Am 8. August 2022 erfolgte ein Hackerangriff auf das Rechenzentrum, auf dem auch die Sage Systeme „Sage Office Online“ und „Sage Office Line 24“ betrieben werden.
Der Hackerangriff erfolgte nicht auf Sage selbst, sondern auf das Rechenzentrum, die Firma ELabs, bei denen Sage die Kundensysteme hostet.
In diesem Beitrag möchte ich auf 3 Punkte eingehen:
- Was ist passiert?
- Was können Sie als Betroffene jetzt tun?
- Was können Sie tun, wenn Sie nicht betroffen sind, aber Sage im Einsatz haben?
Was ist passiert? Wie wurde Elabs gehackt?
Der Angriff erfolgte durch einen Verschlüsselungstrojaner. Dieser hat auf der Ebene der Hostsysteme die gesamte Infrastruktur von ELabs verschlüsselt. D.h. die einzelnen Server wurden einfach als Ganzes verschlüsselt und waren zwar noch als Datenpaket vollständig vorhanden, aber man konnte nicht mehr darauf zugreifen.
Dieser Verschlüsselung erfolgte am 8. August 2022, verbunden mit einer Lösegeldforderung.
Der erste Gedanke des Betreibers war nun, dass man ja die Backups, also die Sicherungen nehmen könnte, und aus denen wieder laufende Systeme herstellen könnte. Dann wären zwar die Änderungen seit der letzten Sicherung weg, aber man hätte wenigstens wieder lauffähige Systeme.
Das Problem war aber: Die Backups waren auch betroffen.
Die Server und die Datensicherung waren auf der gleichen Infrastruktur, so dass die Angreifer alles verschlüsseln konnten.
Betroffen waren lt. Sage ungefähr 650 Sage Systeme und mehrere tausend Systeme insgesamt, darunter Steuerberater, Immobilienmakler, Handwerker und viele mehr.
Sicherheitsexperten von Trend Micro und auch Experten vom BSI haben keine Chance gesehen, dass die Daten wiederhergestellt werden. Und weil der Schaden so immens hoch war, haben die Behörden der Zahlung von Lösegeld genehmigt. Die offizielle Formulierung dazu lautet, es habe eine „Kommunikation“ mit den Angreifern gegeben.
In Deutschland ist es strafbar, Lösegeld zu zahlen. Daher musste diese Zahlung genehmigt werden. Solche Zahlungen werden nur in Ausnahmefällen genehmigt, weil man sonst Tür und Tor für das organisierte Verbrechen öffnet.
Also: Man hat bezahlt und hat tatsächlich von den Angreifern die Technik zur Entschlüsselung erhalten.
Das ganze Prozedere hat 10 Tage in Anspruch genommen. Am 18. August wurden erste Systeme wieder bereitgestellt, noch eingeschränkt, aber immerhin konnten die Kunden jetzt wieder eigene Backups ihrer Daten ziehen. Am Samstag, 20.8., wurde jedoch mitgeteilt, dass alle System wieder heruntergefahren wurden, um weitere Sicherheitsmaßnahmen vornehmen zu können.
Verbrecher zu unterstützen und mit Geld auszustatten, damit die dann die nächsten Angriffe finanzieren können, ist sicher nicht die Methode der Wahl. In dem Fall wäre aber der Totalverlust von Daten für tausende Unternehmen so teuer gewesen, dass man sich für die Kooperation mit Erpressern entscheiden musste.
Was ist hier alles schief gelaufen und was sind die Konsequenzen?
Im Grunde gab es einen systematischen Fehler, und der lag aus meiner Sicht auf Seiten von ELabs: Produktivdaten und Datensicherungen lagen auf der gleichen Infrastruktur. Das wäre so, als würde ich eine Datensicherung machen, die aber auf dem gleichen Rechner speichern, wo auch meine Daten liegen. Ist der Rechner defekt oder wird er gestohlen, dann sind auch sich Sicherungen weg.
Anscheinend hat man einfach nicht damit gerechnet, dass die Infrastruktur selbst angegriffen werden könnte. Und einen „Fallschirm“ in Form technisch getrennter Systeme oder Backups gab es nicht.
Auch Sage hat sich darauf verlassen, dass ELabs verlässlich ist. Sage hat daher keine Backups auf der eigenen Infrastruktur gehabt. Die Daten waren nur bei ELabs. Eine solche Datenspiegelung hätte auch den Datenschutz betroffen und gesonderte Vereinbarungen mit den Anwendern erfordert.
Man könnte sich fragen, ob es denn gar keine Virenscanner gab. Die Antwort darauf lautet: Ja, gab es. Aber ein gezielter Angriff in dieser Dimension erfolgt mit Viren, die eben noch nicht von Virenscannern erkannt werden. Die Hacker haben auch die bekannten Virenscanner verfügbar. Sie können also Viren und Trojaner entwickeln, die an den Scannern vorbei kommen.
Im Webcast von Sage hat einer der Referenten noch erwähnt, dass Elabs nur ein 0,00..irgendwas Prozent des deutschen Internets ausmacht. Ein Angriff dieser Kategorie auf Systeme von Microsoft würde 13 Prozent der deutschen Wirtschaft lahmlegen. Und ob man dann noch Lösegeld bezahlen kann, mag ich bezweifeln.
Diesen Angriff rechnet man nicht einzelnen Hackern zu, die irgendwo in ihrem Keller an Viren tüfteln, sondern man geht davon aus, dass das ein organisierter Angriff war. Von wem ist allerdings nicht bekannt.
Was können und sollten Sie nun tun?
Als Anwender der betroffenen Systeme: Sobald Sie wieder Zugriff haben, stellen Sie Backups über das Dashboard bei Sage her. Sichern Sie diese Backups auf getrennten Systemen (z.B. einer externen Festplatte) und führen Sie in regelmäßigen Abständen solche Sicherungen durch. Verlassen Sie sich nicht ein eine einzelne Festplatte, sondern wechseln Sie auch die Sicherungsdatenträger zyklisch aus.
Sie können, sobald die Systeme wieder laufen, wie gewohnt weiterarbeiten. Alternativ besteht die Möglichkeit, auf Sage ERP zu wechseln (als Sage Office Online Anwender). Sage ERP hat einen nahezu identischen Funktionsumfang und liegt bei Microsoft.
Mit einer Datensicherung können Sie im Notfall auch ein lokal installiertes Sage 100 System hochfahren und haben zumindest Zugriff auf Ihre Daten.
Dies kann auch eine dauerhafte Lösung sein. Mit der Datensicherung kann eine bei Ihnen installierte Sage 100 aufgebaut werden und Sie können dann offline arbeiten.
Des Weiteren könnten Sie auch eine Sage 100 auf einem renommierten Rechenzentrum installieren und dort Ihre Datensicherung einspielen. Dies könnte Microsoft Azure sein, Google Cloud oder Amazon Cloud.
Für welche Lösung Sie sich auch entscheiden, eines sollten Sie immer tun: Eine Datensicherung erstellen und technisch getrennt aufbewahren.
Wie arbeiten wir / was wäre unsere Empfehlung?
Unser Produktivsystem liegt bei Microsoft Azure. Hier haben mir mehrere Server, die durch die Sicherheitssysteme von Microsoft geschützt sind.
Täglich wird ein Vollbackup aller Datenbanken in die Google Cloud vorgenommen, sowie eine Spiegelung der Produktivsysteme in der Microsoft Azure Cloud, jedoch auf technisch getrennten Backupspeichern. Damit haben wir ein wiederherstellbares System bei zwei der größten Cloudanbietern in Deutschland DSGVO konform gespeichert.
Zusätzlich führen wir von Zeit zu Zeit Sicherungen auf eine gesonderte, externe Festplatte durch.
Die Kosten für diese Sicherungen sind sehr überschaubar. Der Google Speicher kostet nur ca. 12 Euro pro Monat, die lokale Festplatte unter 300 Euro. Der Zeitaufwand bewegt sich für die lokalen Kopien im Bereich weniger Minuten, die cloudbasierten Backups laufen vollautomatisch ohne weiteres Zutun.
Wenn Sie eine Beratung oder Empfehlung wünschen, nehmen Sie gerne mit uns Kontakt auf.
