Technische Werke Ludwigshafen

„Wir waren uns einig, dass wir das Lösegeld auf keinen Fall zahlen“

Der Worst Case jedes Unternehmens: Vor rund zwei Jahren haben sich Cyberkriminelle in das Netzwerk des Energieversorgers Technische Werke Ludwigshafen gehackt. Im CSO-Interview berichten der CIO Michael Georgi und CISO Holger Bajohr-May über ihre Erfahrungen.
Von 
CSO | 30. September 2022 16:16 Uhr
CISO Holger Bajohr-May und CIO Michael Georgi haben den Cyberangriff auf die Technischen Werke Ludwigshafen gemeinsam bewältigt.
CISO Holger Bajohr-May und CIO Michael Georgi haben den Cyberangriff auf die Technischen Werke Ludwigshafen gemeinsam bewältigt.
Foto: Technische Werke Ludwigshafen

Herr Georgi, die Technischen Werke Ludwigshafen waren im April 2020 von einem Hackerangriff betroffen. Wie haben Sie reagiert?

Michael Georgi: Wir haben sehr schnell über das örtliche Polizeipräsidium das LKA eingeschaltet. Und gleich am ersten Tag haben wir uns Unterstützung vom BSI geholt, um festzustellen ob unsere Operational Technology, also unsere Systeme zur Steuerung des industriellen Equipments, betroffen waren. Das war glücklicherweise nicht der Fall. Auf der IT-Seite, insbesondere von unseren Fileservern, wurden allerdings mehr als 500 Gigabyte an Daten gestohlen und in kleinen Päckchen verteilt. Mit Hilfe des LKA haben wir schnell Neuseeland als den ersten Empfangsort identifiziert.

Darüber hinaus sind unsere Microsoft-Betriebssysteme kompromittiert worden, während die Linux-Systeme und auch unsere Datenbanken nicht betroffen waren. Die Angreifer hatten wohl weder Interesse an unseren SAP-HANA- noch an unseren Oracle-Datenbanken. Der Grad der Kompromittierung war jedoch sehr hoch, da die Angreifer die höchsten Admin-Rechte erlangt hatten.

Waren auch Kundendaten von diesem Vorfall betroffen?

Georgi: Ja, weil sie auf den Fileservern ausgelagert worden waren. Da wir bei einer so großen Menge an gestohlenen Daten nicht feststellen konnten, welche Kunden im Einzelnen betroffen waren, haben wir flächendeckend und rechtzeitig über den Vorfall informiert.

Wurden Sie auch mit der Veröffentlichung der Daten erpresst?

Holger Bajohr-May: Ja, die Hacker haben uns gedroht, die Daten im Darknet preiszugeben. Ende April erhielten wir die ersten Erpressungs-Mails von den Angreifern, die einen Auszug von unserem Filesystem und ein paar Beispieldateien enthielten. Daraufhin haben wir sofort das LKA informiert. Wir hatten uns entschieden, nicht ohne den Rat der Behörden mit den Erpressern zu verhandeln. Das LKA hat uns daraufhin ein Kommunikations- und Verhandlungsteam an die Seite gestellt.

Haben Sie das Lösegeld gezahlt?

Georgi: Nein, das haben wir nicht gemacht. Wir hatten den Angriff früh entdeckt und unsere Backups sofort offline genommen, damit diese nicht auch noch kompromittiert werden. Doch als unser Backup 10 Tage alt war, haben wir mithilfe des LKA mit den Verbrechern verhandelt. Zu diesem Zeitpunkt konnten wir noch nicht einschätzen, wie tief die Angreifer in unseren Systemen steckten, und ob ein Verschlüsselungs-Trojaner aktiviert werden kann.

Bajohr-May: Wir haben zwar mit den Angreifern verhandelt, aber wir waren uns von Anfang an einig, dass wir das Lösegeld auf keinen Fall zahlen würden, egal was passiert. Den Tätern ist es auch nicht gelungen, einen Verschlüsselungsprozess zu starten, um uns noch weiter zu erpressen. Denn unser Admin hatte bemerkt, dass auf einem unserer Server die Festplatte vollläuft und die CPU-Auslastung sehr hoch ist. Das bedeutete, dass der Server von den Angreifern benutzt wurde, um Daten hochzuladen. So konnten wir rechtzeitig eingreifen und verhindern, dass die Angreifer unsere Backups verschlüsseln konnten.

Energieversorger werden häufig ganz gezielt angegriffen. War das bei Ihnen auch der Fall?

Georgi: In unserem Fall war es kein gezielter Angriff, da wir festgestellt haben, dass der Auslöser in einer breit angelegten Phishing-Kampagne lag. Das ließ sich schon am ersten Tag herausfinden, auch wenn das dann alles noch forensisch untersucht werden musste.

Kam es zu einem Ausfall der Systeme?

Georgi: Da bei uns nichts verschlüsselt wurde, sind auch keine Systeme ausgefallen. Nachdem wir festgestellt haben, dass Daten an merkwürdige IP-Adressen verschickt wurden, haben wir unsere Systeme gescannt und den betroffenen Server erst mal vom Netz genommen. Das BSI hat uns auch sehr schnell einen Thor-Scanner zur Verfügung gestellt, den wir dann auf allen Rechnern ausgerollt haben. Die sogenannte Pandora Box wurde direkt am Core-Switch im Rechenzentrum angeschlossen. Daraufhin wurde der gesamte Netzwerkverkehr mitgeschnitten und analysiert.

"Wir mussten unsere komplette IT-Infrastruktur neu aufbauen"

Welche Lehren haben Sie aus diesem Vorfall gezogen? Und wie haben Sie Ihre Sicherheitsarchitektur danach angepasst?

Georgi: Wir haben uns bereits im Jahr 2019 damit beschäftigt, wie wir in Sachen IT-Sicherheit aufgestellt sind. Schon damals haben wir ein Cybersicherheitsunternehmen beauftragt, ein Cyber-Risk-Assessment und einen Penetrationstest durchzuführen. Als wir uns den Abschlussbericht angesehen haben, war uns klar, dass es länger dauern wird, bis wir unsere Sicherheitstechnik auf einen vernünftigen Stand gebracht haben. Dann kam auch noch Corona dazwischen. Da wir damals nicht so gut bei der digitalen Zusammenarbeit aufgestellt waren, hatten wir das Thema Vulnerability Management erst einmal nach hinten verschoben. Der Hackerangriff hat uns gezeigt, dass es nicht gut ist, solche Dinge aufzuschieben.

Bajohr-May: Die Konsequenz, die wir aus dem Angriff gezogen haben, war, dass wir unsere komplette IT-Infrastruktur neu aufbauen müssen. Dazu zählen rund 350 Server, eine komplexe Virtualisierungsplattform und das Backup. Wir haben dann für alle unsere 140 Applikationen eine Datenbewertung durchgeführt, um festzustellen, welche Daten darin jeweils verarbeitet werden. Daraufhin haben wir für jede einzelne Anwendung eine eigene Migrations- und eine Dekontaminationsstrategie entwickelt.

Das Ganze war flankiert von einem Security-Konzept. Dabei haben wir uns an den CIS Controls (Best-Practices-Richtlinien für IT-Sicherheit) orientiert. Bevor wir in die Tiefe des Konzepts gegangen sind haben wir uns die Frage gestellt, wie können wir einen erneuten Angriff beherrschen. Erst danach haben wir uns gefragt, wie wir ihn verhindern können. Wir gehen davon aus, dass es nur eine Frage der Zeit ist, bis wir noch einmal betroffen sein werden. Deshalb haben wir uns jetzt so aufgestellt, dass ein Angriff nicht mehr dieses Ausmaß annehmen kann.

Gerade auf der Seite der Technik haben wir ganz viele Dinge erledigt. So haben wir den Bereich gedanklich in drei Level unterteilt. Verteilt auf diese drei Level haben wir beispielsweise ein SIEM (Security Information and Event Management), ein Vulnerability Management und ein EDR-System (Endpoint Detection and Response) zur Rund-um-die-Uhr-Überwachung in ein Security Operations Center (SOC) gegeben. Zudem haben wir eine DNS-Security-Lösung und eine viel stärkere Firewall eingebaut. Ebenso haben wir ein Privileged Access Management und eine Zwei-Faktor-Authentifizierung eingeführt. So arbeiten wir beispielsweise nur noch mit signierten Makros bei uns im Netzwerk. Wir haben auch ein Network Access Control etabliert. Zusätzlich haben wir die Administrationsebene vom Anwendungsbereich getrennt.

Organisatorisch haben wir ebenfalls Einiges verändert. So wurde zum Beispiel die Rolle des CISO neu geschaffen, die ich übernommen habe. Meine Aufgabe ist es, das Security-Konzept immer wieder anzupassen und zu verbessern. Wir habe beim Thema Sicherheit nicht nur die technische Seite bedient, sondern durch die neue Organisation für eine langfristige Planung gesorgt.

Wie wurden die Mitarbeiter hinsichtlich möglicher Cyberrisiken sensibilisiert?

Bajohr-May: Wir hatten zuvor schon ein Pflichtprogramm für Awareness-Trainings eingeführt. Jetzt haben wir das Ganze aber noch intensiver gestaltet. Das heißt, wir haben die Taktung der Schulungen erhöht. Außerdem führen wir fingierte Phishing-Mail-Kampagnen durch. Dadurch können wir sehen, wo wir das Training erweitern müssen.

Vor dem Hintergrund Ihrer Erfahrungen: Was würden Sie Ihren CISO-Kollegen als Tipp mit auf den Weg geben?

Bajohr-May: Ich würde ihnen den Ratschlag geben, sich im Vorfeld schon über gewisse Details Gedanken zu machen und mögliche Auswirkungen eines erfolgreichen Angriffs für sich einmal durchzuspielen. Und selbst wenn ein CISO bei verschiedenen Stellen im Unternehmen auf taube Ohren stößt, sollte er sich seines Inventars und seiner Honeypots bewusst sein. Er sollte wissen, wo seine wichtigsten Systeme und Prozesse sind. Die sollte er priorisieren und eine saubere Dokumentation aufbauen, die dann auch der Geschäftsleitung vorgelegt werden kann.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.