Stand 06.07.2021, 20:40

Was passierte beim Angriff?

Der Hersteller Kaseya wurde angegriffen und alle Kunden können betroffen sein. Der Angriff lief in drei Phasen ab und konnte mittendrin gestoppt werden. Daher kann Ihr Netzwerk noch heil wirken, obwohl dieses bereits (teilweise) kompromittiert wurde. In der Vorbereitung wurden Zertifikate getauscht, um die spätere Schadsoftware dem System als sicher vorzugeben. Danach wurden die Systeme manipuliert, d.h. Dienste zerstört und Schadsoftware geladen. In der dritten Phase wurden die Daten lokal und im Netzwerk verschlüsselt.

Wurden Daten entwendet?

Nach unserem Kenntnisstand wurden keine Daten entwendet, sondern „nur“ verschlüsselt und zerstört.

Welche Systeme sind betroffen?

Alle Windowssysteme sowohl für Arbeitsplätze als auch Server.

Mobile Geräte mit Handybetriebssystemen (IOS, Android) sowie MacOS sind nach jetzigem Kenntnisstand nicht betroffen und können unverändert weiter genutzt werden.

Meine Telefonie/Internet/E-Mail geht nicht, wie kann ich einen Notfallbetrieb realisieren?

Telefonie:
Man kann eine amtsseitige Rufnummernumleitung einschalten, d.h. die Zentrale wird direkt auf ein Handy Ihrer Wahl geleitet. Bitte rufen Sie dazu Ihren Telefonanbieter an:

  • Telekom Geschäftskunden: 0800 330 1300
  • Telekom Privatanschlüsse: 0800 330 1000
  • Vodafone Geschäftskunden 0800 172 1234

Internet:
Bitte schalten Sie keine Geräte an, es könnte sich der Schaden dadurch vergrößern. Wenn Sie z.B. ein externes Notebook ins Internet bringen wollen, so machen Sie das bitte über das Handynetz (3G/LTE/5G) und lassen das Notebook auf keinen Fall in Ihr internes Netz.

Sollte das Notebook kein LTE haben, können Sie Ihr Handy kann als Modem nutzen.
Beim IPhone: Einstellungen -> Persönlicher Hotspot -> Zugriff für andere erlauben.
Bei Android (z.B. Samsung):  Einstellungen -> „Netzwerk & Internet“ oder „Verbindungen“ -> „Tethering & mobiler Hotspot“ -> „Mobiler WLAN-Hotspot“
Dann im Notebook mit dem dort angezeigten WLAN verbinden.

Sie können auch einen Internetzugang für Notebooks über einen separaten Zugang über das Handynetz einrichten. Dazu benötigen Sie einen USB-Stick (für ein Gerät) oder gleich einen UMTS/5G Router (für mehrere Geräte gleichzeitig). Sie bekommen solche Geräte direkt im Handyshop vor Ort und benötigen dafür dann eine Prepaidkarte oder einen Datenvertrag. Geräte sind z.B. diese hier geeignet: https://www.telekom.de/mobilfunk/geraete/surfstick-router

E-Mail:

  • Lokaler Exchange: Dort gibt es keine schnelle Möglichkeit. Entweder kann man warten, bis der lokale Exchange wiederhergestellt ist oder man könnte auf Microsoft 365 wechseln (Exchange bei Microsoft) und dann per Webzugriff arbeiten (s.u.). Hoffentlich ab 07.07.2021 werden wir dafür jemanden extra dafür sitzen haben. Den Wechsel empfehlen wir aber nur, wenn das sowieso als Dauerlösung gedacht ist.
  • Microsoft 365 / Exchange Online: Sie  können sich mit Ihren Zugangsdaten von Microsoft hier einloggen: https://outlook.office365.com
  • IMAP-Konten: Bitte fragen Sie bei Ihrem Provider der Webseite/Domain nach dem Webmailer und loggen sich dort ein, z.B. bei IONOS/1und1: https://mail.ionos.de/

Mit welchen Geräten kann ich arbeiten und z.B. E-Mails empfangen?

  • Smartphones
  • Tablets mit IOS (Apple) und Android (verschiedene Handyhersteller)
  • geprüfte Notebooks oder auch private Geräte

Was mache ich mit den Datensicherungen von den verschlüsselten Daten?

Aufbewahren!!! Zum einen gibt es die Chance, dass das Kennwort später verfügbar ist und man damit die Daten entschlüsseln kann. Zum anderen hilft es den Strafverfolgungsbehörden, da damit bestimmte Beweise für einen Angriff/eine Erpressung ermittelbar sind (Eventlogs, Registry, KWorking-Verzeichnis, die Readme.txt mit der Lösegeldforderung).

Wichtig für die Datensicherungsmedien bei Kunden im Notbetrieb:

  • Sicherung des kompromittierten Systems: Bei allen Kunden, bei denen eine Sicherung des befallenen Systems erstellt wurde, sollte diese beschriftet werden und sicher verwahrt werden!
  • Rücksicherungsmedium: Bitte beschriften und bewahren Sie unbedingt das Medium der durchgeführten Rücksicherung auf, da dieses der aktuelle Stand ist.
  • Tägliche Datensicherung: Wir hoffen, dass ab Donnerstag die reguläre Datensicherung in Betrieb genommen werden kann. Aktuell ist keine automatische Datensicherung möglich.
  • Übrige Sicherungsmedien: Diese können voraussichtlich ab Donnerstag wieder für die tägliche Datensicherung verwendet werden und sollten dann täglich gewechselt werden.
Menü