Angriff auf eine mittelständische Kanzlei

Im Folgenden möchte ich einen typischen Schadenfall schildern. Die geschädigte Kanzlei hatte in diesem Fall 12 Berufsträger und ca. 30 weitere Mitarbeiter. Damit also eine gewisse Größe und man darf davon ausgehen, dass auch gewisse Prozesse zum Thema Cybersecurity installiert waren. Dennoch konnte ein Verschlüsselungstrojaner problemlos die gesamte Kanzlei blockieren.

Die Informationen stammen direkt von einem Versicherungsunternehmen (in diesem Falle die HISCOX).

Nach einem Wochenende kommt eine Mitarbeiterin bereits früh ins Büro und versucht DATEV zu starten, was ihr allerdings nicht gelingt. Sie benachrichtigt den Administrator, der feststellt, dass ein Trojanerbefall vorliegt. Auf dem Desktop der Mitarbeiterin waren alle Dateien verschlüsselt und mit den Endungen .locked und .readme_txt abgelegt. Der Administrator fuhr daraufhin alle Systeme herunter und trennte das Netzwerk und die Stromzufuhr. Alle Mitarbeiter wurden gebeten nach Hause zu gehen und in Rufbereitschaft zu bleiben, da niemand absehen konnte, wie lange die Situation anhalten würde.

Der Administrator hat sich umgehend an den von der Versicherung empfohlenen Kriseninterventionsdienstleister gewandt. In telefonischer Absprache wurde entschieden, dass 2 Mitarbeiter des Dienstleisters vor Ort unterstützen sollten, da die Lage schwierig sei.

Vor Ort stellte sich dann heraus, dass tatsächlich alle Server bis auf das Mailarchiv von der Schadsoftware befallen waren. Es handelte sich um eine neue Version des Bitpaymer-Cryptotrojaners.

Die erste Analyse zeigte, dass sehr schwache Passwörter (vierstellig ohne Groß-/Kleinschreibung oder maximal achtstellig auf den Servern, die Clients waren teilweise komplett ohne Passwort) verwendet wurden. Für die Schadsoftware war dies vermutlich kein großes Hindersnis. Um auch zukünftig für erhöhte Sicherheit zu sorgen, wurde eine Sicherheitsrichtlinie erstellt, in der auch Kriterien für die Passwortvergabe festgelegt wurden.

Da auch das Back-up beschädigt war, dauerte es insgesamt gut zwei Wochen, um alle betroffenen EDV-Arbeitsplätze wieder arbeitsbereit einzurichten. Die Betroffene RA/StB-Kanzlei konnte in dieser Zeit nur sehr eingeschränkt arbeiten, da lediglich Telefongespräche geführt werden konnten. Die Mitarbeiter blieben größtenteils zu Hause und fragten jeden Tag erneut an, ob sie schon wieder ins Büro kommen könnten.

Die Kosten für die Datenrekonstruktion beliefen sich auf 58.000 EUR. Über weitere Kosten habe ich leider keine Informationen, aber das eingeschränkte Arbeiten über zwei Wochen dürfte die Kanzlei viel Geld gekostet haben.