Seit 2021 dürfen wir die Firma 4Service als IT-Dienstleister betreuen. Die Zusammenarbeit startete damals nach einem Zwischenfall, den wohl jedes Unternehmen fürchtet. Durch einen Verschlüsselungstrojaner hatten sich Erpresser Zugang zu den Unternehmensdaten von 4Service verschafft und die Firma mit der Forderung einer hohen Geldsumme im Tausch gegen die Daten erpresst. Wir haben Dirk Luthe, den Geschäftsführer von 4Service, zum damaligen Fall interviewt:

LOROP: Herr Luthe, Halloween 2021 hielt für Sie und ihre Kollegen eine ganz besonders böse Überraschung parat, oder?

Dirk Luthe: „Richtig, ohne dass wir es ahnten, hatte sich an diesem Tag jemand Zugang zu unserem Server verschafft. Als die Kollegen am Montag früh ins Büro kamen, hatte niemand mehr Zugriff auf unser Datenlaufwerk und auf dem Fileserver befand sich eine Erpresser-Nachricht.“

LOROP: Ein absolutes Alptraumszenario. Konnte damals nachvollzogen werden, wie sich die Täter Zugang zu ihren Daten verschafft haben?

Dirk Luthe: „Laut unserem damaligen IT-Dienstleister sind die Täter am Sonntagabend, den 31. Oktober 2021 gegen 23 Uhr, auf den Microsoft Exchange Mailserver gelangt. Vermutlich geschah dies über einen Zero-Day-Exploit der Outlook WebAccess Schnittstelle. Ende 2020 und Anfang 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor solchen Schwachstellen. Unser Exchange Server wurde damals erst im Frühjahr 2021 komplett neu installiert mit der neuesten Version und hatte alle Sicherheitsupdates. Insofern war nicht eindeutig nachvollziehbar, wie die Täter trotzdem auf das System gelangen konnten – aber der Tathergang ähnelt dem bekannten Muster früherer Fälle. Sobald die Täter Zugang hatten, erstellten Sie einen SYS-Account und gaben diesem neuen Account volle Administrator-Rechte – auch dieses ist nur unter Ausnutzung von Exploits möglich. Gegen 23:45h begann die Verschlüsselung der Netzwerkspeicher und der virtuellen Server-VHDs. Es konnte nicht vollständig ausgeschlossen werden, dass die Täter auch bereits vor dem 31. Oktober Zugriff hatten. Am Sonntag, den 31. Oktober 2021, hat mit hoher Wahrscheinlichkeit kein Datenabfluss stattgefunden, denn das Zeitfenster zwischen dem Zugriff und dem Start der Verschlüsselungsattacke ist mit 45 Minuten viel zu kurz gewesen, um relevante Datenmengen über den Upload der 4S-Internetleitung zu transportieren. Auch hier konnte nicht vollständig ausgeschlossen werden, dass die Täter bereits vor dem 31.10. Zugriff hatten – dann wäre genug Zeit gewesen, auch Daten zu kopieren und zu transferieren.“

LOROP: Sie haben damals entschieden, der Erpressung nicht nachzugeben und von Anfang an mit der Polizei zu kooperieren. Welche Folgen hatte der Datenverlust für 4S?

Dirk Luthe: „Es hat ca. 3 Monate gedauert, bis wir uns von dem Datenverlust langsam wieder erholt hatten. Die betroffenen Systeme mussten isoliert und komplett neu installiert werden. Erst in diesem Zusammenhang wurde festgestellt, dass unser Back-Up System schon seit längerem nicht funktioniert hat. Ob durch einen vorherigen Angriff oder einen sonstigen Fehler war nicht festzustellen und ist unserem damaligen Dienstleister nicht aufgefallen.“

LOROP: Das war damals der Startschuss für unsere Zusammenarbeit. Gemeinsam haben wir dann eine neue Backup-Strategie erarbeitet, durch die Ihre Daten nun deutlich besser abgesichert sind als zuvor. Auch am Exchange Server haben wir diverse Anpassungen vorgenommen, damit das Admin Center z.B. nicht mehr von extern erreichbar ist. Die Firewall ist inzwischen ebenfalls verbessert und auf dem neusten Stand. Da können wir also insgesamt von einem bunten Strauß Sicherheit sprechen. Hat sich seit dem Angriff Ihr Bewusstsein für solche Gefahren von außen geändert?

Dirk Luthe: „Ja, noch stärker.“

LOROP: Herr Luthe, haben Sie vielen Dank für das Interview und die wunderbare Zusammenarbeit! Wir hoffen, Sie fühlen Sich bei uns in sicheren Händen und gut gerüstet für solche Gefahren!

Dirk Luthe: „Ja, danke. Das tun wir.“