Eine kritische Situation beschäftigte uns gleich zu Beginn des Monats und erforderte über Tage hinweg einen Großteil unserer Manpower:
Am Donnerstag, dem 26. September klingelte gegen 12 Mittag Uhr das Telefon unserer Hotline. Ein Hilferuf eines großen industriellen Kunden, der befürchtete, dass er mit einem sehr aggressiven und gefährlichen Trojaner namens Emotet infiziert worden ist.
Nach einer ersten Diagnose per Fernwartung war schnell klar: Hier kann nur noch vor Ort geholfen werden. Um 14 Uhr waren wir mit fünf Technikern beim Kunden. Leider bestätigten sich alle unsere Befürchtungen, dass alle PCs und Server von Emotet Virus befallen waren.
Eine schwere Entscheidung stand nun für den Kunden an. Er stoppte die Produktion: ein kapitaler Schaden für die Firma. Um 16 Uhr folgten weitere Techniker, um die Infektion schnellstmöglich zu entfernen. Trotz mehrfacher Unterstützung von Antivirenherstellern und Firewall Experten sogar mit Hilfe unserer Kontakte von BSI Bundesamt für Sicherheit in der Informationstechnologie und Landeskriminalamt Saarbrücken wurde schnell klar, dass es aktuell keine technischen Möglichkeiten gibt, den Virus sauber und sicher von den PCs und Servern zu entfernen.
Schnell stand fest, dass eine Neuinstallation von ca. 400 PCs unausweichlich ist und auch fast alle Server zurückgesichert werden müssen. Auf unsere Empfehlung hin wurden sofort an neuinstallierten Clients und Servern alle nötigen Schutzmaßnahmen (ANTI-Ransom, Antiviren-Software, Smartupdates) über Server-Eye ausgerollt und überwacht, um neue Infektionen zu verhindern bzw. sofort zu erkennen.
Über das gesamte Wochenende waren ständig 7 bis 8 Techniker von Krämer IT im Auftrag des Kunden unterwegs und immer mit dem Ziel vor Augen, die Installationsbasis so schnell und soweit voranzutreiben, damit die Produktion schnellstmöglich wieder anlaufen kann. Mit vereinten Kräften haben wir dies auch geschafft. Von Montag bis Mittwoch konnten wir immer mehr Teile der Produktion wieder in Betrieb nehmen. Noch die gesamte nachfolgende Woche stand im Zeichen von Nacharbeiten. Ab dem 7. Oktober war die gesamte Produktion wieder in Betrieb.
Aus dieser Situation möchten wir drei Punkte ableiten bzw. besonders hervorheben:
• Auf Krämer IT und unsere Techniker ist zu jedem Zeitpunkt in kritischen Situationen zu 100 % Verlass. Ohne große Diskussion haben sich ausreichend viele Techniker freiwillig dazu bereiterklärt, ihr Wochenende zu opfern und im Dienste des Kunden dafür zu sorgen, dass alles wieder funktioniert.
• Damit solch eine Reaktionszeit und solch ein Einsatz mit so vielen Personen möglich ist, müssen ggf. andere nicht kritische Aufgaben und Termin umgeplant werden. Wir danken für das Verständnis der Kunden, die warten mussten und von Terminverschiebungen betroffen waren. Man sollte immer daran denken, dass es einen auch selbst erwischen kann.
• Der Vorsorge gegen Trojaner und Abwehr von Cyberkriminalität wird immer noch viel zu wenig Bedeutung beigemessen. Es gibt mittlerweile ausreichend funktionelle Schutzmechanismen die helfen, solche Angriffe effektiv zu vermeiden. Ein funktionierendes Backup ist der erste Schritt. Darüber hinaus ist ein zusätzlicher Schutz durch Antiviren-Software, Anti-Ransom sowie eine Patchmanagement Lösung zum Schließen kritischer Sicherheitslücken in Ihren Systemen heutzutage unausweichlich. Alle diese Schutzmaßnahmen können wir – wie auch in diesem Fall – durch Server-Eye bereitstellen und überwachen.
Sollten Sie Fragen haben, wie auch Sie sich gegen solche Dinge effektiv schützen können, sprechen Sie uns an. Dominik Carl und Stefan Müller stehen Ihnen hierzu gerne zur Verfügung.
