transfer Ausgabe 02 | 2020

Böses Erwachen

Protokoll eines Cyber-Angriffs … und der Tage danach

Nichts ging mehr. Ausnahmezustand! Alle Rechner off, das Internet gekappt. Die Presse berichtete davon: Die BRUGG GROUP, Mutter der Rittmeyer AG, wurde Opfer eines Cyber-Angriffs. Seit jenem 10. September gingen inzwischen einige Wochen ins Land, Ursachen und Folgen des IT-Sicherheitsvorfalls werden transparenter. Ein Protokoll.

Mittwoch, 9. September 2020, gegen 23:45 Uhr
Die Welt scheint in Ordnung, alle Systeme ‹up and running›. Roland Hürlimann schaltet zuhause das Licht aus, geht schlafen. Hürlimann ist Chief Information Officer (CIO) der BRUGG GROUP und der Rittmeyer AG. An die Uhrzeit erinnert er sich, er hat noch die Spätnachrichten angeschaut.

Donnerstag, 10. September 2020, 04:00 Uhr
Ein unbekannter Angreifer startet die Verschlüsselung von Systemen der BRUGG GROUP.

04:03 a.m.
Das Picket-Handy des Mitarbeiters in IT-Bereitschaft der BRUGG GROUP IT meldet sich mit einem kurzen "Bing": Ein Server ist nicht erreichbar. In den folgenden Stunden läuten Zug um Zug die Pickt-Handys aller Gruppenmitglieder. "Bing". "Server nicht erreichbar".

kurz nach 6 Uhr
IT-Techniker sind nun an den verschiedenen Standorten der BRUGG GRUPPE vor Ort und versuchen, sich ein Bild von der Situation zu machen. Netzwerkausfall? Stromausfall?

06:30 Uhr
Die IT-Abteilungen der BRUGG GROUP werden über "Störungen im IT-Betrieb" informiert.

06:45 Uhr
Die ersten Server von Rittmeyer sind offline. ‹Bing› nun ebenfalls beim Rittmeyer-Picket.

Die gehäuften Meldungen verhiessen nichts Gutes. «Schnell wurde in den Datenablagen ersichtlich, dass Dateien verschlüsselt waren. Auch wenn wir die Ursache noch nicht kannten, war der Fall klar: Das war ein gravierenderes Problem», entsinnt sich CIO Roland Hürlimann.

Er war die ab jetzt wohl meist geforderte Person im Unternehmen, das ISO-27001-zertifizierte Informationssicherheitsmanagementsystem (ISMS) der Rittmeyer AG erhielt seine Feuertaufe. Und dann ging es Schlag auf Schlag.

07:10 Uhr
Alle IT-Dienste bei Rittmeyer werden heruntergefahren.

07:30 Uhr
Die für solche Fälle vorbestimmte Task Force wird einberufen.

07:40 Uhr
Die externen mit IT-Services und IT-Sicherheit beauftragten Partner werden aufgeboten.

08:08 Uhr
Alle Mitarbeitenden sind informiert und aufgefordert, ihre Computer herunterzufahren.

09:10 Uhr
Die Taskforce ist komplett versammelt, ein ‹Kommandoraum› eingerichtet. Er wird für die meisten das Zuhause der kommenden Tage.

«So etwas kann man nicht simulieren, denn der Ernstfall ist immer anders.»

Andreas Borer, CEO der Rittmeyer AG

Jetzt gilt es, das zunächst unvermeidbare Chaos in Bahnen zu lenken. 25 Personen und mehr waren versammelt – Rittmeyer-Mitarbeitende, externe Partner und Kollegen anderer Unternehmen der BRUGG GROUP. Man muss sich finden, definieren wer was zu erledigen hat, eine der Situation angemessene Führung etablieren. «So etwas kann man nicht simulieren, denn der Ernstfall ist immer anders», sagt Rittmeyer-CEO Andreas Borer. Da hätten letztlich die Erfahrungen der Beteiligten aus Freiwilliger Feuerwehr, Zivilschutz und anderen Miliz-Organisationen sehr geholfen, meint Borer. Namenschilder mussten her, ein Organigramm aufgezeichnet, Präsenzlisten geführt werden: «Gut die Hälfte der Personen kamen von aussen dazu, kannten einander nicht», schildert der CEO die Situation der ersten Stunden. «Und dies alles ‹on top of Corona›.»

09:30 Uhr
Alle Instanzen sind informiert: Polizei, Versicherung, das nationale Zentrum für Cybersicherheit.

Als Sofortmassnahme wird die welt­weite Isolation aller Datenzentren der BRUGG GROUP in Angriff genommen. Kein Internet. Abgetrennt von der Aussen­welt. Alle Rechner heruntergefahren. Kein Bit rein, keines hinaus. Verhindern, dass sich Schadsoftware verbreiten kann und ­Angreifer weiterhin Zugriff auf das ­System haben.

Die Arbeit steht still. Alle Mitarbeitenden mit Ausnahme der IT-Abteilung werden nach Hause geschickt.

10:00 Uhr
Das Haus ist nahezu leer, die Parkplätze verwaist, alles wie ausgestorben. Nur das Gewusel im Kommandoraum.

12:17 Uhr
Weltweit sind alle IT-Systeme der BRUGG GROUP abgeschaltet.

15:31 Uhr
Sämtliche Standorte sind vom Internet isoliert.

Kompetente Expertenhilfe vor Ort

In den kommenden Stunden und Tagen kümmerten sich zwei Teams um die Bereinigung des Vorfalls. Das erste der mit externen Spezialisten besetzten Teams hat sich auf die Untersuchung fokussiert. Michel Herzog, Chief Information Security Officer (CISO): «Ihre zu klärenden Fragen waren: Was ist passiert?, Wie ist der Angreifer ins System eingedrungen?, Welche Teile sind betroffen?, Wie können wir in Folge sicher sein, dass das System später wieder sauber ist?». Das zweite, ein im Morgengrauen des 11. Septembers aus den Niederlanden eingeflogenes Expertenteam, fokussierte sich auf das Recovery, also das Säubern und das sichere Wiederherstellen der betroffenen Systeme. Eine schwierige und heikle Aufgabe.

Andreas Borer sieht darin eine Analogie zu einem elektrischen Versorgungsnetz: «Wenn ein Fehler passiert, muss dieser isoliert werden. Und dann muss wiederversorgt werden. Der kritische Prozess ist dabei nicht das Abstellen, sondern das Wiedereinschalten.»

Alternative Kommunikationswege

Eine der ersten Massnahmen war das Zurücksetzen sämtlicher Benutzerkonten und Passwörter. Von diesem Moment an konnte keiner mehr auf seinen Rechner, geschweige denn auf seine E-Mails zugreifen. Die ganze Firmengruppe: weg! In der Schweiz, im Ausland: alle abgehängt, vom Netz getrennt. «Da hat man rasch einen Weg suchen müssen, wie wir weiter mit diesen Leuten kommunizieren können», erinnert sich Andreas Borer. So wurde WhatsApp für ein paar Tage zum Führungsinstrument. «Echte Schattenkommunikation», schmunzelt Borer heute.

Verstehen, was geschah

Die IT-Teams arbeiteten rund um die Uhr. Samstag. Sonntag. Sie versuchten zu rekonstruieren was genau und wo es passiert ist, welche Systeme betroffen sind. «Basierend auf diesem Know-how entscheidet man sich für eine entsprechende Bereinigungs- und Recovery-Strategie», erklärt Michel Herzog. Eine grosse Herausforderung hierbei sei, dass man das System in der Tiefe kennen und verstehen muss. Und eine weitere die Kommunikation unter den beteiligten Experten: «Wenn es dann schnell gehen muss, kann auch die Sprachbarriere eine Hürde sein», erinnert sich Borer an die anfangs holprige Verständigung unter den eingesetzten in- und ausländischen Expertenteams.

«Aus untersuchungstaktischen Gründen kann man nicht alles veröffentlichen. Solange man nicht weiss, mit welchem Angreifer man es zu tun hat, redet man von einer Störung.»

Michel Herzog, Senior Cyber Security Consultant, Infoguard AG

Wie kommunizieren, was geschah?

Dennoch: Gewissheit benötigt Zeit. So gab es schon Klagen, dass man in den Anfangstagen von einer ‹Störung› redete, und das Kind nicht beim Namen nannte. «Aus untersuchungstaktischen Gründen kann man nicht alles veröffentlichen. Solange man nicht weiss, mit welchem Angreifer man es zu tun hat, redet man von einer Störung. Das ist das übliche vereinbarte Vorgehen in der Zusammenarbeit mit den Strafverfolgungsbehörden», stellt CISO Michel Herzog klar. «Da geht es nicht darum, etwas zu vertuschen.» Und ja, es gehe auch darum, nichts Falsches zu sagen, Verwirrung zu vermeiden, Panik zu verhindern. «Das ist ein wahrer Spagat», meint Andreas Borer, der während dieser Tage Unterstützung von darin erfahrenen Kommunikationsberatern hatte.

Ransomware – und keine ‹Metastasen›

Schliesslich konnte man eruieren, welche Schadsoftware und welche Werkzeuge verwendet wurden, und von welchen Orten aus der Angreifer diese eingesetzt hatte. Für die meisten doch erstaunlich war, dass die benutzte Ransomware kein vom Angreifer eigens entwickeltes Tool war, sondern ‹gemietet› war und lediglich von ihm ins Netzwerk eingebracht und dort ausgeführt wurde. «Deshalb konnten wir davon ausgehen, dass es sich nicht um einen gezielten Angriff auf die BRUGG GROUP gehandelt hat. Es war Zufall, weil der Angreifer hier eine offene Stelle fand», erklärt der CIO. «Der Angreifer hat eine Lücke gefunden, sich dann mit dem Unternehmen auseinandergesetzt, sich informiert und darauf das Erpressungsgeld formuliert.»

Vom Wissen über andere Angriffe ist bekannt, dass es bei dieser Art von Ransomware nur um die Erpressung geht und die eingesetzte Schadsoftware keinen ‹metastasierenden Virus› einschleust, der sich ausserhalb der IT-Systeme der BRUGG GROUP weiterverbreiten würde. Das war schliesslich eine der wichtigsten Erkenntnisse. So erlangte man Gewissheit, dass die Kundensysteme davon entkoppelt waren. Diese zu schützen hatte bei der Untersuchung und der Bereinigung der Systeme höchste Priorität. «Wir können per dato ausschliessen, dass Infektionen der Kundensysteme, beispielsweise über Laptops der Projektingenieure, stattgefunden haben», beruhigt Roland Hürlimann.

Grossreinemachen

Am Montagmorgen, fünf Tage nach dem Eindringen des Angreifers ins System, kehrten schliesslich die Mitarbeitenden zurück an ihre Arbeitsplätze – wenn auch nicht auf dem direkten Weg. Am Haupteingang wurden zunächst alle umgeleitet zum ‹Help-Point›. Sauber aufgereiht, Laptop unter dem Arm, Mundschutz, zwei Meter Abstand. Corona-Schutzmassnahmen. Also zuerst das Gerät desinfizieren, Bildschirm und Tastatur reinigen und dann erst in die Hände der IT-Spezialisten übergeben. Die kümmerten sich um das Innenleben: prüfen, säubern, Software neu installieren, Antivirus updaten. «Das war eine grosse Herausforderung, denn wir mussten ja sehr viele Personen gleichzeitig durchschleusen», erinnert sich Roland Hürlimann.

«Unser IT-Teamevent wurde wegen Corona immer wieder verschoben. Jetzt hatten wir es – und es hat uns stark zusammengeschweisst.»

Roland Hürlimann, CIO der BRUGG GROUP und Rittmeyer AG

Erleichtert – und gestärkt

Nicht nur für das ISMS, sondern auch für das gesamte IT-Team der BRUGG GROUP war dieser Vorfall die Feuertaufe. Im Januar erst wurde dieser Bereich neu formiert. Der Team-Event zum besseren Kennenlernen der Kollegen aus den verschiedenen Standorten wurde wegen der Corona-Pandemie immer wieder verschoben. «Das ist fast schon diabolisch, jetzt haben wir diesen Event gehabt», lacht Roland Hürlimann. Wenn auch einen der anderen Art, und einen, den er sich so nicht gewünscht habe. «Aber eines ist sicher: Dieser Vorfall hat uns zusammengeschweisst.»

«Und sind wir doch mal ehrlich», sagt Andreas Borer, «alle von uns haben schon irgendwelche Vorträge gehört über Hacker-Angriffe. Die haben wir alle angehört, fanden das spannend – und haben gedacht: Ja, ist alles gut, das passiert schon. Aber nicht mir. Heute müssen wir sagen, man kann das nicht unmittelbarer erfahren, als wenn man selbst betroffen ist. Das ist extrem. Wir wissen jetzt, wie das geht.»

War es das?

Nein, eine hundertprozentige Sicherheit gäbe es nicht. Diese Welt bewege sich extrem schnell, meint Michel Herzog. «So gut kann man sich gar nicht verteidigen, dass man ausschliessen kann, dass einmal etwas passiert», sagt auch Roland Hürlimann. Solche Vorfälle nähmen weiterhin zu, das Risiko steige täglich. Und wenn man heute gut dasteht, heisse das nicht automatisch, dass das in einem halben Jahr noch genauso ist. Am Ball bleiben, regelmässige Software-Updates, Einspielen verfügbarer Patches, Schulungen der Mitarbeiten. Daran führe kein Weg vorbei.

Und selbst dann sei es nicht damit getan, bei Neuanschaffungen einfach nur die jeweils älteste IT-Komponente zu ersetzen. Richtiger sei es, die Architektur anzuschauen, und zu beurteilen, ob man das gesamthaft anders, sicherer lösen kann.

«Verlässliche Partner, die man kennt und denen man vertraut, sind entscheidend. Denn es muss schnell gehen.»

Andreas Borer, CEO der Rittmeyer AG

Köpfe in der Krise kennen

Entscheidend sei es, detektieren zu können, dass ein Angreifer eingedrungen ist. Und falls er es geschafft habe, dabei etwas anzurichten, dass man die Fähigkeiten und Möglichkeiten habe, entsprechend schnell wieder alles bereinigen und hochfahren zu können. Das sei im Grunde genau das, was die BRUGG GROUP jetzt durchlebt habe, fasst Andreas Borer zusammen: «Wir haben gesehen, wie wichtig es ist, dass man auf einen solchen Fall vorbereitet ist, und dass man verlässliche Partner hat, die man kennt und denen man vertraut, mit kurzen, unkomplizierten Kommunikationswegen. Das ist in einer solchen Situation wichtig, denn es muss schnell gehen.»

Und auch CISO Michel Herzog ist zufrieden: «Alle Beteiligten haben richtig reagiert. Niemand musste überlegen, ob und wie man die Situation unter dem Deckel halten soll. Es wurde sofort offen kommuniziert, technische Unterstützung angefordert, und sämtliche Ressourcen konzentriert und auf den Vorfall fokussiert.»

Die Systeme sind wieder ‹up and running›. Dennoch gibt es nicht einfach ein ‹Zurück zur Tagesordnung›. «IKT-Sicherheit zu gewährleisten, ist ein kontinuierlicher Prozess.», schliesst CIO Roland Hürlimann.

Bildnachweis: iStock/ratpack223, ­iStock/CarmenMurillo, iStock/scanrail