Ransomware-Attacke: Wenn aus „Was gibt es bei uns schon zu holen?“ bittere Realität wird

„Leider wurde eine Mitarbeiterin unseres Unternehmens Opfer eines Phishing-Angriffs. Als Resultat hatten Dritte kurzzeitig die Möglichkeit, als Rechnungsvorgang getarnte Phishing-Mails zu verschicken.“

Diese E-Mail einer bekannten PR-Agentur, die uns gelegentlich mit Presseinformationen versorgte, erreichte mich 2019 während eines Kundentermins. Meine erste Reaktion: „Glück gehabt!“ Schließlich hatten wir keine Geschäftsbeziehung zu dieser Agentur, es gab deshalb auch keinen Austausch von Rechnungen.. Doch das Glück währte nicht lange.

Der fatale Klick: „Habe nachgeschaut. Nichts offen…“

Irgendwie ging mir diese Mail nicht aus dem Kopf. Bei meiner Rückkehr ins Büro fragte ich unsere Buchhalterin, ob sie eine E-Mail der besagten PR-Agentur erhalten hatte. Ihre Antwort – ein Schock: „Ja- Habe gleich nachgeschaut. Nichts offen…“

Eigentlich hatte sie nur ihren Job getan. Der Agenturname war ihr von internen Gesprächen bekannt. Sie erhielt eine Anfrage, offene Posten zu überprüfen, und tat dies gewissenhaft. Ihr Gedanke: „Hätte ja sein können, dass wir noch Geld bekommen“.

Der Angriff: Von null auf hundert

Zunächst passierte – nichts. Die nächsten Tage verliefen normal. Dann ging es von einem Moment auf den anderen Schlag auf Schlag:

• 9:23 Uhr: Alle zugänglichen Systeme waren verschlüsselt
• Bildschirme zeigten nur noch die Lösegeldforderung: 15.000 Euro in Bitcoin
• Komplette IT offline: Kein lokales Arbeiten mehr möglich

Der externe IT-Administrator taucht erst einmal unter

Wie viele KMU arbeiteten wir zum damaligen Zeitpunkt mit einem externen IT-Experten zusammen, der uns bei unserer IT-Umgebung, die aus klassischen Microsoft Office-Rechnern mit einigen wenigen Spezialanwendungen bestand. Dessen erste Reaktion: „Nicht erreichbar!“ Wir haben seit diesem Vorfall nie wieder etwas von ihm gehört.

Gott-sei-Dank konnte – und wollte – uns unser externer Datenschutzbeauftragter weiterhelfen. Gemeinsam versuchten wir, uns zuerst einmal einen Überblick über die Situation zu verschaffen und eine Prioritätenliste aller Maßnahmen aufzustellen, die wir dann Schritt für Schritt abarbeiteten. Dabei ging es darum,

• welche Meldepflichten wir einzuhalten hatten (Aufsichtsbehörde, Kunden, Geschäftspartner, etc.)
• herauszufinden, an wen wir uns mit unserem Problem wenden konnten
• einen Spezialdienstleister zu finden, der überprüfte, welche IT-Systeme durch den Angriff kompromittiert worden waren,
• sicher zu stellen, dass der Angriff nicht auf die bereits damals im Einsatz befindlichen Cloud-Anwendungen durchgegriffen hatte (CRM, Projektmanagement, CMS, Umfragetool)
• neue Hardware zu beschaffen, um sicherzugehen, dass die Attacke auch wirklich keine Nachwirkungen hinterließ.

Zwei Wochen im Ausnahmezustand

Ich durchlebte in dieser Zeit ein wahres Wechselbad der Gefühle – von der (leider trügerischen) Hoffnung, dass wohl nix passiert sei, zu Beginn über den Schock, als dann auf einmal die IT stillstand, bis zu – ja ich gebe es zu – auch einer gewissen Wut auf die Kollegin. Keine Angst: Sie ist auch heute noch für uns tätig und mittlerweile unsere beste „Human Firewall“.

Dazu kam natürlich auch eine gewissen Angst, was die Attacke für die Zukunft meines Unternehmens bedeutet sowie immer wieder eine gewisse Resignation mit dem Gedanken: „Wann wird das alles wieder so wie früher. Ich hatte das Unternehmen fast zwanzig Jahre zuvor als Redaktionsbüro für deutsche und internationale IT-Unternehmen gegründet, später wurde das Unternehmen dann um den Geschäftsbereich Marktforschung erweitert. Wir waren eine eingeschworene Kerntruppe mit einer damals rasch wachsenden Anzahl von externen Projektmitarbeitern. Um diese flexibel und projektbezogen in unsere IT-Umgebung zu integrieren, hatten wir uns sehr früh mit dem Thema Cloud Computing beschäftigt.

Das Glück im Unglück: Genau diese Entscheidung erwies sich in den Tagen der Ransomware-Attacke als unsere Rettung. Als nämlich klar war, dass die Cloud-Systeme und die dort abgelegten Kunden- und Projektdaten den Angriff unbeschadet überstanden hatten, waren wir in der Lage, zumindest die laufenden Kundenprojekte fortzuführen.

Im folgenden Ausschnitt aus einem Video, das wir über die Ransomware-Attacke gedreht haben, gehe ich nochmals auf das Gefühlschaos aus diesen Tagen ein.

Das gesamte Video finden Sie in unserem Erfahrungsbericht zum Ransomware-Angriff hier auf der Webseite.

Aktuelle Zahlen zeigen: Wir sind nicht allein

Zum Zeitpunkt der Ransomware-Attacke 2019 war das Thema bei weitem noch nicht so bekannt wie heute. Deshalb tat ich mich auch lange schwer damit, darüber zu sprechen. Wie die nachfolgenden Zahlen verdeutlichen, haben sich die Cybersecurity-Bedrohungen gerade für KMU mittlerweile dramatisch verschärft:

• 70% der erfolgreichen Cyberattacken beginnen mit nur einer Phishing-E-Mail, die nicht erkannt wird,
• 57% aller Mittelständler mit 50-250 Mitarbeitern waren bereits mindestens einmal von einer Cyberattacke betroffen
• Die durchschnittliche Schadenshöhe einer Cyberattacke liegt bei 95.000 Euro,
• 77% der deutschen KMU glauben, sie tun genug – doch nur ein Drittel hat die wichtigsten Sicherheitsmaßnahmen implementiert
• 60% der Unternehmen verzichten komplett auf Mitarbeiterschulungen

Quellen: ENISA, GDV, HDI

Aus diesem Grund spreche ich mittlerweile auch offen über unsere Erkenntnisse und Erfahrungen in der Hoffnung, dass andere Unternehmen davon profitieren werden.

„Das trifft doch nur die Großen!“

Dieses Aussage höre ich noch immer häufig, wenn ich mich mit Fach- und Führungskräften in kleinen und mittleren Unternehmen darüber unterhalte, wie Sie das Risiko einschätzen, Opfer einer Cyberattacke zu werden. „Was gibt es denn bei uns schon zu holen?“ Genau so hatte ich bis zu diesem Tag im Jahr 2019 auch gedacht. Das dies ein Irrglaube ist, musste ich schmerzlich erfahren. Das Bundesamt für Sicherheit in der Informationstechnik bestätigt: „Cyberkriminelle allerdings gerne nach dem Motto „minimaler Aufwand, maximaler Ertrag“. Über den Weg des geringsten Widerstandes schlagen Cyberangreifer vor allem gerne bei KMU zu.“ – und nutzen damit genau diese Fehleinschätzung.

Dies unterstreicht auch das Ergebnis einer aktuellen Umfrage des Gesamtverbands der deutschen Versicherer (GDV): 80% der KMUs sehen ein hohes Cyberrisiko für andere Unternehmen, aber nur 34% glauben, selbst gefährdet zu sein.

Im nächsten Teil unserer Serie erfahren Sie, welche konkreten Lehren wir aus unserem Angriff gezogen haben und wie wir unser Security Awareness-Programm aufgebaut haben.

Was Sie jetzt schon einmal tun können

1. Prüfen Sie Ihren Security-Status: Machen Sie unseren kostenlosen Quick Check
2. Sensibilisieren Sie Ihre Mitarbeiter: Auch geschulte Personen können Opfer werden
3. Erstellen Sie einen Notfallplan: Bereiten Sie sich auf den Ernstfall vor