Der Cantuccini-Zwischenfall
Die Umsetzung der BYOD-Strategie bei der Stampfli AG ist reibungslos verlaufen. Seither liess Dr. Alfons Stampfli seinen IT-Chef Urs Amschwyler auch weitgehend in Ruhe. Als jedoch die Teigmaschinen nicht mehr auf die Rezeptdatenbank zugreifen konnten, war es vorbei mit der Idylle in Amschwylers Welt. Der Grund: Das Firmennetzwerk war gehackt worden.
Das Schrillen des Weckers liess Urs Amschwyler aus dem Schlaf hochschrecken. Bilder eines wirren Traums drängten sich in sein Bewusstsein. Im Traum war er auf dem Weg zu Dr. Alfons Stampflis Büro, als dieser ihn unverhofft auf dem Handy anrief. Es sei ihm egal, was die Umsetzung der BYOD-Strategie kosten würde, hatte Stampfli ihm gesagt. Doch das war nicht nur in Amschwylers Traum passiert. Das Telefonat mit Stampfli hatte tatsächlich stattgefunden und lag schon gut einen Monat zurück. Immer mehr Mitarbeiter nutzten seither Tablets, Smartphones und private Notebooks geschäftlich und innerhalb festgelegter Regeln. Amschwyler verscheuchte die Gedanken und die Frage, warum ihm das immer noch keine Ruhe liess, stand auf und machte sich auf den Weg zu seinem Arbeitsort in Stanglisbiel.
Kaum war Amschwyler an seinem Arbeitsplatz eingetroffen, stürmte Jürg Seidler, der Produktionsleiter der Kaffeegebäck-Produzentin Stampfli AG, in Amschwylers Büro. „Urs, wir haben ein Problem!“, begann Seidler ohne Begrüssung und etwas ausser Atem. Offenbar war er den Weg von der „Backstube“bis zu Amschwylers Büro gerannt. Seidler wirkte besorgt. „Guten Morgen Jürg! Was für ein Problem denn?“, fragte Amschwyler.
„Die Steuerungssoftware der Teigproduktion hat keinen Zugriff mehr auf die Rezeptdatenbank. So weit ich das beurteilen kann, ist es aber kein Netzwerkproblem“, fuhr Seidler fort, ohne von Amschwylers „Guten Morgen“Notiz zu nehmen. Amschwyler schwante nichts Gutes. Doch noch bevor sich die Ahnung zu einem klaren Gedanken entwickeln konnte, entgegnete Amschwyler verärgert über Seidlers nicht vorhandenen Sinn für Höflichkeit, dass dieser die Beurteilung lieber ihm überlassen sollte. Er werde sich der Sache annehmen und Seidler informieren, sobald das Problem behoben sei. Nachdem Seidler unbeeindruckt von Amschwylers Groll das Büro verlassen hatte, loggte sich der IT-Chef in die Rezeptdatenbank ein. Er versuchte, das erstbeste Rezept zu öffnen. Auf Amschwylers Bildschirm erschien die Aufforderung ein Passwort einzugeben. Er stutzte. Seidler hatte Recht. Aber eigentlich war das unmöglich. Nach dem Einloggen war keine weitere Authentifizierung nötig. Wozu auch. Sie produzierten Kaffeegebäck, keine gefährlichen Chemikalien oder sonstige brisanten Substanzen. Doch das Passwort war noch nicht alles. Unter dem Eingabefeld wurde knapp erklärt, wie man an das Passwort gelangen könne, inklusive Zahlungsmöglichkeiten.
Während Amschwyler verständnislos den Bildschirm anstarrte, schaffte es die anfängliche Ahnung aus seinem Unterbewusstsein, zu einem Gedanken zu reifen. Amschwyler erinnerte sich an einen Fachartikel zum Thema IT-Sicherheit und Datendiebstahl, den er kürzlich gelesen hatte. Dort wurde ein ganz ähnliches Szenario beschrieben. Daten innerhalb eines Firmennetzes waren plötzlich verschlüsselt, ohne dass sich jemand einen Reim darauf machen konnte. „Ransomware“hatte es der Autor in dem Artikel genannt. Denn um wieder Zugriff auf die Daten zu erhalten, sollten die Betroffenen ein Lösegeld an den Urheber der Schadsoftware zahlen.
War das jetzt so ein Fall? Es sah ganz danach aus. Es waren zwar offenbar nur die Rezeptdatenbank und nicht das ganze System betroffen, aber die Erklärung mit den Zahlungsmöglichkeiten war eindeutig. Amschwyler überlegte. Eine Lösegeldzahlung stand ausser Frage. Die einfachste Möglichkeit, die ihm in den Sinn kam, war eine Backup-Wiederherstellung. Eine frühere Version der Datenbank sollte zumindest das akute Zugriffsproblem lösen. Auf diese Weise würde er aber möglicherweise nicht zurückverfolgen können, wo und wie sich die Schadsoftware Zugang verschafft hatte.
Die Backup-Wiederherstellung musste warten, entschied Amschwyler. Zuerst wollte er klären, wie es der Eindringling an der Firewall und dem Antivirenschutz vorbeigeschafft hatte. Er rief das Zugriffslogfile der Datenbank auf. Die Liste zeigte zwischen dem Vortag und heute drei Zugriffe an. Sein eigener stand an erster Stelle. Der nächste Eintrag hatte keine persönliche Nutzerkennung, sondern stammte von der Steuerungssoftware der Teigmaschinen. Interessant wurde es beim dritten Eintrag. Der Zugriff war kurz nach Mitternacht erfolgt. Mit Stampflis Benutzerkennung. Amschwyler las noch einmal. Der Eintrag änderte sich nicht. Stampfli hatte sich um 00:06 Uhr eingeloggt. Noch während Amschwyler rätselte, was sein Chef mit der ganzen Geschichte zu tun haben könnte, klingelte sein Telefon. Stampfli. Amschwyler liess es noch ein paar Mal klingeln und nahm schliesslich ab. „Aaaamschwyler!“,brüllte Stampfli so laut, dass der Lautsprecher im Telefon knisterte. „Was zur Hölle ist los? Seidler war gerade bei mir. Er erzählte mir etwas von Zugriffsproblemen. Die Produktion steht still. Warum?“
Amschwyler bemühte sich, ruhig zu bleiben und sich nicht von Stampflis Rage anstecken zu lassen. „Nun, Herr Dr. Stampfli, ich arbeite bereits an dem Problem. Derzeit deutet einiges darauf hin, dass unsere Rezeptdatenbank manipuliert wurde. Ich habe bereits eine Theorie, muss sie aber noch verifizieren. Ich schlage vor, ich komme gleichzu Ihnen. Dann besprechen wir das weitere Vorgehen“, sagte Amschwyler und wartete gespannt auf Stampflis Reaktion. Dieser zog hörbar Luft ein, grummelte aber schliesslich etwas, das entfernt nach „Beeilen Sie sich, heute ist Cantuccini-Tag“klang und legte auf. Die Cantuccini waren Stampflis persönliches Lieblingsgebäck und ein Verkaufsschlager der Stamfpli AG. Fatal also, wenn die Produktion ausgerechnet an diesem Tag stillstand.
Amschwyler überprüfte, was Stampfli bei seinem nächtlichen Zugriff angestellt hatte. Er brauchte nicht lange, um festzustellen, dass Stampfli nicht oder zumindest nicht direkt verantwortlich für die Misere war. Mittels Stampflis Benutzerauthentifizierung war ein Verschlüsselungsalgorithmus in der Datenbank installiert worden. Etwas, das Stampfli vermutlich nicht einmal unter Amschwylers Anleitung zustande gebracht hätte. Stampflis Rechner musste mit einem schädlichen Programm infiziert sein. Er prüfte das Bootlog von Stampflis Workstation. Stampfli hatte das Gerät am Vortag um 19:00 Uhr heruntergefahren. Punkt 00:00 Uhr hatte sich der Rechner wieder eingeschaltet und dann eine Verbindung zur Rezeptdatenbank hergestellt.
Das passte zum Log der Datenbank. Ausgangspunkt war also ganz eindeutig Stampflis Arbeitsplatz. Blieb die Frage, wie die Schadsoftware auf Stampflis Rechner gelangt war. Amschwyler würde Stampfli damit konfrontieren müssen. Im graute es nur schon bei dem Gedanken daran, aber er sah keine Alternative. Bevor er sich auf den Weg zu Stampflis Büro machte, startete Amschwyler die Wiederherstellung des Datenbank-Backups. Mit etwas Glück würde die Produktion in einer halben Stunde wieder anlaufen.
Vor Stampflis Büro hielt Amschwyler kurz inne. Wenn Stampfli erst begriff, dass er selbst zumindest eine Teilverantwortung für den Zwischenfall trug, würde es richtig ungemütlich werden. Amschwyler holte tief Luft und klopfte an die Bürotür. „Nun kommen Sie schon rein, Amschwyler“, rief Stampfli durch die geschlossene Tür. Amschwyler trat ein. Auch wenn es unangenehm werden würde, war er gespannt, wie Stampfli reagieren würde. „Dr. Stampfli, ich habe eine gute und eine weniger gute Nachricht. Die Gute ist, dass ich das Problem gefunden habe und vermutlich auch lösen kann. Im Augenblick läuft die Wiederherstellung vom Backup. Ich bin mir fast sicher, dass danach alles wieder funktionieren wird. Die weniger gute Nachricht ist, dass sich der Auslöser für das Problem auf Ihrem Rechner befindet.“Stampfli wurde weiss im Gesicht. Kein Wutausbruch. Damit hatte Amschwyler nicht gerechnet.
Stampfli wusste anscheinend, dass er einen Fehler begangen hatte. „Wie …, wie …, äh, wie meinen Sie das Amschwyler?“, sagte Stampfli so leise, dass ihn Amschwyler fast nicht hören konnte. „Ganz einfach. Ihr Rechner ist mit einer Schadsoftware infiziert. Wir müssen jetzt herausfinden, wie das passieren konnte, und das Gerät dann säubern. Ihrer blassen Gesichtsfarbe nach zu urteilen, haben Sie bereits eine Ahnung, woher die Schadsoftware stammen könnte?“fragte Amschwyler selbstsicher. Stampfli schwieg. Er schien nach den richtigen Worten zu suchen. „Nun ja … Möglicherweise ist mir da ein kleines Missgeschick passiert“, sagte Stampfli schliesslich mit immer noch ungewohnt leiser Stimme. „Ich habe gestern Morgen auf meinem Parkplatz einen USB-Stick gefunden. Zunächst dachte ich mir nichts weiter dabei und wollte ihn eigentlich liegen lassen. Aber irgendwie war ich dann doch ein wenig neugierig. Also habe ich ihn aufgehoben und mit in mein Büro genommen. Was danach passierte, können Sie sich denken. Wie schlimm ist es?“
Amschwyler konnte es nicht fassen. Er traute seinem Chef so manche Dummheit zu, aber das ging entschieden zu weit. Wortlos ging er um Stampflis Schreibtisch herum, schaltete den Rechner aus, zog sämtliche Kabel heraus, packte den Thinclient unter seinen Arm und verliess Stampflis Büro. Zurück an seinem eigenen Arbeitsplatz prüfte er als Erstes die Datenbank auf dem Fileserver. Die Wiederherstellung war bereits abgeschlossen. Amschwyler loggte sich ein und öffnete ein Rezept. Auf seinem Bildschirm erschienen eine Zutatenliste und Verarbeitungshinweise. Er rief Seidler an und teilte ihm mit, dass der Zugriff auf die Datenbank wieder funktioniere. Bevor er sich nun Stampflis Rechner widmen konnte, brauchte Amschwyler frische Luft. Er konnte es noch immer nicht fassen. Dieser dämliche Stampfli. Als Amschwyler durch den Haupteingang nach draussen ging, sah er gerade noch das Heck von Stampflis Wagen um die Gebäudeecke biegen. Amschwyler musste grinsen. Dieser dämliche Stampfli, dachte er noch einmal.
Amschwylers Welt erschien 2014 monatlich im IT-Markt Magazin, Netzmedien AG, Zürich.