Der dreigliedrige Ansatz von Jera-IT für die Reaktion auf Vorfälle und die Notfallwiederherstellung

Der Akira-Ransomware-Angriff

Eines Morgens erhielt der Helpdesk von Jera-IT zahlreiche Support-Anfragen von einem Kunden, da mehrere seiner Server offline gegangen waren. Bei der Diagnose stellte das Team von Jera-IT fest, dass der Kunde noch über viele Server verfügte, die online waren und funktionierten. Da das Team bereits Serveränderungen und -upgrades mit diesem Kunden besprochen hatte, ging man zunächst von einem physischen Host-Ausfall aus.

Als das Team von Jera-IT jedoch tief in das Problem eintauchte, um alle Server wieder online zu bringen, entdeckte es schnell Schäden an der Datenverschlüsselung und eine Textdatei mit dem Titel „Akira“, was darauf hindeutete, dass es sich um einen Cybervorfall handelte. „An diesem Punkt wurde ich zu einem Gespräch mit meinen Ingenieuren hinzugezogen, um sie zu unterstützen. Ich bin schon lange genug in der Branche, um zu wissen, womit wir es zu tun hatten und was wir zu tun hatten“, erinnert sich Clark.

Bei weiteren Untersuchungen stellte das Team von Jera-IT fest, dass fast 90 % der Dienste des Kunden bis hinunter auf die Ebene des Betriebssystems und der virtuellen Maschine (VM) verschlüsselt waren. Die Hacker konnten jedoch nicht das gesamte Netzwerk kompromittieren, da Jera-IT einige Server und Domänencontroller des Kunden an anderen Standorten installiert hatte.

„Wir gingen davon aus, dass alles im Netzwerk infiziert war, und starteten einen vollständigen Disaster-Recovery-Plan (DR). Wir trennten alles vom Internet und mussten sogar andere Wege finden, um miteinander zu kommunizieren“, sagt Clark.

Der dreigliedrige Ansatz

„Bei der Bewältigung dieser Situation hatten wir drei Aufgabenbereiche, die jeweils aus einem eigenen Blickwinkel angegangen werden mussten“, erklärt Clark. „In erster Linie musste unser Kunde seinen Geschäftsbetrieb um jeden Preis aufrechterhalten. Zweitens versuchte ein Incident-Response-Unternehmen (IR), alles mit einem großen Klebeband mit der Aufschrift „Nicht berühren“ abzusichern. Dann waren da noch wir – und damit wahrscheinlich die größte Herausforderung von allen –, die versuchten, dem Kunden bei der Wiederherstellung und Wiederaufnahme des Betriebs zu helfen, während wir gleichzeitig diese drei Ansätze unter einen Hut bringen und eine für alle Seiten akzeptable Lösung finden mussten“, fügt er hinzu.

Das erste, was Jera-IT in dieser Situation tat, war, sich an Datto zu wenden. „Wir arbeiten seit Jahren mit diesem Kunden zusammen, haben Datto-Backups eingerichtet und waren uns sicher, dass diese Backups zuverlässig sind. Das war für uns tatsächlich die Rettung“, erklärt Clark.

Ergebnis: Wieder betriebsbereit

Dank der robusten Disaster Recovery von Datto konnte Jera-IT einige der cloudbasierten geschäftskritischen Anwendungen des Kunden wiederherstellen, sodass dieser seinen Geschäftsbetrieb trotz des Chaos fortsetzen konnte. Anschließend gelang es dem Team von Jera-IT, das Problem einzudämmen und die Server kontrolliert wieder online zu schalten. Mit Hilfe ausgefeilter Tools verschafften sie sich einen Überblick darüber, wie der Angreifer in das Netzwerk eingedrungen war und welchen Schaden er angerichtet hatte.

Alle Server wurden gereinigt und mit Passwörtern, Firewalls und anderen Kernservices geschützt, bevor sie wieder online geschaltet wurden. Die Server wurden mit einem Endpoint Detection and Response (EDR)-Service ausgestattet, der zuvor noch nicht eingesetzt worden war. Innerhalb eines Monats waren alle Kundenservices wieder online.

„Fairerweise muss man sagen, dass der Kunde keinen einzigen Produktionstag verloren hat, und einer der Hauptgründe dafür sind die Backups von Datto. Ohne diese hätten wir die Server in der Cloud niemals wiederherstellen und die Kundendienste nicht in der gewohnten Weise wieder aufnehmen können“, betont Clark.

Die wichtigsten Erkenntnisse für MSPs und Unternehmen

Laut Clark gibt diese Geschichte sowohl dem MSP der Geschäftswelt Anlass zum Nachdenken.

„Wenn ich mit Entscheidungsträgern aus dem KMU-Bereich spreche, sagen sie oft, dass sie nicht über genügend Budget verfügen, um ihre Cybersicherheit zu verbessern – aber es ist erstaunlich, wie dieses Budget plötzlich doch aufgetrieben wird, um einen Cybervorfall zu beheben, wenn sie davon betroffen sind“, kommentiert Clark. „Zu Beginn dieses Vorfalls verfügte der Kunde über keine EDR-Lösung, und wenn ich mit ihm über eine EDR-Lösung gesprochen hätte, hätte ich garantiert nicht die erwartete Reaktion erhalten. Heute jedoch hat er einen vollständigen EDR-Service implementiert. Es ist also interessant, warum Menschen auf solche Vorfälle warten, um ihre Cybersicherheit zu verbessern.“

Clark merkt außerdem an, dass solche Cybersicherheitsvorfälle auch für MSPs ein großes Problem darstellen. Er fügt hinzu: „MSPs glauben zwar, dass ein Business-Continuity-Plan oder ein DR-Plan sie vor solchen Vorfällen bewahren würde, aber sie sind nicht auf die Auswirkungen vorbereitet, die diese Vorfälle auf ihr Geschäft haben könnten. Die meisten MSPs arbeiten zu 90 % mit voller Auslastung, und ein solcher Cybervorfall würde ihre Belegschaft erheblich belasten.“

Clark erinnert uns daran, dass Cybersicherheit ein kontinuierlicher Prozess ohne Endpunkt ist. „Für Unternehmer mag das schwer zu akzeptieren sein, aber die Diskussion um Cybersicherheit wird sich im Laufe der Zeit ständig weiterentwickeln“, schließt er.