Auswirkungen von Ransomware auf ein Unternehmen

Only in German available.

Stellen Sie sich ein mittelständisches KMU vor. 142 Mitarbeiter in den Bereichen Entwicklung, Produktion, Lager, Installation, Montage, Support, Marketing und das ganze Backoffice. Vor 5 Jahren hat die IT den Schritt in die Virtualisierung gewagt. Seit diesem Punkt laufen alle Systeme auf virtuellen Servern auf eigener Hardware, welche im Serverraum im Keller stehen. Dies hat dazu geführt, dass der Hardwarebedarf von Servern massiv gesunken ist und die vielen verschiedenen Systeme besser laufen.

Die virtuellen Server werden immer auf dem aktuellen Stand gehalten. Leider ging aber die Software für die Virtualisierung vergessen. Seit über einem Jahr weist diese Software eine kritische Sicherheitslücke auf, welche auch vom Hersteller behoben wurde. Das Update steht schon seit über einem Jahr zur Verfügung.

Jetzt über ein Jahr später wird diese Sicherheitslücke von einer Ransomware-Gang ausgenutzt. Alles die virtuellen Server sind nun verschlüsselt. Kein System geht mehr.

Ein Backup gibt es zwar, aber die Wiederherstellung wurde nicht geprobt. Es dauert 5 Tage bis die ersten Systeme wieder funktionieren.

In diesen 5 Tagen:

Keine Telefonanlage, Keine Emails, Keine Supportanfragen

Niemand telefoniert, weder Intern noch extern. Keine eingehende Supportanfragen, SLAs können nicht eingehalten werden. Keine möglichen Kunden rufen an.
Ähnlich der Telefonie, sowohl die interne, als auch die externe Kommunikation ist stark eingeschränkt.

Kein Daten, Keine Laufwerke, Keine Projekte

Da alle Daten zentral auf den Servern liegen (Netzlaufwerke, Projektmanagement-Software, etc.) kommen laufende Projekte ins Stocken. Die Planer können nicht an laufenden Projekten weiterarbeiten.

Keine Buchhaltung, Keine Rechnungen, Keine Löhne

Es können keine Rechnungen gestellt werden, wie auch können eingehende Zahlungen nicht gebucht werden. Bei den Löhnen gibt es Verzögerungen oder es muss auf einen zeitaufwändigen manuellen Prozess umgestellt werden.

Kein Lager, eingeschränkte Produktion

Da das Lager automatisiert wurde, kann nicht auf wichtige Teile für die Produktion zugegriffen werden. Die Produktion steht still. Angelieferte Teile können nicht ins Lager eingefügt werden und stauen sich in der Anlieferung.

Montage kam auch ins Stocken, Lieferverzüge

Auch die Montage kommt ins Hintertreffen, denn das Lager kann nötige Kleinteile nicht rüsten und die Koordination mit Partnern und Kunden ist sehr aufwändig.

Keine neuen Projekte

Meetings mit potentiellen Neukunden können zwar durchgeführt werden. Die Vorbereiteten Präsentationen und Zahlen für ein Verkaufsgespräch stehen jedoch nicht zur Verfügung.

Genau solche Szenen spielen sich weltweit in vielen Firmen seit über einer Woche ab, den genau dies ist geschehen.

Wenn ein System seit über einem Jahr nicht gepatcht (Updates eingespielt werden) ist und frei zugänglich aus dem Internet erreichbar ist, ist dies als fahrlässige Handlung seitens der IT oder des IT-Dienstleisters, sowohl auch des Geschäftsführers anzusehen.

Die Ransomware (siehe auch Interessante Fakten zu Ransomware Teil 1/4, Interessante Fakten zu Ransomware Teil 2/4, Interessante Fakten zu Ransomware Teil 3/4, Interessante Fakten zu Ransomware Teil 4/4) wird ESXiArgs genannt. Die erste Version verschlüsselte nur die Konfiguration, nicht aber die Daten. Die neuste Version verschlüsselt auch die virtuellen Disk-Dateien.

Sind ihre Systeme sicher? Ist auch die Virtualisierungs-Infrastrukrur auf dem neusten Stand? Macht die Netzwerkkonfiguration Sinn? Müssen diese Systeme wirklich direkt vom Internet erreichbar sein? Prüfen Sie die Punkte regelmässig, um besser vor einem solchen Angriff geschützt zu sein. Die Kosten, welche bei einem Angriff entstehen sind ein Vielfaches, als die Kosten einer sauberen und sicheren IT.