Wir wurden von Cyberkriminellen angegriffen! Wie aus einer Meldung von der «Melde- und Analysestelle für Informationssicherung – Melani» die grösste IT-Säuberungsaktion der Firmengeschichte entstand.
Alles begann eines Abends, als wir vom Meldezentrum (Melani) gewarnt wurden, dass unsere IT-Systeme möglicherweise infiziert sind und wir kurz vor der Verschlüsselung unserer Daten stehen.
Dieser Mittwochabend würde uns noch Monate beschäftigen und in Erinnerung bleiben!
Unsere schlimmsten Vorstellungen bewahrheiten sich. Unvorhersehbar und kaum zu erkennen, wurden wir Opfer eines Cyberangriffes. Schon über einen Monat, hielten sich die Kriminelle in unseren Systemen auf und verschafften sich nach und nach immer weiteren Zugriff in unseren Systemen.
Schnell reagierten wir und schlossen alle ein- und ausgehenden Kommunikationswege, um das Unternehmen zu schützen. Ziel der Angreifer: Erpressung mittels Lösegeldforderung durch Handlungsunfähigkeit der Firma durch Verschlüsselung der Daten sowie deren Datenklau.
Dank schnellem und professionellem Eingreifen konnten wir dies jedoch in letzter Sekunde abwehren!
Nach erster Abriegelung der Daten und Systeme, scannten wir die darauffolgenden Tage alles komplett durch, säuberten infizierte Hardware und ergriffen Sicherheitsmassnahmen, um nach und nach wieder in den Normalbetrieb zurückkehren zu können. Mit anfangs vielen Einschränkungen konnten wir trotz des Cyberangriffs den Betrieb weitestgehend aufrechterhalten. Die Suche nach «Client Zero» ergab, dass die Hacker vermutlich mittels Phishing-Mail über einen (nicht IT) Mitarbeiter ins System eingedrungen sind.
Auf den Cyberangriff und den ersten Massnahmen folgt eine Säuberungsaktion, welche die AMAG noch nie zuvor erlebt hatte:
Über sieben Monate werden infizierte und alte Systeme abgelöst, Hardware ausgetauscht und die Infrastruktur komplett überrollt. Altsysteme werden nicht wieder in Betrieb genommen und den Sicherheitsstandard in allen Bereichen erhöht. Mittels diesen (und weiteren) Anpassungen, soll ein solcher Vorfall ein Einzelfall bleiben. Es wird weitere Angriffe und Kompromittierungen in der Unternehmung geben, diese sollen viel früher und mit weniger Schaden entdeckt werden können. Die absolute Sicherheit gibt es nicht.
Wir alle lernen daraus:
- Altsysteme zeitnah ablösen
- Verschiedene Überwachungsmöglichkeiten einsetzten und nutzen
- Sensibilisierung der User (z.B.: Aufklärung über Phishing-Mails, Vorsicht vor unbekannten Links, etc.)
- Netzwerksecurity zu IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) erweitern
- Verbesserung Austausch mit Melani und weiteren wichtigen Security-Netzwerken (ERFA IT-Sicherheit Zentralschweiz, SGRP, …)
- Lifecycle-Management von Systemen und Anwendungen im Griff haben
- Aufbau eines internen CSIRT (Computer Security Incident Response Team)
- Erhöhen der Sensorik (ATP)
- Multi-Factor-Authentifizierung
- Schadcode-Ausführung verhindern (App-Blocker)
Der Cyberangriff hatte eine lehrreiche Zeit zur Folge, welche alle Mitarbeiter und viele Ressourcen forderte. Trotz allen Geschehnissen wurden viele neue Erkenntnisse gewonnen und die IT-Infrastruktur ist so sicher wie nie zu vor. Aufgedeckte Fehler wurden behoben und erkannte Sicherheitslücken geschlossen. Der Teamgeist und der Zusammenhalt in der gesamten IT wurde gestärkt. Nur dank des unermüdlichen Einsatzes jedes Beteiligten konnte diese herausfordernde Zeit so gut durchgestanden werden.
Fazit
Einer der wichtigsten Erkenntnisse ist, haltet man die Infrastruktur fit und aktuell, ergreift man essenzielle Sicherheitsmassnahmen, kann langfristig viel Geld gespart werden. IT-Security wird je länger je mehr wichtiger und erhält in jeder Firma einen immer höheren Stellenwert. An dieser Stelle zu sparen ist falsch und kann zu einem hohen Sachschaden führen.
