In den letzten Jahren und Monaten las und hörte man regelmässig von Schweizer Unternehmen, die von Cyber-Angriffen heimgesucht wurden. Massgeblich unterscheiden sich aber die Kommunikationsstrategien während und nach den Angriffen. Sehr offen kommuniziert und daher medial recht präsent war unter anderem der Fall Meier Tobler: Das Unternehmen für Haustechnik wurde im Sommer 2019 Opfer einer schwerwiegenden Ransomware-Attacke, die massiven Schaden anrichtete und das Unternehmen für mehrere Tage handlungsunfähig machte. Im Gespräch geht Claude Urbani, seit September 2019 CIO bei Meier Tobler, tiefer auf den Breach und dessen Folgen ein und erklärt, wie es das Unternehmen, das rund 1300 Mitarbeiter beschäftigt, aus der Krise geschafft hat und wo die Stolpersteine auf diesem Weg lagen.
Wie im Krimi
Zuerst aber eine Rekonstruktion des Falls: Zu einem noch immer unbekannten Zeitpunkt verschaffen sich Hacker, wohl über Phishing-Mails, den Zugang zur IT-Umgebung von Meier Tobler. Damit ist das Tor zur Umgebung des Unternehmens geöffnet. Daraufhin werden die Zugangsdaten im Dark Net gehandelt und schliesslich auch gekauft. Heute nachvollziehbar ist, dass seit 2018 E-Mails gesammelt wurden. Offenbar eine Vorbereitung auf das Spear- und Dynamit-Phishing, also sehr gezieltes E-Mail-Phishing, das exakt auf das Opfer zugeschnitten ist.
Ab April 2019 verschickt sich der eingeschleuste Trojaner Emotet schliesslich selbst als Teil modifizierter, vergangener E-Konversationen. Emotet ist nur schwer zu erkennen, da er im Wochentakt mutiert und sich geschickt versteckt. Im Fall Meier Tobler passiert der entscheidende Fehler dann mit einer E-Mail: Der betroffene Mitarbeiter kennt den Absender, die E-Mail bezieht sich direkt auf seine Arbeit, die Signatur in der E-Mail scheint glaubwürdig – damit ist die E-Mail nur äusserst schwer als Gefahr erkennbar. Im Anhang – einem Word-File – ist dann wahrsten Sinne des Wortes der Wurm drin. Nachfolgend wird von den Angreifern das Angriffswerkzeug Cobalt Strike geladen, welches eine solide Operationsbasis für den Angriff legt und eine Verbreitung im Firmennetzwerk ermöglicht. Zum Schluss folgt die Verschlüsselungs-Software namens Mega Cortex und verschlüsselt massgebliche Teile der IT-Umgebung. Verschont werden wenigstens das ERP-System und die Backups. Damit sind zwei essenzielle Punkte schnell klar: Zum einen sind keine Kundendaten betroffen, zum anderen würden die Backups zurückgespielt werden können.
Schnelle Reaktion ist die halbe Miete
Als einer der zwei externen IT-Dienstleister von Meier Tobler das Unternehmen im Juli 2019 nachts um 2.00 Uhr über den Breach informiert, reagiert das Unternehmen schnell: Die Stecker werden gezogen, alle Systeme sofort heruntergefahren und man beginnt kurz darauf damit, die Kunden über die eigene Handlungsunfähigkeit zu informieren. Ein Krisenstab wird einberufen, ein War Room eingerichtet, der damalige CIO aus den Ferien zurückgeholt. Nur einige Stunden später engagiert Meier Tobler einen externen Cyber-Defense-Spezialisten, der das Krisen-Management begleiten soll. Die Wiederherstellungsarbeiten beginnen sofort. Auch informiert man die Meldestelle Melani, schaltet die Justiz ein und entscheidet, die Lösegeldforderung der Angreifer nicht zu bezahlen.
Bereits einen Tag später läuft der Betrieb der SAP-Instanz auf Citrix und die Telefonie ist wiederhergestellt, noch einen Tag später gehen die ersten 20 Arbeitsplätze ans Netz, Kundenanfragen können damit erstmals wieder bearbeitet werden.
Über die folgenden Wochen und Monate gehen auch die über die Schweiz verstreuten Arbeitsplätze, Lager und Filialen (Marchés) endlich wieder in den geregelten Betrieb über. Der Angriff ist zwar überstanden, aber die Aufräumarbeiten dauern bis heute noch an.
«Das alles war schlimm. Das gönne ich nicht einmal meinem ärgsten Widersacher», so Claude Urbani rückblickend zum Breach, der Millionenschäden verursachte.
Korrekte Schutzmassnahmen und etwas Glück
«Die Leute waren komplett am Anschlag», erinnert sich der CIO. Die IT-Fachkräfte arbeiteten Tag und Nacht, seit Wochen. Als Urbani im September 2019 um Hilfe angefragt wurde und das Steuer der internen IT-Abteilung übernahm, war die Situation noch immer äusserst schwierig.
«Dass wir unsere Umgebung in dieser Form retten konnten, war eine Mischung aus guter Vorbereitung, der korrekten initialen Reaktion und letztlich wohl auch etwas Glück im Unglück», so Claude Urbani. «Die Hacker versuchten, maximalen Schaden anzurichten. Das ist auf den Datenbanken des ERP-Systems nicht einfach, daher werden erst einmal alle verfügbaren Windows-Systeme wie Active Directory oder Shares eher infiziert. Und das gelang den Angreifern ja auch.» Unabhängig vom Befall und der Verbreitung einer Malware sei es aber natürlich zentral, dass von der Umgebung abgesonderte Backups existieren. Diese Vorbereitungen hatte das Unternehmen glücklicherweise getroffen. «Ausserdem haben wir eben wirklich gut reagiert», erklärt Urbani weiter. «Im Anschluss haben wir jedes System einzeln in der Isolation geprüft. Das ist essenziell – sonst hat man möglicherweise gleich einen weiteren Schaden.»
Behördliche Zusammenarbeit
Wie bereits erwähnt, hat sich Meier Tobler von Beginn an mit den Behörden abgesprochen. Die Meldestelle Melani wurde informiert, die Polizei eingeschaltet. «Die Kantonspolizei Zürich hat Ermittlungen aufgenommen. Über das laufende Verfahren können wir aber keine Auskunft geben», so Urbani. Die Zusammenarbeit mit den zuständigen Ämtern und der Justiz sieht er differenziert: «Bei Melani war die Unterstützung recht überschaubar. Die grösste Unterstützung hat ganz klar unser Cyber-Defense-Spezialist geleistet, das war sehr gut.» Melani sei – zumindest damals – nicht wirklich auf einen so grossen Fall vorbereitet gewesen. «Da hat man technische, organisatorische und soziale Probleme und Fragen. Ganz konkret: Man hat eine neue Krisenorganisation, da muss man jemand haben, der von aussen aus einer freieren und weniger emotional gesteuerten Sichtweise daherkommt und führen kann.» Diese Cyber-Defense-Spezialisten hatten das nötige Wissen und auch die internen Leute mit militärischen Karrieren seien dank strukturiertem Krisen-Management ebenfalls sehr hilfreich gewesen, so der CIO.
Mit den Security-Experten hielt man täglich mehrstündige Konferenzen ab und koordinierte die Massnahmen. Urbani: «Ich empfehle jedem Unternehmen einen solchen Spezialisten hinzuzuziehen. Versuchen Sie nicht, selbst zu basteln!» Besonders relevant sei dabei die Priorisierung der Massnahmen, um einen geregelten Wiederaufbau zu gewährleisten.
Dass der Bund derzeit die Massnahmen aufstockt (nachzulesen im Interview mit Florian Schütz ab Seite 33), nimmt Urbani zwar zur Kenntnis, «aber die Mühlen mahlen halt etwas langsamer beim Bund», fügt er schmunzelnd an. In Deutschland etwa sei der Staat deutlich weiter in der Informationstransparenz. «Melani ist aber nicht dafür verantwortlich, den Firmen im Fall eines Breachs zu helfen. Die Aufgabe des Bundes müssen Präventivmassnahmen sein. Mir wäre es recht, wenn im Cyber-Security-Bereich präventiv noch etwas mehr passieren würde.» Die Wirtschaft solle besser sensibilisiert werden, um sich auch besser auf den schlimmsten Fall vorbereiten zu können. Urbani ist sicher, dass nicht allen Firmen bewusst ist, dass man alleine auf den finanziellen Folgen eines Angriffs sitzen bleibt, wenn man sich nicht nach bestem Wissen und Gewissen geschützt hat.
Zusammenfassend sagt er zur Aufgabe des Staats: «Ich wünsche mir von der Politik und vom Bund mehr Engagement, damit die Schweizer KMU-Szene besser geschützt ist und sich etwas mehr Security leisten kann. Denn das kostet viel Geld.»
Die Lage der Schweizer Unternehmen
Den Stand der Vorbereitungen auf eine Cyber-Attacke bei Schweizer Unternehmen beäugt Claude Urbani mit eher kritischem Blick: «Ich sehe immer noch oft, dass man bei Schweizer Firmen die Sicherheitsrisiken kleinredet. Und die Bedrohungslage verschärft sich ständig. Man sollte diese Security Assessments, wie sie auch der Bund anbietet, wirklich durch eine spezialisierte Firma durchführen lassen. Meist merken die Firmen dann auch schnell, dass man tatsächlich massive Löcher hat.»
Ein weiterer Punkt, so der CIO, ist die Rolle seines Berufsstandes in der Schweizer Wirtschaft: «Meier Tobler hat glücklicherweise erkannt, was die Rolle eines CIOs sein muss. Ich sitze hier in allen Geschäftsleitungssitzungen. Diese Relevanz der IT ist noch nicht zu allen Unternehmen durchgedrungen, etwa in vielen Spitälern, aber auch in anderen Firmen, ist das heute noch nicht der Fall, obwohl die IT dort so zentral ist.» Urbanis Aufruf an die Schweizer Unternehmen ist deutlich: Man sollte der IT die Relevanz einräumen, die ihr zusteht, und die Verantwortlichen und Fachkräfte in der Folge viel mehr ins Business miteinbeziehen, als das heute geschieht – denn durch die zunehmende Digitalisierung agiert die IT vermehrt als Business Enabler.
Das grösste Risiko sitzt vor dem Bildschirm
«Das grösste Sicherheitsproblem sitzt ganz klar vor dem Bildschirm», erklärt Urbani. Selbst vor dem Angriff hat Meier Tobler schon Sensibilisierungstrainings mit den Mitarbeitern durchgeführt. Man verschickte unter anderem Test-Mails und kontrollierte, wie viele Mitarbeiter das Schreiben öffneten und wie viele davon auf den Anhang anklicken (siehe Grafik). Der entscheidende Fehler ist dennoch genau mit einer solchen E-Mail passiert. «Sie können da nicht genug machen. Man muss den Leuten ein bisschen auf die Nerven gehen, damit die Brisanz verstanden wird», schlussfolgert Urbani. Das Einbeziehen der Belegschaft ist ein enorm wichtiger Bestandteil einer jeden Security-Strategie und wird bei Meier Tobler natürlich auch weiterhin aktiv gelebt.
Ein weiteres wichtiges Learning: offene Kommunikation. Die Handlungsunfähigkeit kann nicht verschwiegen werden, so Urbani. Das ist auch wichtig, um den Partnern und Kunden die Angst nehmen zu können, dass deren Daten nicht betroffen sind, wie das im Fall von Meier Tobler glücklicherweise der Fall war. Die meisten Kunden reagierten solidarisch, es kamen gar mitfühlende und aufmunternde Antworten an Meier Tobler zurück. Und abgesprungen sind die Kunden im Rahmen des Angriffs auch nicht. Urbani: «Es gibt viele Unternehmen, die einen Angriff nicht kommunizieren. Aber das kann jedem passieren. Die Firmen, die denken, dass sie dann schlecht dastehen, haben noch nicht verstanden, dass es morgen auch sie treffen kann.»
Natürlich implementierte das gebeutelte Unternehmen auch technologische Sicherheitsmassnahmen: Die Überwachungssoftware Tanium kontrolliert mit Sensorik die Umgebung heute in Echtzeit und rund um die Uhr, die Security Policies wurden verschärft, Ausnahmelisten für Websites wurden erstellt und die Zwei-Faktor-Identifizierung eingeführt, um nur eine Auswahl zu nennen. Auch werden potenziell gefährliche E-Mails in einer Sandbox geöffnet und kontrolliert. Weiter reagiert man schneller, wie etwa auf aktuelle Ereignisse: Im Rahmen der Covid-19-Krise und erhöhtem Home-Office-Einsatz dürfen beispielsweise nur speziell gehärtete Geräte per VPN auf die Umgebung zugreifen. «Private PCs mit VPN und ohne Citrix ins Firmennetzwerk zu lassen, wäre derzeit sicher falsch», so der CIO.
«Bevor ICT-Sicherheit operativ umgesetzt werden kann, sollte man seine ICT-Grundsätze festlegen. Diese definieren die Regeln, Prozesse, Metriken und organisatorischen Strukturen, welche für eine effektive Planung, Steuerung und Überwachung erforderlich sind», lautet Urbanis Fazit. «Die Bedrohungslage hat sich radikal verändert und verschärft, und alle Branchen unabhängig der Firmengrösse sind betroffen, zusätzliche Sicherheitsmassnahmen sind unumgänglich.»
Urbanis Urteil ist ernüchternd, schafft damit aber auch Klarheit: «Denn sind wir mal ehrlich – absolute Sicherheit gibt es im Cyber-Bereich einfach nicht!»
Krisen – gestern wie heute
Aus aktuellem Anlass vergleicht der CIO zum Schluss die aktuelle Corona-Krise noch einmal mit der Cyber-Sicherheit: «Wir sind, wie wir heute sehen, nicht genügend auf die Corona-Krise vorbereitet. Ob nun Covid-19 oder Cobalt Strike, Vorbereitung kostet immer Geld. Das ist bei IT-Security genau dasselbe Problem. Und diese Probleme kommen auch immer wieder. Wenn man vorgängig nicht investiert, zieht ein Vorfall schlimme Folgen nach sich, auch finanziell. Die Investition für die Prävention ist im Vergleich klein.»
Für den CIO gibt es in der aktuellen Situation aber einen Hoffnungsschimmer, dass wir alle – wie schon Meier Tobler nach dem Cyber-Angriff – gestärkt und mit neuem Bewusstsein aus der Krise finden: «Auch die heutige Situation wird dazu beitragen, dass man der IT und der Digitalisierung die notwendige Wichtigkeit beimisst. Die Umsätze sind massgeblich beeinträchtigt, wenn die IT nicht läuft. Wir sind extrem abhängig. Das Coronavirus könnte der Digitalisierung in der Industrie nochmal einen Schub verleihen.»
Nun soll langsam, aber sicher Ruhe einkehren, hofft Urbani. Eine gewisse Müdigkeit in seiner Aussage ist nicht überhörbar: «Und heute – damit sind wir aber nicht alleine – sind wir mit der Corona-Krise schon wieder in einer Ausnahmesituation. Ich wünsche mir eigentlich vor allem, dass Meier Tobler endlich wieder normal arbeiten kann.»
Im Zusammenhang mit obigen Aussagen von Claude Urbani, CIO bei Meier Tobler, bezüglich Melani-Unterstützung legt Meier Tobler Wert darauf, die Aussagen wie folgt zu präzisieren:
Die Aussagen beziehen sich auf die direkte Kontaktunterstützung der Krisenbewältigung bei Meier Tobler AG, welche durch InfoGuard AG erfolgte und nicht im Aufgabenbereich der MELANI erbracht werden kann. MELANI stand mit der InfoGuard AG in regem Kontakt, hat u.a. Daten analysiert (Malware Binaries und Artefakte) und wichtige Informationen über die Angreifer an InfoGuard abgegeben. Diese im Hintergrund aktive und grosse Unterstützung der MELANI hat die direkte Krisenbewältigung von InfoGuard AG bei Meier Tobler AG wesentlich und sehr positiv beeinflusst. Die Meier Tobler AG möchte dies präzisieren und bedankt sich bei MELANI für die rasche und gute Zusammenarbeit mit InfoGuard AG.
Martin Kaufmann / CEO
Claude Urbani
Claude Urbani ist selbständig und für UMB als IT-Unternehmer und -Berater tätig und arbeitet seit September 2019 im Vollzeitpensum als CIO für Meier Tobler. Zuvor war der erfahrene IT-Experte Chef des System Engineerings der Schweizer Armee FUB und hatte verschiedene Management- und Consulting-Positionen in der Informatik inne.
(win)