Aus der Praxis
So überleben Sie Ransomware: Ein betroffenes Unternehmen erzählt
Die Ransomware «WannaCry» macht weltweit Schlagzeilen. Andere Schädlinge sind aber genauso gefährlich. Ein betroffener Unternehmens-Geschäfts-führer erzählt, wie er auf ein Stelleninserat hin ein verseuchtes Word-Dokument erhielt und nur knapp einer Katastrophe entging.
Urs Binder, Mai 2017
Den E-Mail-Anhang geöffnet, und es lief gar nichts mehr. So ging es Philipp Zollinger, dem Geschäftsführer der Bassersdorfer
Zollinger öffnete das Dokument zuerst kurz auf dem PC an der Reception, dann auf seinem persönlichen Rechner. Bewerbungsunterlagen gab es keine zu sehen, dafür blockierte auf beiden Geräten sofort das System. «Und dies, obwohl auf unseren PCs Microsoft Security Essentials aktiviert ist. Genutzt hat das offenbar nichts, aber ich weiss, dass auch andere Malware-Schutzsoftware hier versagt hätte.»
Das Schlimmste verhindert
Zollinger kennt sich mit seiner IT gut aus, hat sofort reagiert und die PCs vom Netz getrennt. So konnte sich der Schädling nicht weiter ausbreiten, und auch die zentrale Datenablage auf dem NAS-Server blieb verschont. Auf den beiden PCs aber wurden alle Daten verschlüsselt – eine typische Ransomware-Attacke, die moderne Form der digitalen Erpressung. Aktuell ist vor allem der Schädling «WannaCry» in den Schlagzeilen.
Nur gegen Zahlung eines Lösegelds von 2000 Dollar in Bitcoins sollte Zollinger den Code zum Entschlüsseln erhalten. Jedesmal, wenn er eine Datei öffnen wollte, kam die Aufforderung, zu zahlen. «Auf diese Erpressung bin ich nicht eingegangen – man weiss ja nicht, ob man wirklich den Schlüssel bekommt oder einfach ins Juhee hinauszahlt. Ich lasse so etwas nicht mit mir machen», hält Philipp Zollinger fest.
Zu den betroffenen Daten gehört die Buchhaltung, die Zollinger auf seinem persönlichen PC führt. Glücklicherweise sichert er seine Daten inklusive Buchhaltungs-Datenbank regelmässig auf einen externen Datenträger, den er jeweils nach Hause nimmt. «So konnte ich auf relativ aktuelle Daten zurückgreifen.»
Aufwändige Wiederherstellung
Zunächst aber musste der PC völlig neu aufgesetzt werden, wie sich Zollinger von Fachleuten bestätigen liess: «Es hiess: Alles löschen und neu installieren, anders gehe es nicht». Die eigentliche Wiederherstellung inklusive Zusammenführung der zentralen und beweglichen Daten konnte er selbst durchführen, dank guter Datenbankkenntnisse. Seinen Aufwand schätzt er auf 40 Stunden, Ärger nicht eingerechnet. Und für externe Spezialisten habe er um die 2000 Franken gezahlt.
Ausserdem wurden bei TSM Grindel die Sicherheitsmassnahmen verbessert, etwa durch eine neue Firewall. Das Backup der Daten auf das NAS-System hat Zollinger automatisiert. Und er hat die externe Buchhalterin mit Nachdruck erinnert, ebenfalls regelmässige Backups zu erstellen. «Es muss auf jeden Fall ein separates Backup ausserhalb der Firma existieren. Nur schon deswegen, weil bei einer solchen Attacke ja auch die Sicherung auf das NAS verschlüsselt werden könnte».
In Zukunft noch vorsichtiger
Vom Aufwand abgesehen hatte der Angriff für TSM Grindel keine schlimmen Folgen. Laut dem Geschäftsführer blieb der E-Mail-Verkehr einige Tage lang liegen, und Zollinger musste diverse Dokumente erst wiederfinden. Einzelne E-Mails blieben bis heute verschollen. Aber Kunden hat er keine verloren.
«Das Schlimmste war der ganze Ärger. Eine andere Firma, die fürs Tagesgeschäft stärker auf die IT angewiesen ist, hätte es aber viel schwerer treffen können», resümiert Philipp Zollinger. Er kann jedoch nicht ausschliessen, dass künftig wieder ein ähnlicher Angriff erfolgt etwa durch WannaCry. Deswegen ist er heute noch vorsichtiger als bisher, wenn es ums Öffnen von Dateien geht. Per E-Mail erhaltene Word-Dokumente öffnet er zum Beispiel überhaupt nicht mehr.
