Wie wir die IT eines Kunden nach einem Emotet Angriff mit Microsoft 365 und Azure wiederherstellten

Vor wenigen Wochen durften wir ein spannendes Projekt umsetzen und dabei auch gleich einen neuen Kunden gewinnen. Wir konnten im Rahmen des Projektes fast alle unsere Kompetenzen und Dienstleistungen einbringen – das ist für uns der Grund, darüber in diesem Blogbeitrag zu berichten.

Auch wenn der Grund für unseren Einsatz bei diesem Kunden für ihn kein erfreulicher war, konnten wir ihn dennoch gleich von der Leistungsfähigkeit unseres Teams überzeugen und freuen uns auf eine weiterhin tolle Zusammenarbeit. Aufgrund des sensiblen Themas verzichten wir auf eine Nennung des Kunden.

Angriff und Schaden

Unser Einsatz begann mit einer E-Mail des BSI – des Bundesamtes für Sicherheit in der Informationstechnik. In dieser E-Mail wies das BSI darauf hin, dass das Netzwerk unseres Kunden von einer Schadsoftware angegriffen wurde.

Wir hielten die E-Mail zunächst für eine klassische Phishing E-Mail, und wollten sie schon ignorieren.  Stutzig machten uns aber die doch sehr konkreten Informationen und die digitale Signatur der E-Mail. Das war echt!

Unser Kunde hatte glücklicherweise eine Versicherung gegen Cyberangriffe abgeschlossen, die wir mit ins Boot holen konnten und die auch einen Großteil der Kosten für unseren Einsatz übernahm.

Die Forensiker der Versicherung und unsere Experten kamen bei der Analyse zu dem Ergebnis, dass große Teile des Netzwerks und der Rechner von der Schadsoftware Emotet befallen waren. Wir mussten auch feststellen, dass der Angriff schon seit mehreren Wochen lief und sich Emotet in aller Ruhe verbreiten konnte. Es war also nicht möglich, einfach eine Wiederherstellung vom Backup aus den letzten Tagen durchzuführen. Auch diese Daten waren potentiell befallen. Hier half nur eine vollständige Bereinigung aller Rechner, Server und Daten.

Unser Vorgehen

Alles neu mit Microsoft 365 und Azure

Aufgrund der Größe des Unternehmens mit etwa 35 Benutzern, des Umfangs des Schadens und der teilweise ohnehin veralteten Betriebssysteme war unser Plan schnell klar: Wir bauen die Infrastruktur und Domain vollständig neu auf und setzen dabei vollständig auf eine Cloud-Lösung. Zum Einsatz kommt das volle Paket von Microsoft 365 E3 in Verbindung mit Microsoft Azure.

Microsoft Office 365

Mit Office 365 ersetzten wir die alten Komponenten Exchange Server und File Shares. Wir erstellten die Benutzer und Ihre Postfächer neu mit Exchange Online. Wir erstellten Teams in Microsoft Teams für die Zusammenarbeit und die Arbeit an allen Dokumenten.

Wir migrierten die Daten nach einer Analyse, ob sie befallen waren nach Microsoft Teams und Exchange Online. Ein sehr nützlicher Nebeneffekt ist hier die intensive Sicherheitsprüfung aller Daten durch Microsoft. Dokumente, die von Malware befallen sind, lassen sich erst gar nicht in Office 365 speichern. E-Mails, die Links auf Phishing Seiten enthalten oder Malware im Anhang, werden durch Office 365 ATP unschädlich gemacht.

Microsoft Teams

Mit Microsoft Teams konnten wir die bisherigen Netzlaufwerke ablösen und haben dort für alle Projekte und Themen beim Kunden eine moderne Welt der Zusammenarbeit geschaffen, in der die Mitarbeiter schon jetzt wie selbstverständlich gemeinsam an Dokumenten arbeiten oder zur Abstimmung einen spontanen Videoanruf machen. Sie nehmen von unterwegs mit dem Smartphone an Unterhaltungen teil und stellen Bilder von Kundenaufträgen direkt dem Team bereit.

Server in Microsoft Azure

Der Kunde hat ein paar branchenspezifische Lösungen im Einsatz, für die Windows Server benötigt werden. Hier konnten wir sehr schnell einen moderne, skalierbare und ausfallsichere Lösung schaffen, in dem wir die notwendige Architektur in Microsoft Azure aufbauten. Die dort laufenden Server wurde per VPN Peering sicher an das Kundennetz angeschlossen und die Mitarbeiter waren sehr schnell wieder in der Lage, Ihre Angebote und Rechnungen zu erstellen.

Geräteverwaltung und Softwareverteilung

Mit Microsoft 365 führten wir etwas ein, das bisher in dieser Form bei dem Kunden gar nicht im Einsatz war: Das Management aller Endgeräte und der mobilen Apps.

Wir sind nun in der Lage, die Endgeräte zu konfigurieren, Sicherheitseinstellungen vorzugeben, Ihren Compliance-Status zu überwachen, Software zu verteilen oder die Geräte und Daten bei Verlust auch zu löschen.

Dieses Management der Endgeräte ist aus unserer Sicht essenziell für die Sicherheit des Unternehmens, da sich insbesondere durch Außendienstmitarbeiter viele Geräte ständig außerhalb des Unternehmensnetzes befinden. Microsoft 365 bietet die erforderlichen Schutzmechanismen und ist in der Lage, ca. 97% aller Angriffe am Endpunkt abzuwehren.

Das Netzwerk

Da die Mitarbeiter sowieso für eine Weile keine IT Systeme nutzen konnten und das Netzwerk des Kunden schon vorher veraltet war, nutzten wir auch gleich die Gelegenheit und ersetzten alle Switche, Security Appliances (Firewall und VPN) und das WLAN durch die Cloud-gemanagten Komponenten von Cisco. Hier sind wir nun auf dem aktuellsten Stand der Technik und haben über das Dashboard jederzeit einen Überblick über den Zustand des Netzwerks. Dies ist für den stabilen Betrieb im Rahmen unserer Managed Services von entscheidender Bedeutung.

Training und Einführung

Microsoft Teams, SharePoint, neue Mobile Apps – die Einführung vieler neuer Tools in so kurzer Zeit ist nicht erfolgreich, wenn man einfach sie einfach nur anschaltet und bereitstellt. Genauso wichtig ist auch die Kommunikation an die Benutzer und entsprechende Trainings. Diese haben wir kurzfristig einplanen können und konnten so für eine gute Akzeptanz bei den Benutzern sorgen.

Managed Services und Service Desk

Das Aufbauen und Konfigurieren einer solchen Umgebung im Rahmen eines Projektes ist eine Sache. Die Überwachung, Pflege und der fortlaufende Support der Anwender eine andere.

Mit unseren Managed Services stellen wir heute sicher, dass alle Anwendungen und Dienste immer auf dem aktuellen Stand sind. Wir reagieren auf Alarme der Sicherheitslösungen, Überwachen das Netzwerk und stehen nicht zuletzt mit unserem Servicedesk den Mitarbeitern unseres Kunden bei allen Fragen rund um die IT zur Verfügung.

Insbesondere dieses permanente Kümmern um die IT ist sehr häufig die Schwachstelle in mittelständischen Betrieben. Die IT Abteilungen sind sehr häufig zu klein, um das erforderlichen Know-How für die Vielzahl an Systemen aufzubauen und zu halten. Bei Ausfall eines IT Mitarbeiters entstehen enorme Risiken für die Betriebsfähigkeit des Unternehmens.

Fazit

Ein Kernziel des Projektes war vor dem Hintergrund des Angriffes das Erschaffen eines hohen Sicherheitsstandards. Diesen konnten wir durch Microsoft 365 in Verbindung mit Cisco im Netzwerk sehr gut erreichen.

  • Schutz vor Phishing und Malware bietet Office 365 Advanced Threat Protection und Windows Defender ATP
  • Die Identität des Benutzers wird durch die Schutzmechanismen des Azure Active Directory und die Verwendung von Multi Factor Authentication geschützt.
  • Die Endgeräte werden durch Microsoft 365 verwaltet und wir setzen damit die erforderlichen Security Policies durch
  • Mobile Apps und die Unternehmensdaten darin werden durch Application Management Richtlinien geschützt
  • Cisco  stellt einen State of the Art Schutz des Netzwerkes bereit
  • Und nicht zuletzt: Die Einführung von Windows 10 und der Einsatz von Office 365 sorgen für Systeme und Dienste, die immer auf dem aktuellsten Sicherheitsstandard sind – genau diese fehlenden Security Patches waren die Ursache für den erfolgten Angriff auf unseren Kunden.

Wir sind stolz auf unser Team, das in so kurzer Zeit unserem Kunden wieder auf die Beine geholfen hat. Neben der vollständigen Wiederherstellung der Betriebsfähigkeit und einem hohen Maß an Sicherheit erreichten wir noch eine „Kleinigkeit“ ganz nebenbei. Statt klassisch auf Netzlaufwerken zu arbeiten, die man umständlich per VPN Einwahl erreichen muss, arbeitet das gesamte Team des Kunden nun so, wie moderne Zusammenarbeit im Team heute aussieht: Mobil, effizient und einfach mit Microsoft Teams!

Unser Kunde muss sich durch unsere Managed Services heute nicht mehr um IT kümmern – er nutzt sie so selbstverständlich wie Wasser und Strom und kann sich voll und ganz auf sein Kerngeschäft konzentrieren.

Datenschutz
Wir, MAXWORX GmbH (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Wir, MAXWORX GmbH (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: