Technischer Support
Dokumentation
Anmeldung
Kontakt
Wenn Sie einen Systemadministrator fragen, was ihn oder sie am meisten an seinem oder ihrem Job stört, ist die Wahrscheinlichkeit ziemlich hoch, dass Sie - in keiner bestimmten Reihenfolge - Antworten wie "Benutzer", "fehlerhafte Updates" oder "Anrufe an einem Freitagnachmittag" erhalten. Einige werden Ihnen auch willkürliche Antworten wie "Arbeit nach Feierabend" oder "Einbruch in ihre Systeme" geben.
Ein Ransomware-Vorfall auf Ihren Produktionsservern erfüllt fast alle Kriterien. Die Systeme werden ausfallen, Ihre Benutzer (oder Kunden) werden sich beschweren, und Sie werden viel Zeit aufwenden müssen, um alles wieder zum Laufen zu bringen. Dies gilt insbesondere für Linux-Ransomware, die zunehmend auf Unternehmensumgebungen abzielt und den Betrieb erheblich stören kann.
Stellen Sie sich nun vor, dass dies im Dezember geschieht und die Verfahren zur Wiederherstellung der Funktionsfähigkeit voraussichtlich drei Wochen dauern werden. Die Weihnachtsstimmung wird schmerzlich vermisst werden.
Genau über diese Situation hat UKG vor ein paar Tagen berichtet. Ein Ransomware-Vorfall beeinträchtigte ihre Kronos Private Cloud-Systeme und betraf alle Bereiche vom Workforce Management über das Gesundheitswesen bis hin zu den von ihnen angebotenen Banklösungen. Der Silberstreif am Horizont scheint zu sein, dass die Daten der Nutzer nicht betroffen waren und sicher sind.
Dies ist leider immer häufiger der Fall.
Aus ihrer öffentlichen Ankündigung: "Während wir mit Hochdruck daran arbeiten, sind unsere Kronos Private Cloud-Lösungen derzeit nicht verfügbar. Da die Wiederherstellung der Systemverfügbarkeit bis zu mehreren Wochen dauern kann, empfehlen wir Ihnen dringend, alternative Business-Continuity-Protokolle in Bezug auf die betroffenen UKG-Lösungen zu prüfen und zu implementieren.
Ohne auf andere Aspekte einzugehen und aus rein beruflicher Sicht möchten wir den Teams, die versuchen, die Dinge wieder in einen sicheren Zustand zu bringen und wieder zu funktionieren, unser Mitgefühl aussprechen. Wir wissen, dass es eine harte und heikle Arbeit ist, und es erfordert Hingabe und Fachwissen, in einer solchen Situation die Ruhe zu bewahren.
Um auf den Ransomware-Angriff zurückzukommen, können wir, ohne alle Einzelheiten der Situation zu kennen, nur über das öffentlich bekannte Ergebnis sprechen, nämlich eine lange Ausfallzeit für die betroffenen Systeme. Auf den ersten Blick mag es seltsam erscheinen, warum es so lange dauert, bis alle Systeme wiederhergestellt sind, aber dafür kann es mehrere Gründe geben.
Erstens dauert es einige Zeit, bis Sie das Ausmaß eines Angriffs vollständig verstehen und das Vertrauen zurückgewinnen, das notwendig ist, um die Systeme wieder in Betrieb zu nehmen. Wenn man Backups wiederherstellt und feststellt, dass der Angriff vor der Erstellung der Backups stattfand, bedeutet dies nur, dass man erneut angegriffen wird. Die Alternative ist, alles zu löschen und die gesamte Infrastruktur neu zu starten, was Zeit kostet und sehr arbeitsintensiv ist.
Außerdem ist die Wiederherstellung von Sicherungen an sich schon ein langwieriger Prozess. Die schiere Menge an Daten, die von einem Speichermedium auf die Produktionssysteme übertragen werden muss, führt zu Engpässen bei der Speicherung und im Netzwerk und verlangsamt die Abläufe zusätzlich. Und bei den Sicherungslösungen, die keine Ausfallzeiten versprechen, wird lediglich eine Ansicht der Daten auf dem Sicherungsmedium angezeigt, was bedeutet, dass ein erneuter Angriff durch Ransomware die Sicherungsdaten selbst lahmlegen würde, und das ist ein sehr gefährliches Unterfangen.
Alles läuft darauf hinaus, das Vertrauen in Ihre Systeme wiederherzustellen. Das Letzte, was Sie in einer solchen Situation wollen, ist, dass die Backups korrekt wiederhergestellt werden und Sie einige Zeit später erneut von einem Teil der Infektion betroffen sind, den Sie entweder bei der ersten Bewertung übersehen haben, oder dass Sie eine erneute Infektion haben, weil Sie die Sicherheitslücke übersehen haben, die dem Angreifer überhaupt erst den Zugang ermöglicht hat.
Bei den heutigen Bedrohungen der Cybersicherheit ist es am besten, gar nicht erst angegriffen zu werden. Natürlich ist es im Nachhinein immer besser, und es wird dem IT-Team von UKG nicht helfen, seine Systeme schneller wieder online zu bringen, aber es ist eine deutliche Erinnerung an die Risiken für alle anderen. Es kann nicht schaden, sich mit den grundlegenden Aspekten zu befassen, wie z. B. mit einem angemessenen Patching, idealerweise mit einem schnellen Zeitplan (oder noch besser, mit einer Live-Patching-Lösung). Stellen Sie sicher, dass ältere Systeme auf dem neuesten Stand gehalten werden (hier sind Optionen für erweiterten Lebenszyklus-Support hilfreich). Bewahren Sie mehrere Backups auf einem Offline-Speicher auf, um zu verhindern, dass sie während der Speicherung durch Ransomware beschädigt werden. Und schließlich sollten Sie alles in Ihrer Infrastruktur regelmäßig überprüfen. Schließlich kann man nicht schützen, wovon man nicht weiß, dass es existiert.
