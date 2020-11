Hannover

Etwas mehr als drei Wochen nach dem Angriff und Erpressungsversuch aus dem Internet will die Handwerkskammer (HWK) Hannover von Samstag an wieder arbeitsfähig sein. Wie hoch der Schaden ist, dazu will die Kammer derzeit keine Angaben machen: Da laufe noch die Bewertung. Bislang seien jedoch keine der abgefischten Daten irgendwo extern aufgetaucht.

Um nach dem Angriff durch das Schadprogram „Sodinokibi“, welches Daten abgegriffen und dann die Originaldaten der HWK verschlüsselt hat (NP berichtete), wieder arbeitsfähig zu werden, hat die HWK ein provisorisches EDV-System errichtet. Parallel zu der provisorischen Netzwerkstruktur für die vier betroffenen Standorte und die Tochterfirma Projekt- und Servicegesellschaft sei ein für das erste Quartal 2021 geplantes Projekt vorgezogen und schon jetzt umgesetzt worden.

Völlig neue IT

Zunächst wird also weiter mit einer provisorischen EDV gearbeitet. Parallel werde in den kommenden Monaten die IT-Infrastruktur „vollständig neu“ aufgesetzt; damit werde die HWK am Ende „in einer einheitlichen Netzwerkstruktur mit redundanten Welten für die Zukunft sehr gut aufgestellt sein“, sagt Hauptgeschäftsführer Peter Karst.

Risiko im Backup

Die Daten aus vor dem Angriff gesicherten Dateien nützen der HWK im Moment wenig: „Das Risiko, dass damit die Schadsoftware im System verbleibt, ist zu groß. Daher ist ungewiss, ob alle Informationen und das Wissen aus allen Daten vor der Cyber-Attacke wieder vollständig zur Verfügung stehen werden. Das wäre außerordentlich wertvoll“, erklärt Karst . Möglicherweise sind wichtige Daten und womöglich besonderes Wissen nun verloren – wie das gegebenenfalls wieder „ausgeglichen“ werden soll, ist derzeit noch offen.

Schadenfrage ungeklärt

Nicht betroffen von der „Cyber-Attacke“ seien jedoch die an einen IT-Dienstleister ausgelagerten Dateien. Ein großes Problem ist: Es gibt laut der HWK derzeit keine Software, mit der sich das Schadprogramm entfernen vom EDV-System ließe und keine Möglichkeit, die verschlüsselten Daten wieder sichtbar zu machen – und das dafür geforderte Lösegeld will die Kammer nicht zahlen. Zudem ist ungewiss: Würden die Erpresser nach Bezahlung tatsächlich die Daten wieder verwendbar machen und die gestohlenen Daten nicht anderweitig verwenden?

Eine Folge des Angriffs aus dem Internet: Mehrarbeit und Überstunden. „Dank des außerordentlichen Engagements aller Mitarbeitenden wird es nach Ablauf von nur drei Wochen gelungen sein, die Arbeitsfähigkeit der Organisation wiederhergestellt zu haben“, sagt der Hauptgeschäftsführer und freut sich so über den Fortschritt bei der Bewältigung der Cyber-Angriff-Folgen.

Das Erpresser-Programm

Das Schadprogramm einer bekannten Gruppe von Internet-Kriminellen namens „Sodinokibi“ ist sogenannte Ransomware und war mit einer E-Mail in das Computersystem der HWK gelangt. Es handelt sich dabei um einen Trojaner, der in harmlosem Gewand daherkommt und irgendwann verdeckt seine bösen Absichten auszuführen beginnt, etwa Daten abgreift, dann alles verschlüsselt, also unlesbar macht, und für die Wiederherstellung der Daten ein Lösegeld (englisch Ransom) fordert.

Von Ralph Hübner