Ransomware-Angriffe: Wie Unternehmen ihre Produktion trotz IT-Totalausfall sichern

Cyberangriffe auf produzierende Unternehmen haben in den vergangenen Jahren stark zugenommen. Selbst Ransomware-Angriffe auf die Office-Welt können durch die wachsende Abhängigkeit der OT von der IT-Infrastruktur die Produktion lahmlegen und letztlich in die Insolvenz führen. Steht beispielsweise das Enterprise Resource Planning (ERP) nicht mehr zur Verfügung, kommt es zu erheblichen Einschränkungen in der Produktion, da zentrale Abläufe wie Materialbedarfsplanung, Auftragssteuerung oder Lagerverwaltung ausfallen.

Die Behebung eines Ransomware-Befalls und die Wiederherstellung betroffener Systeme erfordern je nach Komplexität zwischen vier und sechs Wochen. Damit Unternehmen trotz Ransomware-bedingter IT-Ausfälle ihre Produktion aufrechterhalten können, ist eine strukturierte Vorbereitung notwendig.

Kernprozesse definieren: Was ist überlebenswichtig?

Zu Beginn müssen die Verantwortlichen definieren, was Überlebensfähigkeit für das Unternehmen bedeutet. Hierzu identifizieren sie die minimal überlebensfähigen Kernprozesse, die für den erwartbaren Zeitraum aufrechterhalten werden müssen. Dafür müssen folgende Fragen beantwortet werden:

• Wie hoch muss der Cashflow sein, um eine Insolvenz abzuwenden (etwa 25 Prozent des Regelumsatzes)?
• Welche Top-Kunden sind hierfür mit welchen Produkten zu beliefern?

Daraus leiten sich die Kernprozesse ab, die während einer Krise zwingend weiterlaufen müssen. In der Praxis zeigen sich jedoch häufig Probleme:

Prozesse sind nicht sauber definiert oder geschnitten, Verantwortlichkeiten unklar oder gar nicht festgelegt. Eine saubere Dokumentation des gesamten Produktionsprozesses – unterteilt in Subprozesse von Auftragseingang bis zur Lieferung zum Kunden – wäre zwar enorm hilfreich, ist in der Praxis aber nur selten vorhanden.

Pragmatischer ist es daher, zunächst bis zu drei Subprozesse zu skizzieren, etwa die Anlieferung von Rohstoffen, die Produktion und das Warehouse-Management. Diese werden
anschließend in Cluster unterteilt, um geeignete Interviewpartner zur Beantwortung von Detailfragen zu identifizieren. Interviews helfen zu verstehen, welchen Beitrag der jeweilige Subprozess leistet. Sind erste Subprozesse so festgehalten, stellt sich im nächsten Schritt die Frage nach den IT-Abhängigkeiten.

IT-Abhängigkeiten systematisch erfassen

Die im Prozess involvierten Personen nehmen die Verfügbarkeit von IT-Systemen oft als selbstverständlich hin. Umso wichtiger ist es, einmal den vollständigen Prozessablauf im Tagesgeschehen mit einem kritischen Blick zu begleiten und alle Abhängigkeiten zu dokumentieren. Strukturierte Fragebögen helfen bei der Situationsaufnahme und dienen der späteren Aufarbeitung der Informationen. Konkrete Rückfragen zu IT-Ausfällen zeigen oft die gelebten Ad-hoc-Maßnahmen auf. Ein Fragebogen kann dabei wie in Abbildung 1 aufgebaut sein.

Ist die Prozesskette aufgenommen, lassen sich die Abhängigkeiten zu IT-Systemen ebenfalls in Cluster zusammenfassen. Es bietet sich an, lokal betriebene Systeme (On-Premises) von Cloud-Diensten zu trennen. Zudem sollten die Verantwortlichen für jedes System einen Eigner benennen, der aussagekräftige Informationen zu bereits getroffenen Resilienzmaßnahmen liefern kann – auch wenn die Qualität in der Praxis oft hinter den Erwartungen zurückbleibt.

Mithilfe dieser Informationen lässt sich eine erste Resilienzbewertung der Kernprozesse vornehmen, um den Ist-Stand zu vervollständigen. Als pragmatischer Ansatz bietet sich eine zweiteilige Ampel-Einstufung an:

• Grün: Es sind Fallback-Mechanismen vorhanden, sodass der Prozess trotz Ausfall der IT-Systeme mit der erforderlichen Mindestkapazität lauffähig ist.
• Rot: Es sind keine oder unzureichende Maßnahmen zur Aufrechterhaltung vorhanden, sodass unsicher ist, ob die erforderliche Mindestkapazität aufrechterhalten werden kann.

Diese Bewertung dient der Priorisierung von Maßnahmen und gibt einen guten Überblick über den aktuellen Stand der Cyberresilienz. Ist sie abgeschlossen, besteht der nächste Schritt darin, ein strukturiertes Vorgehen für den Ransomware-Angriff festzuhalten.

Leitfaden für den Ernstfall

Da Ransomware-Angriffe eine hohe Eintrittswahrscheinlichkeit bei gleichzeitig schwerwiegenden Auswirkungen aufweisen, bietet sich dieses Szenario als erstes Playbook an. Weitere Szenarien können die Verantwortlichen später analog behandeln. Ein Playbook ist eine Zusammenfassung strukturierter Anweisungen, um das Szenario zu überstehen. Es besteht aus sieben Kapiteln: Vorbereitung, Erkennung, Eindämmung, Notbetrieb, Kommunikation, Wiederherstellung und Nachbereitung.

Vorbereitung

Im Bereich Vorbereitung sind die Ansprechpartner für die IT-Systeme sowie für die betroffenen Fachbereiche zu hinterlegen, um diese im Notfall schnell informieren zu können. Bei Bedarf sind auch externe Kontakte – etwa Behörden, Berater oder Forensiker – aufzunehmen. Existieren regulatorische Meldepflichten, so bietet es sich an, die einzuhaltenden Zeiträume hier zu dokumentieren.

Erkennung

Dieses Kapitel definiert erwartbare Muster des jeweiligen Szenarios; bei Ransomware beispielsweise ungewöhnliche Dateiverschlüsselungen oder Meldungen zur Forderung eines Lösegelds. Zusätzlich sind hier Meldeketten zur Eskalation festzulegen.

Eindämmung und Notbetrieb

Das Kapitel „Eindämmung“ listet Sofortmaßnahmen wie das Isolieren nicht betroffener Systeme oder die Deaktivierung von Remote-Zugängen. Die Prozesskette wird damit in einen Minimalzustand versetzt, der zunächst nicht lauffähig ist. Die anschließende Überführung in den Notbetrieb hält das benötigte Niveau an Produktion aufrecht, damit das Unternehmen überlebensfähig bleibt. Hierbei werden nur die Kernprozesse aufrechterhalten, während alle nicht erforderlichen Abläufe ruhen.

Da IT-Systeme nicht zur Verfügung stehen, müssen vorab Strategien und Alternativprozesse mit den Verantwortlichen erarbeitet werden. Hier gibt die Ampel-Einstufung die Priorisierung vor. Prozesse mit grüner Einstufung sind bereits abgedeckt, ein Ausfall im gewählten Szenario ist daher nicht realistisch. Für Prozesse mit roter Einstufung müssen hingegen geeignete Fallback-Mechanismen definiert werden.

Fällt etwa das zentrale SAP-System aus, welches die Seriennummern für die Endmontage eines Produktes liefert, so muss vorab ein Nummernkreis definiert werden, der im Notbetrieb ohne SAP zu verwenden ist. Eine Berechnung der Notproduktionskapazität bei erwartbarem Ausfall von bis zu sechs Wochen ergibt die Anzahl der vorzuhaltenden Nummern.

Ein vorbereiteter manueller Ablauf, etwa über ein Kanban-Board auf Papier, führt durch den Prozess und verhindert Fehler. Vorgaben, wo beispielsweise reservierte Seriennummern zu finden sind und wie ihre Verwendung zu dokumentieren ist, um diese nach Wiederherstellung in das SAP zu übertragen, ergänzen das Playbook.

Kommunikation

Wichtig ist, dass alle Fallback-Mechanismen definiert sind, kontrolliert ablaufen und alle involvierten Personen informiert werden. Die hierzu notwendige Kommunikation ist ebenfalls Bestandteil des Playbooks, falls die regulären Kommunikationskanäle wie Telefonanlagen oder Unified Messaging (UM) nicht zur Verfügung stehen. Ausgedruckte Kontaktlisten mit (gegebenenfalls privaten) Mobilfunknummern müssen mindestens vorhanden sein.

Wiederherstellung und Nachbereitung

Die Wiederherstellung beschreibt den Übergang vom Not- zurück in den Regelbetrieb, einschließlich der Überführung aller Zwischenprozesse – etwa Lagerbewegungen oder Rechnungen – in die Normalsysteme. Bei der Nachbereitung können die während des Notbetriebes gewonnenen Lessons Learned im Playbook dokumentiert werden.

Darüber hinaus sollten Unternehmen das Playbook regelmäßig proben – sei es in Tabletop-Simulationen mit allen Beteiligten oder im Rahmen geplanter IT-Wartungen. Auf diese Weise wird es kontinuierlich verbessert, und die Verantwortlichen sind auf den Ernstfall vorbereitet.

Fazit

Das Vorgehen am Beispiel eines Ransomware-Angriffs bereitet Unternehmen systematisch auf schwerwiegende Ereignisse vor. Die im Playbook definierten Fallback-Mechanismen lassen sich auch auf weniger gravierende Zwischenfälle übertragen. Werden weitere Prozesse durch Playbooks abgedeckt, steigt die Unabhängigkeit der Produktion – und die Einbußen im Notbetrieb sinken deutlich.