Ein Bauvorhaben ist komplex und benötigt ein solides Fundament auch durch die notwendige Anzahl aller am Bau Beteiligten Auftragnehmer und Auftraggeber. Das ist jedem Bauunternehmen klar. Wie wichtig eine Cyberrisiko-Versicherung für Firmen der Baubranchen ist, das ist vielen Bauunternehmen noch nicht klar. Nachfolgender realer Cyber-Angriff eines gut organisierten mittelständischen Bauunternehmens mit ca. 20 Mitarbeitern, hat die Existenz ernsthaft bedroht.
Wie alles begann? - Alles fing mit einer typischen E-Mail-Bewerbung an.
Wie heutzutage üblich wurde vom Bauunternehmer eine Stellenanzeige -natürlich auf gängigen Online-Karriereportalen- und auf der Unternehmenswebsite platziert. Auf die ausgeschriebene Position eines Bauleiters folgten kurzfristig die Bewerbungsunterlagen einer jungen Dame mittels E-Mail und entsprechender Anhänge (Lebenslauf, Zeugnisse, etc.). Aufgrund der Dateigröße des Bewerbungsfotos waren die Unterlagen inklusive Lebenslauf als komprimiertes ZIP-Archiv beigefügt. Von der Echtheit der Bewerbung überzeugt, entpackte der Geschäftsführer die Anhänge auf seinem Desktop und versuchte den Lebenslauf zu öffnen. Die vermeintliche Word-Datei reagierte aber nicht. Der Geschäftsführer leitete die besagte E-Mail daraufhin an andere Mitarbeiter mit der Bitte um Prüfung weiter. Auch diese konnten die Datei nicht öffnen und erhielten ebenfalls keine auffälligen Fehlermeldungen.
Alles verhielt sich zunächst unauffällig. Da qualifizierte Fachkräfte schwer zu bekommen sind, sendete eine Mitarbeiterin des Bauunternehmens der mutmaßlichen Bewerberin eine E-Mail und ersuchte diese um erneute Übermittlung der Bewerbungsunterlagen – leider vergebens.
Sichtbarkeit des Cyberangriffs
Das Ausmaß des Angriffs war erst etwa sechs Wochen nach Erhalt der o.g. Bewerbungsmail sichtbar!
Eines Morgens blieben die Bildschirme der Mitarbeiter schwarz – keiner konnte mehr arbeiten. Die Firma wurde Opfer eines massiven Cyber-Angriffs auf ihre IT Systeme, trotz installierter Firewall und Antiviren-Software!
Chronologie des Cyberangriffs
Ursprung war die E-Mail-Bewerbung mit infizierten Dateianhängen. Erst Wochen später waren die Auswirkungen des folgenschweren Cyber-Angriffs sichtbar!
Ein unglücklicher Zufall? Nein!
Wie sich im Rahmen der forensischen Untersuchungen des Cyber Experten Teams herausstellte, war die scheinbar nicht zu öffnende Word-Datei im Anhang der E-Mail-Bewerbung der Ursprung der Infektion und die Vorbereitung für den späteren Angriff.
Durch das Weiterleiten der verseuchten E-Mail wurde unbeabsichtigt eine Kettenreaktion ausgelöst. Neben dem Notebook des Geschäftsführers wurden so auch alle anderen Systeme innerhalb des Unternehmensnetzwerks infiziert und fortlaufend Daten ausgespäht. Hierunter auch Zugangsdaten und Passwörter, welche dem Angreifer später im wahrsten Sinne des Wortes „Tür und Tor“ öffneten. Durch die erlangten Kenntnisse über die vorhandene IT-Infrastruktur des Bauunternehmens gelang es dem Angreifer sogar die vorhanden Speichermedien und Datensicherungen zu verschlüsseln und somit nicht nur den operativen Betrieb des Unternehmens zum Stillstand zu bringen, sondern auch eine schnelle Wiederherstellung unmöglich zu machen. Eine Kontaktaufnahme des Cyber-Forensikers mit dem kriminellen Angreifer über die mögliche Entschlüsselung der betroffenen Daten musste abgebrochen werden, da der Cyber-Kriminelle während der E-Mail-Kommunikation erneut versuchte, das Unternehmen und sogar den Cyber-Forensiker selbst anzugreifen.
Es wurde innerhalb eines Tages ein IT-Notbetrieb eingerichtet, um der Firma eine Grundfunktionalität zum Fortsetzen der Arbeiten zu ermöglichen.
Dieses war zwingend notwendig, damit die zweistellige Anzahl von Bauvorhaben des Unternehmens weiter betreut und realisiert werden konnten. Der geschätzte kurzfristige Umsatzausfall bei einem Totalausfall dieser Projekte wurde vom Firmeninhaber selbst auf etwa 5,00 Mio. EUR geschätzt. In Kombination mit drohenden Imageschäden und den Auswirkungen der Cyber-Attacke hätte dieser finanzielle Verlust das Bauunternehmen an den Rand einer Insolvenz gebracht. Durch das schnelle Eingreifen der VHV Cyber-Forensik Experten konnte dieses Szenario zum Glück abgewendet werden.
Hilfe und Lösungen durch VHV Experten Team
Die einzige Möglichkeit in diesem speziellen Fall bei einer derart aggressiven Vorgehensweise war deshalb der vollständige Ersatz von betroffenen Hardwarekomponenten, der komplette Neuaufbau der Systemlandschaft und das Einspielen / Wiederherstellen der Daten von der physisch getrennten Datensicherung. Das Einpflegen der zum Zeitpunkt des Angriffs verloren gegangenen Daten musste natürlich zeitaufwändig von Hand erfolgen, um die entstandene zeitliche Lücke zu schließen.
Auswirkungen Schadenhöhe und Kostenübernahme
Der gesamte Eigenschaden inklusive Wiederherstellung, Forensik und Servicemaßnahmen beläuft sich auf etwa 150.000 EUR. Ein möglicherweise existenzbedrohender Umsatzausfall in Millionenhöhe konnte durch das schnelle Eingreifen des VHV Cyber-Forensikers und der umgehenden Schaden-meldung des betroffenen Bauunternehmens zum Glück abgewendet werden. Fazit: Kleine Ursache, große Wirkung.
Zusätzlich blieb dem Kunden durch die VHV Cyberrisiko-Versicherung ein langwieriger und teurer Schadenersatzprozess gegen seinen IT-Dienstleister erspart. Zwischen dem Kunden und seinem IT-Dienstleister lag nämlich keine klare schriftliche Regelung vor. Darüber hinaus hatte der Dienstleister auch keine Haftpflichtversicherung. Durch die VHV Cyberrisiko-Versicherung konnte der Kunde aber sofort Hilfe erhalten und der Umsatzverlust wurde kompensiert.
Der Fall macht deutlich, dass es jede Firma unverhofft treffen kann!
Wichtig zu wissen: Dieser Eigenschaden und die daraus entstehenden Kosten für Forensik und Services werden ausschließlich über eine Cyberrisiko-Versicherung gedeckt!
Aus diesem Grund hat der Baugewerbeverband Schleswig-Holstein für seine Mitgliedsbetriebe einen Cyber Rahmenvertrag mit der VHV geschlossen.
Hierüber genießen Mitglieder erhebliche Vorteile – zögern Sie nicht und informieren Sie sich über Umfang und Vorteile des Cyber-Rahmenvertrags. Ihren persönlichen Ansprechpartner finden Sie unter: