der ersten Tasse Kaffee des Tages bewaffnet, setzt sich Frank Mertens an seinen Rechner, um wie immer die E-Mails des Wochenendes und der Frühschicht durchzusehen. Laufen alle Systeme ok, gibt es irgendwo im Versand ein Problem? Morgendliche Routine halt. Als IT-Administrator in einem mittelständischen Produktionsbetrieb ist er zusammen mit zwei anderen Kollegen für den reibungslosen Betrieb der Server und Arbeitsstationen verantwortlich. An diesem Morgen ist alles grün. Keine Probleme.
 
Um 9:30 dann Abteilungsmeeting mit den anderen beiden Kollegen. Am kommenden Wochenende soll endlich das lang ersehnte Update der ERP-Software eingespielt werden und dafür ist noch eine ganze Menge vorzubereiten. Der externe Berater, den man zur Unterstützung heranzogen hat, hatte schon in der vorherigen Woche Administrator-Rechte beantragt, um die notwendigen Vorarbeiten durchführen zu können. Unter anderem müssen die Daten für die neue ERP-Version konvertiert werden.
 
Gegen 10:15 läutet das Mobiltelefon. Frank lässt sich nur widerwillig in seinem Meeting stören. Zu wichtig ist die Planung der Aktivitäten für das nächste Wochenende. Doch ein Anruf aus der Finanzbuchhaltung scheint wichtig genug. Scheinbar lassen sich ein paar Files auf dem zentralen File-Server nicht mehr öffnen. Irgendeine Korrespondenz zu einem Mahnverfahren. Frank ist nicht weiter alarmiert und empfiehlt den Neustart des Arbeitsplatzrechners. Wenige Minuten später ist die Finanzbuchhaltung wieder am Telefon. 
 
Um 10:37 verlässt Frank das Meeting und geht hinüber in die Finanzbuchhaltung, um sich persönlich ein Bild des Problems zu machen. Nachdem auch er die Datei nicht öffnen kann, meldet er sich per Remote-Desktop auf dem File-Server als Domain-Administrator an, um genauer nachzusehen. Das ist der einfachste Weg, Probleme mit fehlenden Zugriffsrechten als Ursache auszuschließen.
 
Es ist 10:54 und Frank ist mittlerweile der Ansicht, dass die betroffenen Dateien kaputt seien und von der letzten Datensicherungen wiederhergestellt werden müssten. Schon auf dem Sprung in sein Büro befindlich, läutet Franks Telefon erneut. Diesmal ist es der Produktionsleiter, dessen Programm gerade bei jedem Zugriff auf die Produktionsdaten abstürzt. Bis vor wenigen Minuten war alles noch in Ordnung. 
 
Es ist 11:18 als Frank feststellt, dass immer mehr Dateien auf seinen Servern kaputt sind. Offensichtlich ist nicht nur der File-Server betroffen sondern auch einige weitere Server. Ein so großflächiger Ausfall von Systemen lässt Böses erahnen. Ein Virus? Ransomware? Noch ist die wahre Ursache noch nicht klar. 
 
Um 11:27 ruft Frank seine Kollegen zusammen und berät über die nächsten Schritte. Man überlegt, zunächst einmal alle Server zu prüfen, um das Ausmaß des Schadens bzw. einer möglichen Infektion zu prüfen.
 
11:44 Uhr. Auf den ersten Bildschirmen tauchen Erpresserbriefe auf, die ein Lösegeld fordern, um die angeblich verschlüsselten Dateien zu entsperren. Franks Mobiltelefon steht praktisch nicht mehr still. Immer mehr Benutzerinnen und Benutzer melden die gleichen Einblendungen. Frank ist alarmiert und beschließt die Geschäftsleitung umgehend zu informieren und um die Zustimmung zum Herunterfahren aller Server zu bitten. Es wäre kein richtiger Montag, wenn nicht gerade in diesem Moment die Geschäftsführung bei einem wichtigen Kundentermin außer Haus wäre. Frank überlegt. Ein Herunterfahren aller Server käme einem Betriebsstillstand gleich. Ohne Einverständnis der Geschäftsleitung den Betrieb stillzulegen? Man ist schon wegen weniger gefeuert worden! Nach weiteren vergeblichen Versuchen, einen der Geschäftsführer zu erreichen, entscheidet Frank gegen 12:08 Uhr, die IT auch ohne Autorisierung stillzulegen. Zu groß ist der potentielle Schaden.
 
Bis alle Server abgeschaltet sind, ist es 12:42 Uhr. Im Prinzip steht jetzt der komplette Betrieb, die Produktion, die Verwaltung, der Vertrieb, sogar der Online-Shop kann keine Aufträge mehr an das Unternehmen senden. Mit dem Herunterfahren des E-Mail-Systems ist auch die interne Kommunikation mit den rund 450 Mitarbeiterinnen und Mitarbeitern sowie die externe Kommunikation des Unternehmens ausgefallen. Die servergestützte Telefonanlage funktioniert auch nicht mehr. Lediglich ein paar konventionelle Telefone und die Mobiltelefone können noch genutzt werden.
 
13:33 Uhr. Der Vertrieb meldet sich mehrfach auf Franks Mobiltelefon und fragt, wann die IT wieder zur Verfügung steht. Schließlich würden die Kunden schon auf den Mobiltelefonen der Vertriebler anrufen weil das Unternehmen ansonsten nicht erreichbar sei. Franks Stresspegel steigt. An eine kurzfristige Wiederherstellung des IT-Betriebs ist aktuell nicht zu denken.

Während Frank noch über die nächsten Schritte nachdenkt, was würden Sie an seiner Stelle tun? Welche Fehler hat Frank oder sein Unternehmen bereits begangen? Seien Sie gespannt, wie es bei Frank weitergeht.

Top