Wenn Sie im Bereich der Cybersicherheit arbeiten, bedeutet das Klingeln Ihres Mobiltelefons an einem Freitag in der Regel schlechte Nachrichten. Cyberkriminelle kennen unseren Arbeitsrhythmus und wissen, an welchen Tagen sie am ehesten Erfolg haben werden. Daher ereignen sich viele Cyber-Vorfälle freitags. Und wir befürchteten das Schlimmste, als am 19. Juli das Telefon nicht aufhörte zu vibrieren.

An dieser Stelle beginnen die guten Nachrichten. Zunächst vibrierte das Telefon nicht wegen eines Anrufs von GMVs CERT, dem rund um die Uhr funktionierenden Sicherheitsüberwachungs- und Störungsdienst. Wir erhalten diese Anrufe, wenn es einen Cybervorfall gibt, der GMV oder einen seiner Kunden betrifft und unsere CERT-Kollegen darüber berichten müssen. Es handelte sich also wahrscheinlich nicht um einen schwerwiegenden Vorfall, was uns Zeit für eine durchdachtere und leichter umzusetzende Reaktion gab. 

Die zweite gute Nachricht ist, dass es sich Herkunft der Handygeräusche nach um interne Mitteilungen handelte, die für die Tätigkeit eines CERT typisch sind. Im Grunde genommen hieß dies, dass zwar Dinge vor sich gingen, wir sie aber erkennen und in der Lage wären, im Ernstfall frühzeitig zu reagieren. Das Volumen dieser Mitteilungen war jedoch erheblich und eine Untersuchung wert. Auf jeden Fall unterschieden sichdie Daten stark von denen, die normalerweise vom CERT analysiert werden. Einige Geräte und Dienste, die vom CERT überwacht wurden, waren vollständig abgeschaltet. Ziemlich viele sogar. Keiner von ihnen gehörte zu GMV, sondern zu einigen seiner überwachten Kunden. Das CERT-Team war bereits dabei, diesen Punkt zu untersuchen, um Muster für mögliche Angriffe oder Ausfälle in Informationsübertragungssystemen zu finden. 

In der Zwischenzeit trafen parallel dazu andere Nachrichten ein. Fachleute für Cybersicherheit sprechen immer wieder über den Wert von kollaborativen und kooperativen Netzwerken. Einige der am weitesten verbreiteten Richtlinien für Sicherheitskontrollen enthalten spezifische Anforderungen für die Schaffung, den Beitritt und die Teilnahme an diesen kollaborativen Netzen. Am Freitag, dem 19. Juli, haben diese Netze ihren Wert unter Beweis gestellt. Mehrere in den sozialen Medien eingerichtete Arbeitsgruppen waren sehr aktiv. Die Probleme wurden auf Servern und Benutzer-Workstations festgestellt, die mit EDR-Software des Herstellers Crowdstrike ausgestattet sind. Diese Geräte reagierten nicht und waren nicht aktiv. Einige Teilnehmer berichteten, dass die Geräte einen der am meisten gefürchteten Fehler auf einem Windows-Computer anzeigten: einen blauen Bildschirm. Diese blauen Bildschirme treten auf, wenn der Zustand eines Windows-Computers instabil ist und das Betriebssystem nicht ordnungsgemäß ausgeführt werden kann. Als Sicherheitsmaßnahme wird das Gerät ausgeschaltet und eine Fehlermeldung mit der erkannten Ursache des Problems auf dem blauen Bildschirm angezeigt. Seltsam war nur, dass dies gleichzeitig in vielen Organisationen weltweit und bei Geräten aller Art auftrat. Offenbar war auf all diesen Geräten die gleiche EDR-Software installiert. Es gab einen klaren Ermittlungsansatz. 

Glücklicherweise wurde diese Theorie bald bestätigt. Der Hersteller Crowdstrike teilte offiziell um 07:30 Uhr spanischer Zeit über sein Support-Portal mit, dass eine technische Warnung zu seinem Produkt „Falcon Sensor“ vorliegt, dem Agenten, der auf allen von ihm geschützten Geräten eingesetzt wird. Diese technische Warnung wies auf einen Fehler im Agenten hin, der das Windows-System zum Absturz brachte und den Bluescreen auslöste.

Über diese Netze verbreiteten sich auch einige mögliche Lösungen provisorischer Art zur Umgehung des Problems (Workarounds). Die Lösung bestand darin, den Computer im „sicheren Modus“ zu starten und dann manuell eine Datei namens „C-00000291-*.sys“ zu löschen. Crowdstrike würde erkennen, dass diese Datei einer Aktualisierung entsprach, die sie um 04:09 UTC (06:09 in Spanien) vorgenommen hatten und die eine fehlerhafte Datei enthielt, welche die Störung verursacht hatte.

Zu diesem Zeitpunkt arbeitete das CERT bereits mit den betroffenen Kunden zusammen, prüfte mögliche Lösungen und passte die Überwachungssysteme an die Lawine von Warnmeldungen an. Das war eine weitere gute Nachricht an einem Freitag, der so wenig verheißungsvoll begann: 

• Der potenzielle Cyberangriff war auf ein operatives Versagen und nicht auf einen böswilligen Angriff zurückzuführen, so dass die Lösung des Cybervorfalls darin bestünde, den vorhandenen Fehler zu beheben, ohne sich Gedanken über die Reaktion des Angreifers auf unsere Eindämmungs-, Reaktions- und Wiederherstellungsmaßnahmen machen zu müssen.

• Es gab einen eindeutigen Kandidaten für die Fehlerquelle: Der Fehlerverursacher hatte den Fehler zugegeben, eine Erklärung angeboten, die mit dem übereinstimmte, was wir bei GMV und auch bei anderen Akteuren sahen, und wir hatten eine solide Vorgehensweise, um den Fehler zu beheben.

• All dies geschah innerhalb weniger Minuten, so dass der Vorfall schnell aufgeklärt werden konnte. In der Tat wurde bereits mit der Umsetzung begonnen.

• Die Kommunikation war in jeder Hinsicht klar und flüssig, es wurden so viele Informationen wie möglich weitergegeben und dabei die Vertraulichkeitsverpflichtungen eingehalten, an die wir gebunden sind.

Doch es gab nicht nur gute Nachrichten. Andere Organisationen litten sehr stark unter dem Problem, da die meisten ihrer Systeme und Dienste betroffen waren und ihre Tätigkeit lahmgelegt wurde. Es wurden eine Reihe von Namen führender Organisationen und Betreiber kritischer Infrastrukturen genannt, die betroffen sind. Ein GMV-Kollege, der Telearbeit leistete, erzählte seiner Familie beim Frühstück, dass dies in den Tagesnachrichten wahrscheinlich an erster Stelle erscheinen würde. Es war klar, dass dieser Vorfall Auswirkungen auf die Gesellschaft haben würde, und zwar nicht nur geringfügige. Tatsächlich erklärte Microsoft, dass 8,5 Millionen Computer von dem Fehler betroffen waren, was erhebliche Folgen hatte: internationale Flüge hatten Verspätungen und öffentliche Verkehrsverbindungen wurden unterbrochen, einige Krankenhäuser waren betroffen und mussten medizinische Tests absagen, sogar einige Bank- und Zahlungstransaktionen konnten nicht durchgeführt werden ...

In der Zwischenzeit wurden die Arbeiten zur Lösung des Cybervorfalls fortgesetzt. Der Workaround erwies sich in den meisten Geräten als wirksam. Die Kunden von GMV konnten ihren Betrieb praktisch wieder aufnehmen. In einigen Fällen mussten alternative Workarounds für Geräte angewandt werden, bei denen die ursprünglich vorgeschriebene Abhilfemaßnahme versagt hatte. Es wurde festgestellt, dass Geräte ausfielen, bei denen aber nicht genau derselbe Fehler gemeldet wurde. Die Organisationen analysierten die von ihnen jeweils festgestellten sowie die von uns weitergegebenen Informationen. Es schien klar, dass die Lösung, obwohl sie bekannt war, in einigen Unternehmen Tage oder Wochen beanspruchen würde. Es gab Kollegen, die physisch zu Computern mit USB-Anschlüssen wechselten, um den Workaround manuell anzuwenden. Das hat funktioniert, aber es brauchte Zeit.

Der Rest ist Geschichte. Es lohnt sich nicht, dies noch einmal zu wiederholen.

Es lohnt sich, der Analyse des Vorfalls Raum zu geben, die wir vorgenommen haben, wie er gehandhabt wurde, wie wir hätten handeln sollen, welche Instrumente uns zur Verfügung standen ... und vor allem, was wir bei künftigen Gelegenheiten verbessern könnten.

Die erste Schlussfolgerung ist die Notwendigkeit einer kontinuierlichen Sicherheitsüberwachung rund um die Uhr durch einen CERT-Dienst. Umfassend, in Echtzeit, effektiv und schnell. Mit Menschen, die bereit, ausgebildet und qualifiziert sind, diese Arbeit auszuführen. Und mit der Fähigkeit, relevante Ereignisse auf verschiedenen Ebenen zu erkennen, um im Bedarfsfall reagieren zu können, aber auch, um möglichst vorgewarnt zu sein, bevor es notwendig ist, eine Reaktion einzuleiten. Ohne ein kompetentes CERT oder SOC ist dies alles nicht möglich. 

Die zweite Schlussfolgerung findet sich in unseren Reaktionsplänen für Zwischenfälle. In diesem Fall mussten wir sie nicht ausführen. Es war nicht einmal notwendig, ein Eskalationsverfahren einzuleiten. Aber der Reaktionsplan funktionierte im erforderlichen Umfang. Perfekt.

Die dritte Schlussfolgerung liegt in unseren Plänen zur Geschäftskontinuität. Was wäre passiert, wenn wir die Crowdstrike-Software breit eingesetzt hätten? Wir wissen, dass wir es entdeckt hätten, aber wären wir mit dem Kontinuitätsplan in der Lage gewesen, auf dieses Szenario zu reagieren? Wäre dies eine wirksame Reaktion gewesen? Gibt es etwas, das wir verbessern können? Glücklicherweise mussten wir den Plan nicht ausführen, aber wir konnten ihn während des Vorfalls überprüfen. Für den Fall der Fälle. Und um dem Plan einen zusätzlichen Aspekt hinzuzufügen, der uns eine schnellere und wirksamere Reaktion ermöglicht und die Auswirkungen, die wir erlitten hätten, verringert hätte.

Ein Freitag, der in die Geschichte eingehen wird. Wir hoffen, dass wir aufgrund der Lektionen, die wir gelernt haben, und des gestiegenen Bewusstseins für die Bedürfnisse der Unternehmen bei der Sicherheitsüberwachung und der Reaktion auf Vorfälle besser auf die nächste Krise vorbereitet sind. 

Mariano J. Benito, Botschafter für Cybersicherheit und Datenschutz bei GMV 

Óscar Riaño, Leiter von GMV CERT