Wir waren dieses Jahr erneut auf der Head in the Cloud von mittwald in Espelkamp unterwegs und haben dort mit Torben Mallwitz über einen Vortrag gesprochen, den man so vermutlich nur selten auf einer Konferenz hört. Torben, CTO von guenstiger.de, hat sehr offen darüber berichtet, wie das Unternehmen im April 2025 Opfer eines Ransomware-Angriffs wurde und welche technischen, organisatorischen und menschlichen Herausforderungen die folgenden Tage und Wochen geprägt haben.
Shownotes
- [00:00:27] Ransomware, Realität und Wiederherstellung
- Am Morgen des 23. April 2025 begann für das Team von guenstiger.de ein Ausnahmezustand. Nahezu sämtliche internen Systeme waren verschlüsselt worden, Daten waren offenbar abgeflossen und in jedem Verzeichnis fanden sich die typischen Lösegeldforderungen samt Verweis auf eine Seite im Darknet. Glück im Unglück: Die eigentliche Preisvergleichsplattform blieb weiterhin online und konnte zumindest in einem eingeschränkten Modus weiterbetrieben werden.
Torben beschreibt sehr eindrücklich, wie professionell die hinter der Qilin-Ransomware stehende Organisation arbeitet. Ransomware wird mittlerweile als „Ransomware as a Service“ betrieben. Die Angreifer agieren wie ein Unternehmen mit klaren Strukturen, Support, Hierarchien und sogar Partnerprogrammen. Die Kommunikation läuft über ein Chatfenster im Darknet und fühlt sich, von der kriminellen Komponente abgesehen, erstaunlich ähnlich zu einer gewöhnlichen Geschäftsbeziehung an.
Für guenstiger.de war schnell klar, dass externe Hilfe benötigt wird. Noch am ersten Tag wurden Spezialisten für Incident Response und Forensik hinzugezogen, die bei der Analyse, der Verhandlung mit den Angreifern und der Wiederherstellung der Systeme unterstützten. Ein wichtiges Learning aus dem Vorfall: In einer solchen Situation sollte man nicht versuchen, alles selbst zu lösen. Die emotionale Belastung und die Vielzahl der gleichzeitig auftretenden Probleme machen einen kühlen Blick auf die Lage nahezu unmöglich.
Besonders spannend ist die wirtschaftliche Perspektive, die Torben auf das Thema einnimmt. Die Entscheidung, Lösegeld zu zahlen, wurde nicht aus Panik getroffen, sondern als nüchterne Business-Entscheidung. Der Zeitgewinn bei der Wiederherstellung der Systeme und die Bedeutung eines möglichst geringen Vertrauensverlusts gegenüber Kunden und Partnern überwogen letztlich die Alternative, alles ausschließlich aus Backups und manuellen Prozessen wieder aufzubauen.
Überraschend ist auch die Professionalität der Angreifer nach der Zahlung. Als die bereitgestellten Entschlüsselungswerkzeuge nicht überall funktionierten, gab es tatsächlich Support und Nachbesserungen. Das mag zunächst absurd wirken, folgt aber einer internen Logik: Das Geschäftsmodell der Erpresser basiert darauf, dass sich herumspricht, dass nach einer Zahlung auch tatsächlich geliefert wird.
Natürlich blieb es nicht bei der Wiederherstellung. Der Vorfall wurde genutzt, um die eigene Infrastruktur grundlegend zu modernisieren. Neue Sicherheitsmaßnahmen, Multi-Faktor-Authentifizierung, stärker zentral verwaltete Geräte und eine überarbeitete Systemarchitektur sollen zukünftige Angriffe erschweren. Daneben setzt das Team inzwischen verstärkt auf Notfallübungen und Planspiele, um im Ernstfall schneller und koordinierter reagieren zu können.
Ein zentrales Fazit des Gesprächs lautet dabei: Absolute Sicherheit gibt es nicht. Moderne IT-Systeme sind zu komplex und die Angriffsvektoren zu vielfältig. Ziel kann daher nur sein, die eigenen Systeme möglichst widerstandsfähig und als Angriffsziel möglichst unattraktiv zu machen.
Das Video zum Talk wird zeitnah auf dem YouTube Kanal von Mittwald verfügbar sein.
