Noch einmal: Locky und Kon­sorten

Auch mir bekannte Unter­nehmen hat es getroffen. Manche mehr, manche weniger. Was haben die weniger betrof­fenen Unter­nehmen richtig gemacht?

Wie zu erwarten war, flaut die Bericht­erstattung über die Welle der Ver­schlüs­se­lungs­viren, die in Deutschland seit Anfang Februar gewütet haben, in der Presse ab. Die Gefahren bleiben jedoch. Immer noch kommt es zu Aus­brüchen der bekannten Viren oder neuer, aktu­eller Muta­tionen, z. B. Tes­laCrypt 4.0 Ganz wie bei der Bekämpfung bio­lo­gi­scher Seuchen.

Jüngst betroffene Unter­nehmen

Nach den Berichten in der Presse über betroffene Unter­nehmen wie z. B. einer Stadt­ver­waltung  und diverser Kran­ken­häuser  hat es mich doch über­rascht, auch in meinem per­sön­lichen Umfeld von sehr vielen betrof­fenen Unter­nehmen zu erfahren.

Da ist z. B. ein Autohaus, welches zäh­ne­knir­schend seine Werk­statt­kunden noch einmal zur Nach­be­gut­achtung ein­be­stellen muss. Die stan­dard­mäßig bei Unfall­schäden zur Abrechnung mit der Ver­si­cherung gemachten Fotos waren nämlich ver­loren. Ein Ver­schlüs­se­lungs­virus hatte alle Daten­be­stände unwie­der­bringlich unbrauchbar gemacht. Eine nicht befallene Daten­si­cherung, die nach Besei­tigung des Virus wieder ein­ge­spielt werden kann, lag nicht vor. Die Ver­si­cherung ver­weigert die Abwicklung des Schadens und besteht auf einer Nach­be­gut­achtung durch einen Sach­ver­stän­digen. Natürlich auf Kosten des Auto­hauses. Davon, dass die Kunden nicht begeistert reagieren, wenn sie kurz­fristig noch einmal vor­bei­kommen müssen, mal ganz abge­sehen.

Oder das Soft­ware­un­ter­nehmen, in dem eine Mit­ar­bei­terin eine E‑Mail von einem ver­meintlich bekannten Absender bekommt und den Datei­anhang öffnet. In diesem Fall besonders perfide: die E‑Mail kam angeblich von der Adresse „admin@<unternehmen>.de“ und sah für die Mit­ar­bei­terin tat­sächlich so aus, als wäre sie von der haus­ei­genen IT-Abteilung ver­sendet worden. Natürlich war die Versand-Mail-Adresse gefälscht …

In diesem Fall hat die Mit­ar­bei­terin dann aber absolut richtig gehandelt: sofort nach dem Klick auf den Datei­anhang (eine Zip-Datei) hat sie in der IT-Abteilung ange­rufen und nach­ge­fragt, was die IT-Abteilung denn für komische E‑Mails ver­schickt. Dem Mit­ar­beiter der IT-Abteilung war sofort bewusst, dass etwas nicht stimmen kann. Er sprintete zum PC der Mit­ar­bei­terin und zog das Netz­werk­kabel. Par­allel wurden alle Mit­ar­beiter ange­wiesen, alle IT-Systeme sofort abzu­schalten und die Admi­nis­tra­toren fuhren die Ser­ver­systeme her­unter. Lohn der Mühe: der Virus hatte sich inzwi­schen „nur“ auf einigen Arbeits­­platz-Sys­­temen ver­breitet, aber noch keine Ser­ver­systeme erreicht. Die betrof­fenen Arbeits­platz­systeme konnten aus­findig gemacht, zurück­ge­setzt und neu instal­liert werden. Daten­verlust kam nicht vor.

Kon­se­quenz

Die schnelle und richtige Reaktion der IT-Abteilung des Soft­ware­un­ter­nehmens hat den Schaden auf ein Minimum redu­ziert. Im Ver­gleich dazu kämpft das Autohaus wahr­scheinlich noch wochenlang mit den Folgen.
 

Ohne Mit­ar­beiter geht es nicht!

Schnelle und richtige Reak­tionen können nur die Mit­ar­beiter selbst ein­leiten. Sen­si­bi­li­sieren und infor­mieren Sie Ihre Mit­ar­beiter, wie sie im Falle eines – ich nenne es mal so – komi­schen oder uner­war­teten Ver­haltens ihres IT-Systems reagieren müssen. Dies gilt besonders, wenn das System nach einem Klick auf einen Datei­anhang oder Inter­netlink in einer E‑Mail z.B. 

• plötzlich ständig auf die Fest­platte zugreift (zu erkennen an der Leucht­diode für die Fest­platte) oder
• spürbar lang­samer wird und schlecht reagiert.

Dann sollten die Mit­ar­beiter sofort fol­gendes tun: 

1. System sofort her­un­ter­fahren (wenn noch möglich).
2. Netz­werkstecker ziehen bzw. WLAN deak­ti­vieren, um die weitere Ver­breitung des Virus zu unter­binden.
3. Sofort die IT-Abteilung, den EDV-Partner oder Admi­nis­trator infor­mieren, die dann schnell weitere Schritte ein­leiten müssen. 

Beste Vor­beugung: gar keinen Virus ein­fangen

Natürlich wollen wir alle uns einen Virus erst gar nicht ein­fangen. Dazu müssen wir viel­leicht etwas umdenken. Früher war der Rat­schlag immer: keine Dateien und Links aus E‑Mails unbe­kannter Quellen öffnen. Das gilt natürlich grund­sätzlich weiter. Inzwi­schen kommt die Schad­software aber oft mit E‑Mails aus ver­meintlich bekannten Quellen.

Bleiben Sie bei jeder emp­fan­genen E‑Mail miss­trauisch! Besonders, wenn Datei­an­hänge oder Inter­net­links ent­halten sind. Ent­scheiden Sie in jedem Ein­zelfall, ob Sie den Datei­anhang oder Inter­netlink wirklich aus dienst­lichen Gründen anklicken müssen. Falls ja, rufen Sie den Datei­anhang oder Inter­netlink erst auf, wenn Ihr Miss­trauen aus­ge­räumt ist, z. B. weil Sie die E‑Mail so auch erwartet haben. Not­falls fragen Sie beim Ver­sender nach, ob er Ihnen diese E‑Mail auch wirklich so geschickt hat.
Hätte die Mit­ar­bei­terin des Soft­ware­hauses im Fall oben vor — und nicht erst nach — dem Öffnen des Datei­an­hangs bei der IT-Abteilung nach der „komi­schen“ E‑Mail gefragt, wäre gar nichts pas­siert!