Systematisch die Situation gemeistert

Den Weg ins System hatten sich die Hacker wohl bereits zwei Monate zuvor gebahnt. „Bei 1.800 Mitarbeitenden ist die Wahrscheinlichkeit hoch, dass jemand mal auf eine Phishing-Mail klickt“, sagt Schäffler. In diesem Fall erbeuten die Kriminellen Log-In-Daten. Sie nutzen die gestohlene Identität, um das Unternehmen auszuspähen, bleiben zunächst in Deckung, aber „arbeiten“ sich hoch: Als sich im Zuge einer Fernwartung die Gelegenheit ergibt, eignen sie sich Admin-Rechte an. In einem zweiten Schritt stehlen sie erneut eine Identität, weil deren Rechte bis auf das Betriebssystem aller Server reichen – so lautet jedenfalls die forensische Einschätzung der Vorgänge. Somit gelingt den Hackern der Zugriff. Sie verschlüsseln Server und Speicher und drohen, die Lösegeldsumme alle drei Tage zu verdoppeln.

Das Unternehmen beginnt noch in der Nacht mit einer ersten Schadensaufnahme. Das komplette IT-System wird abgeschaltet, um weitere Zugriffe zu verhindern. Eingeschaltet werden die zuständigen Behörden und externe IT-Security-Spezialisten, die den Kurs in die Normalität unterstützen. Kaffee fließt in Strömen, aber Schuldzuweisungen bleiben aus. „Sie helfen nicht, wir haben Zusammenhalt gezeigt“, sagt Schäffler. Ein Krisenstab wird eingerichtet, um die weitere Agenda zu strukturieren und Aufgaben an die sofort etablierte IT-Taskforce zu verteilen. Erste Priorität hat die Sicherstellung des laufenden Betriebs. Sicherheitskritische Anlagen werden schnell manuell besetzt, auch die Versorgung von rund 20.000 Patienten mit Sauerstoff kann die Westfalen AG meistern. Sie zieht in dieser Situation einen Trumpf aus der Schublade: Papier. „Wir konnten weiterhin ausliefern, weil wir Zettel-und-Stift-Prozesse immer noch eingeübt hatten“, schildert Schäffler. Das Unternehmen setzt ein Reporting auf: Fortlaufend reflektiert der Krisenstab, wie der Betrieb aktuell läuft, nach und nach werden alle kritischen Systeme identifiziert und priorisiert. Auch die Kommunikation erfordert Organisation. Die Westfalen AG entscheidet sich für Offenheit und informiert zeitnah Mitarbeitende, Kunden und Partner. Erste Erfolge motivieren das Team. So zeigt die weitergehende Schadensanalyse, dass die Cloud unversehrt ist und Back-ups nur gelöscht, nicht chiffriert wurden. Rund 95 Prozent der Daten werden schließlich wiederhergestellt, weitere aus externen Quellen wiedergewonnen. „Wir haben gemerkt, dass wir es schaffen, deshalb kein Lösegeld gezahlt und die Kommunikation mit den Angreifern abgebrochen“, berichtet Schäffler. Das Unternehmen baut in der Folge die Systeme schrittweise auf und verzichtet zunächst zugunsten der Sicherheit auf bestimmte Funktionalitäten. Dieser Übergang in die Normalität, berichtet die Managerin, habe langen Atem gefordert.

„Ich kann nur empfehlen, die Strukturen neu und sicherer aufzubauen, und das Thema IT-Sicherheit ganzheitlich zu betrachten“, sagt Schäffler und meint damit unter anderem die Aspekte Prävention, Detektion und Resilienz. So startet das Unternehmen zur Vorbeugung immer wieder Awareness-Kampagnen: Simulierte Phishing-Mails sollen das Gefahrenbewusstsein der Mitarbeitenden fördern. Zudem hat es in ein SIEM (Security Information and Event Management) investiert und somit verdächtige Aktionen schneller im Blick. Das softwarebasierte Konzept erkennt viele Bedrohungen rechtzeitig und wendet sie automatisch ab. Um seine Widerstandsfähigkeit gegen die Folgen eines Angriffs zu stärken, hat die Westfalen AG Daten auf mehrere Standorte verteilt und greift ergänzend zu Back-Up-Instrumenten der Vor-Digitalzeit. „Wir sichern wieder auf klassischen Bändern, denn wir haben gelernt, dass nichts eine physikalische Trennung ersetzen kann“, erklärt Schäffler.