Böses Erwachen

Jetzt gilt es, das zunächst unvermeidbare Chaos in Bahnen zu lenken. 25 Personen und mehr waren versammelt – Rittmeyer-Mitarbeitende, externe Partner und Kollegen anderer Unternehmen der BRUGG GROUP. Man muss sich finden, definieren wer was zu erledigen hat, eine der Situation angemessene Führung etablieren. «So etwas kann man nicht simulieren, denn der Ernstfall ist immer anders», sagt Rittmeyer-CEO Andreas Borer. Da hätten letztlich die Erfahrungen der Beteiligten aus Freiwilliger Feuerwehr, Zivilschutz und anderen Miliz-Organisationen sehr geholfen, meint Borer. Namenschilder mussten her, ein Organigramm aufgezeichnet, Präsenzlisten geführt werden: «Gut die Hälfte der Personen kamen von aussen dazu, kannten einander nicht», schildert der CEO die Situation der ersten Stunden. «Und dies alles ‹on top of Corona›.»

09:30 Uhr
Alle Instanzen sind informiert: Polizei, Versicherung, das nationale Zentrum für Cybersicherheit.

Als Sofortmassnahme wird die welt­weite Isolation aller Datenzentren der BRUGG GROUP in Angriff genommen. Kein Internet. Abgetrennt von der Aussen­welt. Alle Rechner heruntergefahren. Kein Bit rein, keines hinaus. Verhindern, dass sich Schadsoftware verbreiten kann und ­Angreifer weiterhin Zugriff auf das ­System haben.

In den kommenden Stunden und Tagen kümmerten sich zwei Teams um die Bereinigung des Vorfalls. Das erste der mit externen Spezialisten besetzten Teams hat sich auf die Untersuchung fokussiert. Michel Herzog, Chief Information Security Officer (CISO): «Ihre zu klärenden Fragen waren: Was ist passiert?, Wie ist der Angreifer ins System eingedrungen?, Welche Teile sind betroffen?, Wie können wir in Folge sicher sein, dass das System später wieder sauber ist?». Das zweite, ein im Morgengrauen des 11. Septembers aus den Niederlanden eingeflogenes Expertenteam, fokussierte sich auf das Recovery, also das Säubern und das sichere Wiederherstellen der betroffenen Systeme. Eine schwierige und heikle Aufgabe.

Andreas Borer sieht darin eine Analogie zu einem elektrischen Versorgungsnetz: «Wenn ein Fehler passiert, muss dieser isoliert werden. Und dann muss wiederversorgt werden. Der kritische Prozess ist dabei nicht das Abstellen, sondern das Wiedereinschalten.»

Eine der ersten Massnahmen war das Zurücksetzen sämtlicher Benutzerkonten und Passwörter. Von diesem Moment an konnte keiner mehr auf seinen Rechner, geschweige denn auf seine E-Mails zugreifen. Die ganze Firmengruppe: weg! In der Schweiz, im Ausland: alle abgehängt, vom Netz getrennt. «Da hat man rasch einen Weg suchen müssen, wie wir weiter mit diesen Leuten kommunizieren können», erinnert sich Andreas Borer. So wurde WhatsApp für ein paar Tage zum Führungsinstrument. «Echte Schattenkommunikation», schmunzelt Borer heute.

Verstehen, was geschah

Die IT-Teams arbeiteten rund um die Uhr. Samstag. Sonntag. Sie versuchten zu rekonstruieren was genau und wo es passiert ist, welche Systeme betroffen sind. «Basierend auf diesem Know-how entscheidet man sich für eine entsprechende Bereinigungs- und Recovery-Strategie», erklärt Michel Herzog. Eine grosse Herausforderung hierbei sei, dass man das System in der Tiefe kennen und verstehen muss. Und eine weitere die Kommunikation unter den beteiligten Experten: «Wenn es dann schnell gehen muss, kann auch die Sprachbarriere eine Hürde sein», erinnert sich Borer an die anfangs holprige Verständigung unter den eingesetzten in- und ausländischen Expertenteams.

Dennoch: Gewissheit benötigt Zeit. So gab es schon Klagen, dass man in den Anfangstagen von einer ‹Störung› redete, und das Kind nicht beim Namen nannte. «Aus untersuchungstaktischen Gründen kann man nicht alles veröffentlichen. Solange man nicht weiss, mit welchem Angreifer man es zu tun hat, redet man von einer Störung. Das ist das übliche vereinbarte Vorgehen in der Zusammenarbeit mit den Strafverfolgungsbehörden», stellt CISO Michel Herzog klar. «Da geht es nicht darum, etwas zu vertuschen.» Und ja, es gehe auch darum, nichts Falsches zu sagen, Verwirrung zu vermeiden, Panik zu verhindern. «Das ist ein wahrer Spagat», meint Andreas Borer, der während dieser Tage Unterstützung von darin erfahrenen Kommunikationsberatern hatte.

Schliesslich konnte man eruieren, welche Schadsoftware und welche Werkzeuge verwendet wurden, und von welchen Orten aus der Angreifer diese eingesetzt hatte. Für die meisten doch erstaunlich war, dass die benutzte Ransomware kein vom Angreifer eigens entwickeltes Tool war, sondern ‹gemietet› war und lediglich von ihm ins Netzwerk eingebracht und dort ausgeführt wurde. «Deshalb konnten wir davon ausgehen, dass es sich nicht um einen gezielten Angriff auf die BRUGG GROUP gehandelt hat. Es war Zufall, weil der Angreifer hier eine offene Stelle fand», erklärt der CIO. «Der Angreifer hat eine Lücke gefunden, sich dann mit dem Unternehmen auseinandergesetzt, sich informiert und darauf das Erpressungsgeld formuliert.»

Vom Wissen über andere Angriffe ist bekannt, dass es bei dieser Art von Ransomware nur um die Erpressung geht und die eingesetzte Schadsoftware keinen ‹metastasierenden Virus› einschleust, der sich ausserhalb der IT-Systeme der BRUGG GROUP weiterverbreiten würde. Das war schliesslich eine der wichtigsten Erkenntnisse. So erlangte man Gewissheit, dass die Kundensysteme davon entkoppelt waren. Diese zu schützen hatte bei der Untersuchung und der Bereinigung der Systeme höchste Priorität. «Wir können per dato ausschliessen, dass Infektionen der Kundensysteme, beispielsweise über Laptops der Projektingenieure, stattgefunden haben», beruhigt Roland Hürlimann.

Am Montagmorgen, fünf Tage nach dem Eindringen des Angreifers ins System, kehrten schliesslich die Mitarbeitenden zurück an ihre Arbeitsplätze – wenn auch nicht auf dem direkten Weg. Am Haupteingang wurden zunächst alle umgeleitet zum ‹Help-Point›. Sauber aufgereiht, Laptop unter dem Arm, Mundschutz, zwei Meter Abstand. Corona-Schutzmassnahmen. Also zuerst das Gerät desinfizieren, Bildschirm und Tastatur reinigen und dann erst in die Hände der IT-Spezialisten übergeben. Die kümmerten sich um das Innenleben: prüfen, säubern, Software neu installieren, Antivirus updaten. «Das war eine grosse Herausforderung, denn wir mussten ja sehr viele Personen gleichzeitig durchschleusen», erinnert sich Roland Hürlimann.

Nicht nur für das ISMS, sondern auch für das gesamte IT-Team der BRUGG GROUP war dieser Vorfall die Feuertaufe. Im Januar erst wurde dieser Bereich neu formiert. Der Team-Event zum besseren Kennenlernen der Kollegen aus den verschiedenen Standorten wurde wegen der Corona-Pandemie immer wieder verschoben. «Das ist fast schon diabolisch, jetzt haben wir diesen Event gehabt», lacht Roland Hürlimann. Wenn auch einen der anderen Art, und einen, den er sich so nicht gewünscht habe. «Aber eines ist sicher: Dieser Vorfall hat uns zusammengeschweisst.»

«Und sind wir doch mal ehrlich», sagt Andreas Borer, «alle von uns haben schon irgendwelche Vorträge gehört über Hacker-Angriffe. Die haben wir alle angehört, fanden das spannend – und haben gedacht: Ja, ist alles gut, das passiert schon. Aber nicht mir. Heute müssen wir sagen, man kann das nicht unmittelbarer erfahren, als wenn man selbst betroffen ist. Das ist extrem. Wir wissen jetzt, wie das geht.»

Nein, eine hundertprozentige Sicherheit gäbe es nicht. Diese Welt bewege sich extrem schnell, meint Michel Herzog. «So gut kann man sich gar nicht verteidigen, dass man ausschliessen kann, dass einmal etwas passiert», sagt auch Roland Hürlimann. Solche Vorfälle nähmen weiterhin zu, das Risiko steige täglich. Und wenn man heute gut dasteht, heisse das nicht automatisch, dass das in einem halben Jahr noch genauso ist. Am Ball bleiben, regelmässige Software-Updates, Einspielen verfügbarer Patches, Schulungen der Mitarbeiten. Daran führe kein Weg vorbei.

Und selbst dann sei es nicht damit getan, bei Neuanschaffungen einfach nur die jeweils älteste IT-Komponente zu ersetzen. Richtiger sei es, die Architektur anzuschauen, und zu beurteilen, ob man das gesamthaft anders, sicherer lösen kann.

Entscheidend sei es, detektieren zu können, dass ein Angreifer eingedrungen ist. Und falls er es geschafft habe, dabei etwas anzurichten, dass man die Fähigkeiten und Möglichkeiten habe, entsprechend schnell wieder alles bereinigen und hochfahren zu können. Das sei im Grunde genau das, was die BRUGG GROUP jetzt durchlebt habe, fasst Andreas Borer zusammen: «Wir haben gesehen, wie wichtig es ist, dass man auf einen solchen Fall vorbereitet ist, und dass man verlässliche Partner hat, die man kennt und denen man vertraut, mit kurzen, unkomplizierten Kommunikationswegen. Das ist in einer solchen Situation wichtig, denn es muss schnell gehen.»

Und auch CISO Michel Herzog ist zufrieden: «Alle Beteiligten haben richtig reagiert. Niemand musste überlegen, ob und wie man die Situation unter dem Deckel halten soll. Es wurde sofort offen kommuniziert, technische Unterstützung angefordert, und sämtliche Ressourcen konzentriert und auf den Vorfall fokussiert.»

Die Systeme sind wieder ‹up and running›. Dennoch gibt es nicht einfach ein ‹Zurück zur Tagesordnung›. «IKT-Sicherheit zu gewährleisten, ist ein kontinuierlicher Prozess.», schliesst CIO Roland Hürlimann.

Bildnachweis: iStock/ratpack223, ­iStock/CarmenMurillo, iStock/scanrail