Got hacked? Interview mit APA-IT Geschäftsführer Clemens Prerovsky

Die APA – Austria Presse Agentur wurde letztes Jahr zum Ziel eines Cyberangriffs. Was ist passiert?

Am 26.11.2022 wurden die IT-Systeme der APA Ziel eines Ransomware-Angriffs. Prinzipiell sind Angriffe auf unsere Systeme und Daten nichts Neues, in der Regel werden Hacker durch unsere hohen Sicherheitsmaßnahmen aber schon vorab gestoppt. Allein im vergangenen Jahr konnten jeden Tag über 1.000 Threats bereits direkt auf der Firewall geblockt werden. In diesem Fall haben es die Angreifer allerdings geschafft, über eine Sicherheitslücke in MS-Exchange in unsere Systeme zu gelangen. Da wir als APA aber auch auf solche Fälle vorbereitet sind, konnten wir die betroffenen Netzwerksysteme schnell isolieren und eine sichere Wiederherstellung gewährleisten. Auch die Nachrichtenproduktion und der Betrieb von Kundensystemen waren dadurch zu keinem Zeitpunkt beeinträchtigt.

Wie ist der Angreifer in die Systeme gelangt?

Vorab ist es wichtig, hier nicht von einem einzelnen Angreifer, sondern von einem organisierten Netzwerk mit fixen Rollen wie Access Broker, Data Manager etc. zu sprechen. Die Vorstellung eines Hackers, der in einem schwarzen Kapuzenpullover vor dem Computer sitzt, greift zu kurz. In unserem Fall wurde der Angriff um Mitternacht gestartet – ein Zeitpunkt, an dem unsere IT natürlich nicht voll besetzt ist. Im ersten Schritt wurde eine durch einen Access Broker sorgfältig platzierte Hintertür auf unserem Server geöffnet. Möglich war dieser Zugang aufgrund einer Sicherheitslücke in Exchange. Im zweiten Schritt wurde das Netzwerk analysiert und Anmeldeinformationen gestohlen. Somit war eine Erweiterung des Angriffs auf den zweiten Server im Netzwerksystem möglich. Daten wurden für den Abtransport gepackt und bereit gemacht – und in diesem Moment schlug auch unser Monitoring an. Die Exfiltration wurde mehrfach von unserer Ransomware Protection unterbrochen, welche allerdings aufgrund einer geplanten Systemumstellung temporär weniger scharf eingestellt war, um unseren eigenen Mitarbeiter:innen unterbrechungsfreies Arbeiten zu ermöglichen. In der „Out-Phase“ gelang es den Angreifern schließlich, interne Daten wie Planungsunterlagen zu bekommen sowie eine Platten-Verschlüsselung durchzuführen. Den Versuch, unser Backup zu zerstören, konnten wir dank Maßnahmen wie einer sorgfältigen Netzwerksegmentierung verhindern.

Wie ist APA-Tech damit umgegangen?

Man muss sich vorstellen, dass bei einem Cyberangriff alles ganz schnell geht – es muss also auch schnell reagiert und gleichzeitig ein kühler Kopf bewahrt werden. Unmittelbar nach der Alarmierung wurde der APA-Krisenstab sowie ein Team an internen und externen IT- und Forensik-Spezialist:innen eingerichtet, begleitet durch rechtliche Expertisen im Hinblick auf datenschutzrechtlich notwendige Schritte. Außerdem haben wir unsere Cybersecurity-Versicherung informiert, die aus Amsterdam kommend in wenigen Stunden vor Ort war und die Kommunikation mit den Angreifern übernommen hat. Noch am Sonntag begannen wir, alle Server einem Washing-Prozess zu unterziehen. Die Server wurden in einer Quarantäneumgebung isoliert, auf potenziellen Schadcode überprüft, einem finalen Security Check (Hardening) unterzogen und schließlich für den Produktivbetrieb freigegeben. Dank der guten Zusammenarbeit und dem hohen persönlichen Engagement der Kolleginnen und Kollegen ist es uns gelungen, die dringendsten Systeme innerhalb von zwei Tagen wiederherzustellen und innerhalb einer Woche in den Normalbetrieb überzugehen.

Welche Learnings habt ihr daraus gezogen?

Vorbereitung ist alles. Auch wenn ein Cyberangriff vorab natürlich nicht angekündigt wird und jeder Angriff anders ist: Ein Krisenhandbuch sorgt dafür, den Überblick zu bewahren sowie die nächsten Schritte zu planen und umzusetzen. Ebenso sind eine Cybersecurity-Versicherung, Netzwerksegmentierung sowie Enpoint- und Ransomware-Protection essenziell, um Angriffe möglichst unbeschadet zu überstehen. Auch die Wichtigkeit von externer und interner Kommunikation darf nicht unterschätzt werden. Hier lautet die Devise: Schnelligkeit, Transparenz und nur gesicherte Informationen weitergeben. Alle Expertinnen und Experten betonen immer wieder: Es ist nicht die Frage, ob es zu einer Cyberattacke kommt. Es ist immer nur die Frage, wann sie passiert. 100%ige Sicherheit wird es nie geben können, sich bestmöglich und hochprofessionell darauf vorzubereiten und im Fall des Eintritts alle notwendigen Schritte einzuleiten, muss daher immer vordergründig sein.