FACHTHEMA Kompetente Expertenhilfe vor Ort In den kommenden Stunden und Tagen kümmerten sich zwei Teams um die Bereinigung des Vorfalls. Das erste der mit externen Spezialisten besetzten Teams hat sich auf die Untersuchung fokussiert. Michel Herzog, Chief Information Security O�cer (CISO): «Ihre zu klärenden Fragen waren: Was ist passiert?, Wie ist der Angreifer ins System eingedrungen?, Welche Teile sind betroffen?, Wie können wir in Folge sicher sein, dass das System später wieder sauber ist?». Das zweite, ein im Morgengrauen des 11. Septembers aus den Niederlanden eingeflogenes Expertenteam, fokussierte sich auf das Recovery, also das Säubern und das sichere Wiederherstellen der betroffenen Systeme. Eine schwierige und heikle Aufgabe. Andreas Borer sieht darin eine Analogie zu einem elektrischen Versorgungsnetz: «Wenn ein Fehler passiert, muss dieser isoliert werden. Und dann muss wiederversorgt werden. Der kritische Prozess ist dabei nicht das Abstellen, sondern das Wiedereinschalten.» Alternative Kommunikationswege Eine der ersten Massnahmen war das Zurücksetzen sämtlicher Benutzerkonten und Passwörter. Von diesem Moment an konnte keiner mehr auf seinen Rechner, geschweige denn auf seine E-Mails zugreifen. Die ganze Firmengruppe: weg! In der Schweiz, im Ausland: alle abgehängt, vom Netz getrennt. «Da hat man rasch einen Weg suchen müssen, wie wir weiter mit diesen Leuten kommunizieren können», erinnert sich Andreas Borer. So wurde WhatsApp für ein paar Tage zum Führungsinstrument. «Echte Schattenkommunikation», schmunzelt Borer heute. Verstehen, was geschah Die IT-Teams arbeiteten rund um die Uhr. Samstag. Sonntag. Sie versuchten zu rekonstruieren was genau und wo es passiert ist, welche Systeme betroffen sind. «Basierend auf diesem Know-how entscheidet man sich für eine entsprechende Bereinigungs- und Recovery-Strategie», erklärt Michel Herzog. Eine grosse Herausforderung hierbei sei, dass man das System in der Tiefe kennen und verstehen muss. Und eine weitere die Kommunikation unter den beteiligten Experten: «Wenn es dann schnell gehen muss, kann auch die Sprachbarriere eine Hürde sein», erinnert sich Borer an die anfangs holprige Verständigung unter den eingesetzten in- und ausländischen Expertenteams. Wie kommunizieren, was geschah? Dennoch: Gewissheit benötigt Zeit. So gab es schon Klagen, dass man in den Anfangstagen von einer ‹Störung› redete, und das Kind nicht beim Namen nannte. «Aus untersuchungstaktischen Gründen kann man nicht alles veröffentlichen. Solange man nicht weiss, mit welchem Angreifer man es zu tun hat, redet man von einer Störung. Das ist das übliche vereinbarte Vorgehen in der Zusammenarbeit mit den Strafverfolgungsbehörden», stellt CISO Michel Herzog klar. «Da geht es nicht darum, etwas zu vertuschen.» Und ja, es gehe auch darum, nichts Falsches zu sagen, Verwirrung zu vermeiden, Panik zu verhindern. «Das ist ein wahrer Spagat», meint Andreas Borer, der während dieser Tage Unterstützung von darin erfahrenen Kommunikationsberatern hatte. Ransomware – und keine ‹Metastasen› Schliesslich konnte man eruieren, welche Schadsoftware und welche Werkzeuge verwendet wurden, und von welchen Orten aus der Angreifer diese eingesetzt hatte. Für die meisten doch erstaunlich war, dass die benutzte Ransomware kein vom Angreifer eigens entwickeltes Tool war, sondern ‹gemietet› war und lediglich von ihm ins Netzwerk eingebracht und dort ausgeführt wurde. «Deshalb konnten wir davon ausgehen, dass es sich nicht um einen gezielten Angriff auf die BRUGG GROUP gehandelt hat. Es war Zufall, weil der Angreifer hier eine offene Stelle fand», erklärt der CIO. «Der Angreifer hat eine Lücke gefunden, sich dann mit dem Unternehmen auseinandergesetzt, sich informiert und darauf das Erpressungsgeld formuliert.» Vom Wissen über andere Angriffe ist bekannt, dass es bei dieser Art von Ransomware nur um die Erpressung geht und die eingesetzte Schadsoftware keinen ‹metastasierenden Virus› einschleust, der sich ausserhalb der IT-Systeme der BRUGG GROUP weiterverbreiten würde. Das war schliesslich eine der wichtigsten Erkenntnisse. So erlangte man Gewissheit, dass die Kundensysteme davon entkoppelt waren. Diese zu schützen hatte bei der Untersuchung und der Bereinigung der Systeme höchste Priorität. «Wir können per dato ausschliessen, dass Infektionen der Kundensysteme, beispielsweise über Laptops der Projektingenieure, stattgefunden haben», beruhigt Roland Hürlimann. Grossreinemachen Am Montagmorgen, fünf Tage nach dem Eindringen des Angreifers ins System, kehrten schliesslich die Mitarbeitenden zurück an ihre Arbeitsplätze – wenn auch nicht auf dem direkten Weg. Am Haupteingang wurden zunächst alle umgeleitet zum ‹Help-Point›. Sauber aufgereiht, Laptop unter dem Arm, Mundschutz, zwei Meter Abstand. Corona-Schutzmassnahmen. Also zuerst das Gerät desinfizieren, Bildschirm und Tastatur reinigen und dann 02| 2020 8 | 9
RkJQdWJsaXNoZXIy NTkxNzY=