Wie Ransomware Weihnachten für IT-Teams ruinieren kann

Wenn Sie einen Systemadministrator fragen, was ihn oder sie am meisten an seinem oder ihrem Job nervt, ist die Wahrscheinlichkeit ziemlich groß, dass Sie - in keiner bestimmten Reihenfolge - Antworten wie "Benutzer", "fehlerhafte Updates" oder "Anrufe am Freitagnachmittag" erhalten. Einige werden Ihnen auch willkürliche Antworten wie "Arbeit nach Feierabend" oder "Einbruch in ihre Systeme" geben.

Ein Ransomware-Vorfall auf Ihren Produktionsservern erfüllt fast alle Kriterien. Die Systeme werden ausfallen, Ihre Benutzer (oder Kunden) werden sich beschweren, und Sie werden viel Zeit darauf verwenden müssen, alles wieder in Ordnung zu bringen.

Stellen Sie sich nun vor, dass dies im Dezember geschieht und die Verfahren zur Wiederherstellung der Funktionsfähigkeit voraussichtlich drei Wochen dauern werden. Die Weihnachtsstimmung wird schmerzlich vermisst werden.

Genau über diese Situation hat UKG vor ein paar Tagen berichtet. Ein Ransomware-Vorfall beeinträchtigte ihre Kronos Private Cloud-Systeme und betraf alle Bereiche vom Workforce Management über das Gesundheitswesen bis hin zu den von ihnen angebotenen Banklösungen. Der Silberstreif am Horizont scheint zu sein, dass die Daten der Nutzer nicht betroffen waren und weiterhin sicher sind.

Dies ist leider immer häufiger der Fall.

Aus ihrer öffentlichen Ankündigung: "Während wir mit Hochdruck daran arbeiten, sind unsere Kronos Private Cloud-Lösungen derzeit nicht verfügbar. Da die Wiederherstellung der Systemverfügbarkeit bis zu mehreren Wochen dauern kann, empfehlen wir Ihnen dringend, alternative Business-Continuity-Protokolle in Bezug auf die betroffenen UKG-Lösungen zu prüfen und zu implementieren.

Ohne auf andere Aspekte einzugehen und aus rein beruflicher Sicht möchten wir den Teams, die versuchen, die Dinge wieder in einen sicheren Zustand zu bringen und wieder zu funktionieren, unser Mitgefühl aussprechen. Wir wissen, dass es eine harte und heikle Arbeit ist und dass es Hingabe und Fachwissen erfordert, in einer solchen Situation die Ruhe zu bewahren.

Um auf den Ransomware-Angriff zurückzukommen, können wir, ohne alle Einzelheiten der Situation zu kennen, nur über das öffentlich bekannte Ergebnis sprechen, nämlich eine lange Ausfallzeit für die betroffenen Systeme. Auf den ersten Blick mag es seltsam erscheinen, warum es so lange dauert, bis alle Systeme wiederhergestellt sind, aber dafür kann es mehrere Gründe geben.

Erstens dauert es einige Zeit, bis Sie das Ausmaß eines Angriffs vollständig verstehen und das Vertrauen zurückgewinnen, das notwendig ist, um die Systeme wieder in Betrieb zu nehmen. Wenn man Backups wiederherstellt und feststellt, dass der Angriff vor der Erstellung der Backups stattfand, bedeutet dies nur, dass man erneut angegriffen wird. Alternativ dazu ist es sehr zeit- und arbeitsintensiv, alles zu löschen und die gesamte Infrastruktur neu zu starten.

Außerdem ist die Wiederherstellung von Sicherungskopien an sich schon ein langwieriger Prozess. Die schiere Menge an Daten, die von einem Speichermedium auf die Produktionssysteme übertragen werden muss, führt zu Engpässen bei der Speicherung und im Netzwerk und verlangsamt die Abläufe zusätzlich. Und bei den Sicherungslösungen, die keine Ausfallzeiten versprechen, wird lediglich eine Ansicht der Daten auf dem Sicherungsmedium angezeigt, was bedeutet, dass ein erneuter Angriff durch Ransomware die Sicherungsdaten selbst lahmlegen würde, und das ist ein sehr gefährliches Unterfangen.

Alles läuft darauf hinaus, das Vertrauen in Ihre Systeme wiederherzustellen. Neben der einfachen Wiederherstellung von Daten oder der Wiederinbetriebnahme von Systemen müssen Sie alles gründlich überprüfen, und auch das braucht Zeit. Das Letzte, was Sie in einer solchen Situation wollen, ist, dass Sie die Backups korrekt wiederherstellen und einige Zeit später erneut von einem Teil der Infektion betroffen sind, den Sie entweder bei der ersten Überprüfung übersehen haben, oder dass Sie eine erneute Infektion haben, weil Sie die Sicherheitslücke übersehen haben, die dem Angreifer überhaupt erst den Zugang ermöglicht hat.

Bei den heutigen Bedrohungen der Cybersicherheit ist es am besten, gar nicht erst angegriffen zu werden. Natürlich ist es im Nachhinein immer besser, und es wird dem IT-Team von UKG nicht helfen, seine Systeme schneller wieder online zu bringen, aber es ist eine deutliche Erinnerung an die Risiken für alle anderen. Es kann nicht schaden, sich mit den grundlegenden Aspekten zu befassen, wie z. B. mit einem angemessenen Patching, idealerweise mit einem schnellen Zeitplan (oder noch besser, mit einer Live-Patching-Lösung). Stellen Sie sicher, dass ältere Systeme auf dem neuesten Stand gehalten werden (hier sind Optionen für erweiterten Lebenszyklus-Support hilfreich). Bewahren Sie mehrere Backups auf einem Offline-Speicher auf, um zu verhindern, dass sie während der Speicherung durch Ransomware beschädigt werden. Und schließlich sollten Sie alles in Ihrer Infrastruktur regelmäßig überprüfen. Schließlich kann man nicht schützen, wovon man nicht weiß, dass es existiert.