Hadmut Danisch
Ansichten eines Informatikers

Zum Handeln nach Ransomware- und anderen Malware-Attacken

Hadmut
8.12.2025 0:11
Uncategorized

Ein Leser widerspricht mir.

Artikel zu Berlin Museum und Viren – Respektvoller Widerspruch.

Guten Tag Herr Danisch,

leider habe ich beruflich aktuell mit Systemen und Angriffen zu tun und widerspreche Ihnen bezüglich eines wesentlichen Punktes in Ihrem Artikel https://www.danisch.de/blog/2025/12/07/in-berlin-herrscht-digitale-nacht-vom-gehackten-naturkundemuseum/ aus der praktischen Erfahrung heraus.

Das automatisierte Wiederaufsetzen von Systeme im Falle eines ernsthaften Angriffs auf eine Infrastruktur, ohne Austausch der Hardware, ist im Falle eines Angriffs durch einen ernsthaften Gegner maximal ein Notbehelf und bedeutet die Inkaufnahme meist inakzeptablen Risiken und Nebenwirkungen.

Mit “ernsthaften Angriff” kann unter Umständen schon von einem nicht professionellem Angreifer geführt werden, welcher über hinreichend Wissen verfügt, aber gegen hinreichende Deppen (mittlerweile in der Branche eher die Regel) und oder anfällige Hard/Software Bestände (veraltet / mit Sicherheitslücken) antritt.

Ich bin Verfechter der Abwägung von Kosten und Nutzen, und nutze Automatisierung bzw. Systeme zur Automatisierung, allerdings sehe ich das in der Praxis billig billig billig die Regel ist, was zu einer Infrastruktur führt bei der schon der Versuch des Nachweises einer erfolgreichen Bereinigung der System völlig aussichtslos ist. Generell ist wie Sie schon an verschiedenen Stellen erwähnt haben der Beweis des Nichtvorhandenseins oder zumindest eine fundierte Beurteilung ob eine Manipulation vorliegt nicht zu führen.

PCs sind meist veraltet und oder haben Sicherheitsprobleme (gemeint ist damit nicht alles ab Betriebssystem, sondern nur die Hardwarebasis z.B. Uefi und oder Installer, undokumentierte Funktionen, Hardware SoCs).
Die Software ab Betriebssystem MS Windows, MS DCs, Clouds, MS Office, MS Exchange und anfällige / veraltete Softwarestände sind darüber hinaus auch meist vorhanden, Software Lizenzaktivierungen sind auch ein Faktor.
Die sonstige Infrastruktur z.B. Switche, Softwaredefined blabla Zeug und Co. sind auch noch vorhanden und relevant. Cisco Hardware ist nicht die Ausnahme.

In diesem Höllenpfuhl halte ich den Versuch die Systeme ohne Austausch wieder Online zu bringen generell ob mit oder ohne Automatisierung für Russisches Roulette.

Generell stelle ich in aktuellen Berliner Angelegenheiten die Annahme hinter allem stehe der Russe / Chinese / Ami (gemeint sind staatliche Akteure) für sehr gewagt. Die Zuordnung eines Angriffs ist praktisch immer Kaffeesatzleserei und im Fall von “Berliner” Einrichtungen halte ich schlichte Inkompetenz und / oder ein gelangweiltes “Scriptkiddie” für ein realistischere Ursache.

Selbstverständlich ist auch das Manuelle Wiederaufsetzen der Systeme genauso von obigen Ausführungen betroffen.

Mit freundlichen Grüßen

P.S. Alles Gute, bleiben Sie gesund und weiter so!

Ich verstehe nicht, worin mir der Leser da widersprechen will.

Es spielt doch für meinen Punkt, dass man Systeme vollautomatisch installieren können muss, überhaupt keine Rolle, ob man die Hardware austauscht oder nicht. Man muss doch in beiden Fällen, egal ob man die alten Rechner weiter verwendet oder neue kauft, Software schnell, gleichartig, zuverlässig und genau spezifiziert installieren. Das ist bei der Softwareinstallation doch völlig egal, ob der Rechner neu oder alt ist. Ist doch in beiden Fällen dasselbe.

Es gibt Leute, die im Angriffsfalle gerne alle Rechner austauschen.

Dafür gibt es sogar einige Argumente, denn manche Malware kann sich im BIOS/Flash festsetzen und eine Neuinstallation, sogar mit ausgetauschter Platte, überstehen. Irgendwer hat sogar herausgefunden, dass man Daten – wie kryptographische Schlüssel, möglicherweise sogar Malware – auch an anderen Stellen im Rechner verstecken kann: Beispielsweise kann man bei manchen Notebooks Daten im Touchpad ablegen, weil die einen Speicher für Firmware haben, der etwas größer als die Firmware ist und Platz lässt. Es gab vor einiger Zeit mal einen Fall, in dem irgendwer zur Vernichtung von Daten verpflichtet war – ich kriege den Fall und den Grund nicht mehr zusammen – und dann die NSA oder eine ähnliche Behörde kam und nicht nur die Datenspeicher vernichtet hat, sondern mit irgendeinem Gerät (Akkuschrauber mit Bohrer?) einige Chips auf dem Mainboard zerstört, aber den Rechner nicht mitgenommen haben. Statt das Ding gleich in den Müll zu werfen, haben sich Hacker das angesehen und Gedanken gemacht, welche Chips die da zerstört haben – und warum.

Es ist richtig, dass man ein infiziertes Board nur noch mit Spezialwissen und oft auch nur mit Spezialgeräten wieder sauber bekommt, und es billiger sein kann, neu zu kaufen.

Aber:

  • Es sind nur sehr wenige Angriffe, die das hinbekommen. In den allermeisten Fällen reicht es, die Platte zu nullen und neu zu installieren.
  • Solange ich nicht gleich das ganze Netz lösche und eine komplett neue Firma hochziehe – woher weiß ich dann, dass ich mir auch einen neu gekauften Rechner nicht gleich wieder infiziere, und das Geld zu Teufel ist, weil ohne Effekt?
  • Solange man das Problem als solches nicht behoben hat, helfen neue Rechner eben auch nichts.
  • Das Geld und die Rechner auf Lager muss man erst einmal haben, mal eben so – wie im Falle des Museums – 1000 Rechner neu zu kaufen. Und das sind ja nicht alles nur kleine, billige Desktops, sondern auch Server. Es hilft ja auch nichts, wenn ich „Operation gelungen, Patient in Insolvenz“ melde. Man kann schlecht auf Verdacht, rein als Vorsichtsmaßnahme, der Firma sagen, sie soll mal schnell 1000 Recher neu kaufen, ohne einen konkreten Grund dafür zu haben.
  • Was ist, wenn genau das das Ziel des Angriffs ist? Kosten zu verursachen?

    Der Angreifer könnte wissen, die haben 1000 Rechner, so etwas kostet allein an Hardware mal locker eine Million, eher mehr, also können wir mit einer Forderung von 500.000 Euro reingehen. Das kann nämlich auch eine ganz blöde Idee sein, die Kosten für die Recovery hochzutreiben, indem man einfach so aus Prinzip neue Rechner kauft, ohne zu wissen, was genau eigentlich passiert ist.

    Wenn die Firma das Geld hat – von mir aus gerne. Ich will niemandem den Spaß verderben. Aber wenn man sieht, wieviele Firmenpleiten wir haben und wieviele für 2026 erwartet werden, wieviele Firmen gerade am äußersten Rand zur Insolvenz agieren, halte ich so eine Herangehensweise für schon sehr schräg.

    Und dann, wenn man sie neu gekauft hat, kommt der Angreifer wieder – Ätschi Bätschi, und wieder neu kaufen?

Bei mir kommt da so etwas das Aroma herüber, dass sich der Leser den Ärger der Windows- und Anwendungsinstallation ersparen will, indem er Rechner neu kauft – mit Windows schon drauf und den Treibern vom Hersteller, statt sie neu zu installieren.

Das nun wieder halte ich für riskant.

Und ich finde auch die Formulierung

Das automatisierte Wiederaufsetzen von Systeme im Falle eines ernsthaften Angriffs auf eine Infrastruktur, ohne Austausch der Hardware, ist im Falle eines Angriffs durch einen ernsthaften Gegner maximal ein Notbehelf und bedeutet die Inkaufnahme meist inakzeptablen Risiken und Nebenwirkungen.

schon schräg, denn das ist so nebulös, so ins Allgemeine.

Warum soll es „maximal ein Notbehelf“ sein, ein System neu aufzusetzen? Versteht er vielleicht unter „Wiederaufsetzen“ etwas anderes als ich? So eine Art „Windows Recovery“ von der Rettungspartition? Sowas ist natürlich Mist und Murks – aber so etwas meine ich ja auch nicht.

Wenn ich es nicht gerade mit einem der seltenen Malwaretypen zu tun habe, die sich im BIOS/UEFI-Flash festsetzen, sehe ich jetzt nicht, worin das Risiko liegen soll, die Platte auszunullen und das System per PXE über das Netz komplett frisch (und nicht aus einer Wiederherstellungspartition!) zu installieren. Unter Linux gibt es solche Wiederherstellungspartitionskrämpfe auch gar nicht.

Ich meine damit, dass jedes einzelne Byte auf der Platte, einschließlich der Partitionstabelle, komplett neu erzeugt wird.

Solange die Malware nur die Platte (=SSD) ergriffen hat, sehe ich jetzt nicht, woher da „Risiken“ kommen sollten, die der Neukauf eines Rechners nicht hätte.

Könnte es vielleicht sein, dass der Leser da eher so aus einer gewissen – oft zu beobachtenden – Hilflosigkeit gegenüber Windows spricht, und lieber neu kauft, als irgendwas zu übersehen, weil man das nicht unter Kontrolle hat?

Übrigens: Es gab auch schon Hersteller, die infizierte Systeme ausgeliefert haben, weil deren Master-Image infiziert war.

Meines Erachtens muss man immer selbst und frisch installieren – und das geht eben nur dann sauber und deterministisch, wenn es automatisiert erfolgt. Egal ob mit einem neuen oder dem alten Rechner. Ich bleibe dabei.