Wie sich ein KMU nach einem Ransomware-Befall gerettet hat

Aus der Praxis

So überleben Sie Ransomware: Ein betroffenes KMU erzählt

Die Ransomware «WannaCry» macht weltweit Schlagzeilen. Andere Schädlinge sind aber genauso gefährlich. Ein betroffener KMU-Geschäftsführer erzählt, wie er auf ein Stelleninserat hin ein verseuchtes Word-Dokument erhielt und nur knapp einer Katastrophe entging.

Den E-Mail-Anhang geöffnet, und es lief gar nichts mehr. So ging es Philipp Zollinger, dem Geschäftsführer der Bassersdorfer TSM Grindel AG mit Indoor-Anlagen für Tennis, Squash, Minigolf und Badminton. «Ich hatte ein Stelleninserat für einen neuen Hauswart platziert, und noch am gleichen Tag kam eine Bewerbung per E-Mail mit einem PDF-Attachment.»

Zollinger öffnete das Dokument zuerst kurz auf dem PC an der Reception, dann auf seinem persönlichen Rechner. Bewerbungsunterlagen gab es keine zu sehen, dafür blockierte auf beiden Geräten sofort das System. «Und dies, obwohl auf unseren PCs Microsoft Security Essentials aktiviert ist. Genutzt hat das offenbar nichts, aber ich weiss, dass auch andere Malware-Schutzsoftware hier versagt hätte.»

Das Schlimmste verhindert

Zollinger kennt sich mit seiner IT gut aus, hat sofort reagiert und die PCs vom Netz getrennt. So konnte sich der Schädling nicht weiter ausbreiten, und auch die zentrale Datenablage auf dem NAS-Server blieb verschont. Auf den beiden PCs aber wurden alle Daten verschlüsselt – eine typische Ransomware-Attacke, die moderne Form der digitalen Erpressung. Aktuell ist vor allem der Schädling «WannaCry» in den Schlagzeilen.

Nur gegen Zahlung eines Lösegelds von 2000 Dollar in Bitcoins sollte Zollinger den Code zum Entschlüsseln erhalten. Jedesmal, wenn er eine Datei öffnen wollte, kam die Aufforderung, zu zahlen. «Auf diese Erpressung bin ich nicht eingegangen – man weiss ja nicht, ob man wirklich den Schlüssel bekommt oder einfach ins Juhee hinauszahlt. Ich lasse so etwas nicht mit mir machen», hält Philipp Zollinger fest.

So wappnen Sie sich gegen Ransomware wie WannaCry

  • Klären Sie mit Ihrem E-Mail-Provider, was er für die Sicherheit des Mail-Verkehrs tut.
  • Prüfen Sie Ihre Backup-Strategie: Was wird in welchen Abständen gesichert? Wo werden die gesicherten Daten gespeichert?
  • Erstellen Sie regelmässig ein Backup auf einem externen Datenträger, den Sie ausserhalb der Firma lagern. Eine dedizierte Cloud-Lösung für Backups bietet dieselben Vorteile – aber nur, wenn die Dokumente nicht über den Windows Explorer oder Finder zugänglich sind, sondern nur über die Backup-Software.
  • Seien Sie äusserst vorsichtig beim Öffnen von Office-Dokumenten und PDFs, die als E-Mail-Anhang eintreffen. Das gleiche gilt für ZIP-Dateien, die Dokumente mit Schadcode enthalten können. Öffnen Sie überhaupt nie ausführbare Dateien mit Endungen wie .exe oder .bat.
  • Zahlen Sie kein Lösegeld – es ist sehr wahrscheinlich, dass Sie keinen Code zum Entschlüsseln erhalten. Einzige Ausnahme: Wenn von wichtigen Daten kein Backup vorliegt, können Sie versuchen, per Lösegeld den Freigabeschlüssel zu erhalten.
  • Sorgen Sie für eine ausreichende Sicherheitsinfrastruktur. Dazu gehört eine moderne UTM-Firewall (Unified Threat Management), die auf cloudbasierte Schwarmintelligenz zurückgreift und so auch bisher unbekannte Bedrohungen abwenden kann.

Zu den betroffenen Daten gehört die Buchhaltung, die Zollinger auf seinem persönlichen PC führt. Glücklicherweise sichert er seine Daten inklusive Buchhaltungs-Datenbank regelmässig auf einen externen Datenträger, den er jeweils nach Hause nimmt. «So konnte ich auf relativ aktuelle Daten zurückgreifen.»

Aufwändige Wiederherstellung

Zunächst aber musste der PC völlig neu aufgesetzt werden, wie sich Zollinger von Fachleuten bestätigen liess: «Es hiess: Alles löschen und neu installieren, anders gehe es nicht». Die eigentliche Wiederherstellung inklusive Zusammenführung der zentralen und beweglichen Daten konnte er selbst durchführen, dank guter Datenbankkenntnisse. Seinen Aufwand schätzt er auf 40 Stunden, Ärger nicht eingerechnet. Und für externe Spezialisten habe er um die 2000 Franken gezahlt.

Ausserdem wurden bei TSM Grindel die Sicherheitsmassnahmen verbessert, etwa durch eine neue Firewall. Das Backup der Daten auf das NAS-System hat Zollinger automatisiert. Und er hat die externe Buchhalterin mit Nachdruck erinnert, ebenfalls regelmässige Backups zu erstellen. «Es muss auf jeden Fall ein separates Backup ausserhalb der Firma existieren. Nur schon deswegen, weil bei einer solchen Attacke ja auch die Sicherung auf das NAS verschlüsselt werden könnte».

In Zukunft noch vorsichtiger

Vom Aufwand abgesehen hatte der Angriff für TSM Grindel keine schlimmen Folgen. Laut dem Geschäftsführer blieb der E-Mail-Verkehr einige Tage lang liegen, und Zollinger musste diverse Dokumente erst wiederfinden. Einzelne E-Mails blieben bis heute verschollen. Aber Kunden hat er keine verloren.

«Das Schlimmste war der ganze Ärger. Eine andere Firma, die fürs Tagesgeschäft stärker auf die IT angewiesen ist, hätte es aber viel schwerer treffen können», resümiert Philipp Zollinger. Er kann jedoch nicht ausschliessen, dass künftig wieder ein ähnlicher Angriff erfolgt – etwa durch WannaCry. Deswegen ist er heute noch vorsichtiger als bisher, wenn es ums Öffnen von Dateien geht. Per E-Mail erhaltene Word-Dokumente öffnet er zum Beispiel überhaupt nicht mehr.

 

Titelbild: Alamy

Jetzt lesen