Das Thema Resilienz wird aktuell sehr stark diskutiert. Auch im Bereich der IT, wo viele Schnittstellen zur Cyber Security existieren. Cyber-Resilienz beschreibt die Fähigkeit eines Unternehmens, trotz unerwünschter Cyber- Ereignisse, kontinuierlich das beabsichtigte Ergebnis zu erzielen. Im Rahmen des nachfolgenden Artikels möchte ich das Thema mit einem Erfahrungsbericht aus der Praxis abgleichen.

 Das unerwünschte Ereignis ist  in  diesem  Fall die Vernichtung der bestehenden Infrastruktur in einer deutschen Ortschaft im Kreis Ahrweiler durch die Flut im Juli 2021. Betroffen sind viele Unternehmen. In diesem Bericht konzentriere ich mich auf zwei Unternehmen – ein Hotel und einen Handwerksbetrieb. Beide setzen IT für die Produktion bzw. Erbringung von Dienstleistung als Unterstützung ein. Ich konzentriere mich in meinen Ausführungen auf die Abhängigkeit von Daten und deren Rettung und warum diese ein zentrales Element bei der Cyber-Resilienz spielen.

Viele Firmen haben sich mittlerweile auf Datenrettung spezialisiert. Recherchiert man im Internet nach Anleitungen und Tutorials, was man im Falle eines Wasserschadens bzw. der Zerstörung eines Gerätes tun sollte, ist das Thema Zeit ein dringlicher Faktor. Manchmal zählt jede Minute. Die Realität sieht oft anders aus. Die Prioritäten liegen insbesondere zu  Beginn auf anderen Dingen und die Erkenntnis, welches Ausmaß ein möglicher Verlust von Daten für das Unternehmen haben kann, liegt gerade bei Firmen, die weniger IT-affin sind, nicht im Fokus. Das ist verständlich, wenn Maschinen und Material komplett zerstört sind, erscheinen Kundenlisten, Rechnungen usw. nicht mehr so wichtig. Wen sollte man auch wie bedienen, wenn alles zerstört ist? Dazu kommt das traumatische Erlebnis. Viele betroffene Menschen empfinden Ohnmacht und müssen die Geschehnisse erst verarbeiten.

So hatte ich bei meiner Ankunft auch damit gerechnet, Rechner vorzufinden, in denen  noch das Wasser stand oder die mit getrocknetem Schlamm verklebt waren. Insgesamt konnten 2 Laptops und 8 Rechner „gerettet“ werden. An dieser Stelle möchte ich erwähnen, dass niemand, dem ersten Impuls folgen solle, die Rechner und überhaupt alle Hardware an den Strom anzuschließen. Neben einer möglichen Gefahr sich durch Strom selbst zu verletzen, wird sehr wahrscheinlich jede Chance zerstört, später Daten jeglicher Art retten zu können. Vorwegnehmen kann ich, dass beide Unternehmen trotz des Ausfalls der kompletten technischen Infrastruktur und fast keiner vorhandenen Datensicherung wieder arbeitsfähig sind  und ihre Dienstleistung bzw. Produktion wieder aufgenommen haben. Erreicht werden konnte dies trotz der schlechten Ausgangssituation durch drei Schritte.

1 ) EINEN KÜHLEN KOPF BEWAHREN: SICHTUNG UND BESTANDSAUFNAHME

Zuerst musste ich mir einen Überblick verschaffen. Das passierte unter einem gewissen Zeitdruck, doch es lohnte sich sehr. Ich ordnete die gerettete Hardware und Software. Dazu gehörten insbesondere USB-Sticks, Festplatten usw. Hinzukamen Passwortlisten auf Papier (ja, die gibt es immer noch), Lizenzen, Verträge und weitere Dokumente. Mir wurden die teilweise komplett mit Schlamm bedeckten Rechner auf einem Anhänger übergeben sowie eine Tüte mit eingesammelten USB-Sticks und Festplatten in die Hand gedrückt. Hierbei waren private und geschäftliche Hardware gemischt. Die handschriftliche Passwortliste entpuppte sich später als unschätzbarer Wert. Sie war in einem extra Kästchen verstaut und hat dadurch die Flut überstanden. Bei der Sichtung der Geräte konnte ich teilweise auf die Hilfe von deren Besitzern zurückgreifen. Leider standen diese noch unter Schock und hatten verständlicherweise oft „einfach nicht die Nerven dafür“.

Trotzdem konnte ich mit diesen Personen in einer ruhigen Minute eine Liste erstellen. Hier dokumentierten wir die Daten, welche die betroffenen Unternehmen bislang geschäftlich genutzt hatten. Ich ließ mir  ihren  Arbeitsalltag schildern und konnte so zu den einzelnen Arbeitsschritten mögliche Datenquellen zusammentragen. Am Ende wurde diese Liste der Datenquellen gemeinsam noch einmal durchgegangen und um fehlende Tools, usw. ergänzt. So hatte ich im ersten Schritt eine Liste

mit möglichen Datenquellen erzeugt. Ich empfehle, eine derartige Liste nicht nach dem Motto: „Auf diesem System waren, diese und jene Daten“ zu erstellen. Es ist besser, die Liste ganzheitlich aus dem Blickwinkel der tagtäglichen Prozesse anzulegen. Hintergrund für diese Herangehensweise ist, dass vielen Menschen nicht bewusst ist, mit welcher enormen Datenmenge sie permanent zu tun haben. Es fällt sogar technikaffinen Menschen sehr schwer, den Überblick zu behalten.

2) WAS IST WICHTIG: ÜBERBLICK VERSCHAFFEN UND PRIORITÄTEN SETZEN

Anhand der zuvor erstellten Liste erfolgt nun eine Zuordnung der Daten zu  den  vorhandenen Assets, auf welchen sich die Daten in der Vergangenheit befanden.  Parallel  dazu,  findet eine Priorisierung der einzelnen Daten und der Bestimmung von deren Kritikalität für das Weiterbestehen der Firma statt. Neben den Daten von Kundinnen und Kunden waren hier insbesondere die aktuellen  Verbindlichkeiten und Außenstände gegenüber Lieferanten und Banken wichtig. Glücklicherweise stellte sich heraus, dass viele der Informationen in Form von E-Mails noch beim Provider gespeichert waren und zur Buchhaltung auf eine Cloud Lösung zurückgegriffen werden konnte.

Für den Handwerksbetrieb wurde  des  Weiteren eine Vielzahl von  Skizzen  und  Entwürfen als besonders wichtig eingestuft. Hier lag das Ergebnis jahrelanger Arbeit unter einer dicken Schicht von Schlamm begraben. Anhand der Kritikalität habe ich im nächsten Schritt eine Einteilung vorgenommen, welche Daten ich versuchte, selbst zu retten und welche ich an eine dafür spezialisierte Firma übergeben wollte.

3) LANGSAM UND GENAU: DATEN RETTEN

Erst nach dieser Vorbereitung ging es an die Wiederherstellung und Rettung der Daten. Hierzu wurden die Festplatten ausgebaut und, wenn diese noch nicht getrocknet waren, zum Trocknen weggelegt. Das Trocknen im Backofen, welches oft im Internet beschrieben wird, war mir zu riskant. Einige Laptops und USB-Sticks waren trocken geblieben, mit diesen startete ich. Die USB-Sticks und externen Festplatten konnten nach einer groben Reinigung mit destilliertem Wasser direkt ausgelesen und gesichert werden. Von den neun Festplatten hatte sich eine „verabschiedet“, die acht anderen konnten gesichert werden. Auch hier wurden die Kontakte der Festplatte gereinigt, der Schlamm vorsichtig nach und nach abgetragen. Eine Festplatte hatte ich zur Datenrettung an eine darauf spezialisierte Firma gegeben. Leider konnte auch sie nur eine sehr geringe Anzahl der Daten retten. Nicht zu unterschätzen ist die Anzahl der Daten, welche dann auf dem dafür eingerichteten Laptop eingespielt wurden. Allein die Suche und Recherche der wirklich relevanten Daten gestaltete sich sehr umfangreich. Da ich aber die Liste mit den Prozessen und zugehörigen Daten hatte, konnte ich gezielt nach Informationen suchen und die alltäglichen Arbeitsprozesse kurzfristig wiederherstellen.

Als ein größeres Problem stellte sich die Wiederherstellung älterer Programme heraus, da einige Skizzen und Zeichnungen nur mit älteren Programmversionen liefen. Während die Standardprogramme über Internet sehr schnell wieder hergestellt werden  konnten,  gestaltete sich das Vorgehen bei der branchenspezifischen Spezialsoftware deutlich komplizierter. Am Ende konnte diese aber mit einigem Kostenaufwand eingespielt werden. Anhand dieser Erfahrungen wurde eine neue Backup-Strategie, welche die älteren Programmversionen berücksichtigt, entwickelt und aufgesetzt. Grundlegend kann man davon ausgehen, dass Hardware in den meisten Fällen ersetzt werden kann oder in der Mehrheit der Fälle eine Versicherung für den entstandenen Schaden aufkommt. Nicht selten nutzen Firmen ein solches Ereignis auch, um gewachsene Strukturen „gerade zu ziehen“ oder es „endlich ordentlich zu machen“.

Eine viel größere Herausforderung stellen die Daten der Unternehmen dar, welche am Ende für das Überleben der Firmen entscheidend sein könnten. Während es in der Praxis sehr häufig vorkommt, dass Unternehmen einen Überblick haben, welche IT-Systeme sie im Betrieb einsetzen, haben deutlich mehr Unternehmen keine Übersicht, welche Daten sie nutzen bzw. erheben und welche Abhängigkeiten bestehen. Allein sich mit dieser Thematik zu beschäftigen, sich deren Relevanz ins Bewusstsein zu rufen und entsprechende Übersichten bzw. Konzepte umzusetzen, kann die Resilienz deutlich erhöhen. So gehen die beiden, in diesem Beitrag beschriebenen Firmen, aufbauend auf der neu aufgesetzten Infrastruktur und der teilweise neu umgesetzten Backup-Strategie deutlich resilienter aus dieser Krise hervor.

Nun zu dem oft geäußerten Kommentar: „Kein Backup – kein Mitleid!“ In beiden Unternehmen wurden unterschiedliche Teile einer Backup- Strategie umgesetzt. So befanden sich Datensicherungen an unterschiedlichen Orten, welche aber durch die vollständige Überflutung nicht mehr auffindbar waren. ■

Eine genaue Anleitung und die verwendeten Tools zu einer möglichen Datenrettung habe ich für alle Betroffenen hier hinterlegt:https://schutzschild.org/flut