26-08 | Die Milchstraße
Shownotes
Incident Log: https://cryptpad.fr/sheet/#/2/sheet/view/wicnVFfdk6l9TsxinM6WjKfTnk+i4YOBeNV5Bzm8IsI/
Transkript anzeigen
00:00:03: Wir werden heute wieder mit einem gemischten Team in den nächsten sechzig Minuten einen Cybervorfall lösen.
00:00:27: Und zwar handelt ihr Cybervorvoll und Vorfall bei einem mittelständischen Unternehmen der Lebensmittelindustrie, das Unternehmen Die Lecker Milch EG ist ein Hersteller von Molkerei Produkten mit ca.
00:00:47: in einer ländlichen Region.
00:00:49: Er bezieht die Milch von regionalen Landwirten, vermarktet seine Produkte aber deutschlandweit.
00:00:55: Das Unternehmen betreibt auch eine Forschungsabteilung für die Produktentwicklung sowie für die Qualitätssicherung.
00:01:03: Die IT-Abteilung ist mit fünf Mitarbeitenden ausreichend aufgestellt.
00:01:08: Neben den eigenen IT Fachkräften wird das Unternehmen noch von einem IT-Dienstleister, vor allem bei der Einführung neuer Systeme und bei Schulungen der Mitarbeitenden unterstützt.
00:01:19: Gleichzeitig besteht mit dem Dienstleister ein Vertrag für Inzidentresponsaufgaben.
00:01:25: Dafür steht mindestens einen Mitarbeiter während der allgemeinen Geschäftszeiten also von acht bis achtzehn Uhr kurzfristig bereit.
00:01:34: Welche IT-Systeme betreibt das Unternehmen?
00:01:38: Neben der regulären Bürokommunikation ECM und ERP mit eigener Surferlandschaft betreibt das Unternehmen für die Produktionslinien verschiedene OT-Systeme sowie eine eigene IT-Umgebung, für die Forschung und Qualitätssicherung.
00:01:57: Die IT Sicherheitsarchitektur besteht aus einer mehrstufigen Absicherung mit einer Open Source Firewall.
00:02:07: Wir haben hier eine PF Sense die mit VPN-Funktion konfiguriert ist.
00:02:14: Wir haben ein EDR und die verschiedenen Bereiche sind alle voneinander getrennt, sie sind sehr gut segmentiert also Verwaltung und Finanzen ist ein Bereich Einkauf und Vertrieb.
00:02:29: Produktionen ist ein eigener Bereich sowie die Forschung.
00:02:32: Backup Lösungen sind on-premise.
00:02:34: es werden täglich inkrementelle Sicherungen und wöchentliche Vollsicherungen der Datenbanken durchgeführt.
00:02:42: Dabei sind zwölf Sicherungen offline gespeichert, die monatlich werden die Systeme komplett gesichert immer jeweils zum Fünfzehnten des Monats.
00:02:53: Sechs Monatssicherung werden offline vorgehalten.
00:02:58: zur Ausgangslage heute Mittag zwölfuhrdreißig das ist vor zehn Minuten oder vor dreißig Minuten gewesen Erhält die Geschäftsführung eine E-Mail von der bekannten Cybercrime-Gruppe MilkCat, der Absender behauptet seit Wochen im System zu sein.
00:03:17: Sie haben geben an Kundendaten von circa fünfzigtausend Einträge sowie Mitarbeiterdaten und sensible Forschungsdaten zur neuen Käsesorte Altengold erbeutet haben.
00:03:31: Die Forderung fünfhunderttausend Euro in Kryptowährung innerhalb von vierundzwanzig Stunden.
00:03:39: Eine Rensennode bzw eine Information zu den zum Darknet, wo die des Krypto-Vollets besteht ist beigefügt.
00:03:51: bei Nichtzahlungen oder Einschaltung der Polizei werden die Daten morgen früh veröffentlicht also in achtzehn Stunden.
00:04:01: so liebes Team Welche ersten Schritte werden eingeleitet?
00:04:07: Wer nimmt den Erstkontakt auf mit der Geschäftsführung, wer muss sonst noch informiert werden.
00:04:15: Wie geht man mit der Zahlungsforderungen um und soll man nicht doch die Polizei einschalten?
00:04:24: Wieso an die Spieleitung eine Frage wird das eben richtig verstanden, dass fünfhundert keinen vierundzwanzig Stunden gezahlt werden sollten Bei Nicht-Zahnung oder bei Einschaltung der Polizei, aber nach achtzehn Stunden schon die Sachen veröffentlicht werden?
00:04:38: Ja da hat sich der Angreifer wohl etwas in seiner Zeitrechnung vertan.
00:04:44: Oder die ... Die Mail war sechs Stunden verzögert eingegangen.
00:04:52: Okay also dann gehen wir mal von achtzehnt stunden aus.
00:04:55: Ja im CSU an IT Leitung.
00:04:58: Könntet ihr mal auf eure Systeme gucken Was, wo die Firewalls abwollts?
00:05:04: Ob das EDR-System angeht.
00:05:06: Ob da irgendwelche Auffälligkeiten in den letzten Wochen gewesen sind?
00:05:10: Ja, würden wir machen wenn ihr uns sagt, wo und in welche Richtung wir schauen sollen.
00:05:19: Das heißt hier bräuchte ich erst einmal ein paar Infos vom Intelligent Response Team basierend auf der E-Mail.
00:05:27: oder was habt ihr bezüglich deren Informationen an Darknet, was könnt ihr uns zur Verfügung stellen?
00:05:35: Ansonsten ist der Auftrag etwas schwer auszuführen.
00:05:40: Also erst mal... Aus der Erfahrung heraus kann es eventuell sein also ich will das jetzt nicht Als Ultimo aufstellen kann aber sein, dass es ein Blöff ist.
00:05:56: Ihr habt ja eine Idee und da müsste eventuell etwas also müssten
00:06:03: Auffälligkeiten
00:06:04: festzustellen.
00:06:05: Zum Beispiel die Signifikante Spitzen.
00:06:09: bei ausgehendem Datenverkehr wurden ungewöhnlich große Uploads irgendwann festgestellt und das insbesondere vielleicht außerhalb der Geschäftszeiten.
00:06:21: Gab's da Verbindungen zu unbekannten IP-Adressen vielleicht?
00:06:29: Und wie werden die Geo... Also wenn ja, wo sind die geogabisch zu verorten.
00:06:36: Ich kann eventuell unterstützen, indem man das feststellt.
00:06:41: Das sind doch ganz spezifische Anfragen.
00:06:43: Danke schön!
00:06:44: Damit können wir arbeiten und wir werden schauen ob wir eineseits Alarm haben im EDR Das ist ein Task, den werde ich einen Mitarbeiter zuweisen.
00:06:55: Der Zweiten ist, dass wir nach Anomalien suchen bezüglich größeren Uploads oder Datenabflüssen vielleicht in Bezug auf Forschungsdaten auch was außerhalb der Geschäftszeiten passiert ist und ob es Zugriffe von Aussahlen vielleicht von Deutschland gibt.
00:07:17: mit denen Aufgaben die teile ich jetzt mal zu.
00:07:21: Dankeschön
00:07:23: Sie so an IT-Leitung?
00:07:25: Ja.
00:07:27: Wenn ihr noch Ressourcen frei habt, dann bitte fangt doch einmal an zu sichten wie sauber die Sicherung ist, die wir haben in den letzten Wochen gelaufen ist und wie viele Wochen wir gegebenenfalls auch zurück können.
00:07:44: Ich schau nochmal die Vorgärben vom Spieleiter an und kontrolliere nochmal ob das soweit gedehnt war.
00:07:53: Wir werden auch zur Sicherheit nochmal ein Restore, ein Testrestore starten und zu schauen ob die Infrastruktur bereit dafür wird zurückzuspielen.
00:08:07: Das ist super!
00:08:10: IT-Leitung an die Personalabteilung?
00:08:16: Ja
00:08:18: Gab es in den letzten Monaten Mitarbeiter, die sich von denen wir uns im Nichtguten getrennt haben oder die irgendwie andere Auffälligkeiten hatten?
00:08:30: War jetzt keiner.
00:08:32: Wir hatten in den lasten Monaten überhaupt keine Personen entlassen.
00:08:37: Wir haben ein florierendes Geschäft und wir brauchen alle Mitarbeiter.
00:08:42: Es gab sogar vor kurzem eine Gratifikation für die Mitarbeiter die ausbezahlt wurde im Rahmen der Fünfzig-Jahr-Feier.
00:08:53: Das ist super!
00:08:54: Okay, danke.
00:08:56: Gut,
00:08:58: Notfallmeldestand Sie so?
00:09:01: Ja.
00:09:04: Hast du soweit alles mitbekommen?
00:09:06: Ja
00:09:07: Dann sollten wir glaube ich jetzt so langsam das erste Meeting mit der Geschäftsführung anberauen dass wir erstmal eine Kontrolle machen wie weit das wirklich real ist oder um Blöff ist?
00:09:23: Sollen wir noch den Datenschutzbeauftragten dazu nehmen.
00:09:26: Bei dem Daten, die abgeflossen sein sollen angeblich macht es durchaus Sinn, dann würden wir das auch tun
00:09:32: ja.
00:09:32: Dann informiere ich den.
00:09:34: Ja hier ist der Datenschutzeauftragte.
00:09:36: Ich habe mich damit beschäftigt.
00:09:40: wenn da tatsächlich diese Daten abgeflossend sind müssen wir natürlich die Betroffenen so schnell wie möglich informieren.
00:09:49: Und auch die Behörden, sollte es spätestens in zwei und siebzig Stunden muss die Meldung raus sein.
00:09:57: aber wir ja wisst immer so schnell Wie möglich?
00:10:03: Ja also ich kann da nochmal ein Hinweis geben.
00:10:08: So schnell wie wirklich gucken ob das diese Spitzen gab.
00:10:11: auf dich hingewiesen haben andere die Kartoffel sein dass plötzlich Logs verschwunden sind, vielleicht angreifert ihre Sprung verwischen wollten.
00:10:20: Wenn aus unerklärlichen Gründen jetzt in genau dem Zeitraum Logs fehlen, dann ist der Verdacht sehr groß und man muss auf jeden Fall die Datenschutzmeinigung gemacht werden.
00:10:31: Okay, starten wir mit von der IT, die ersten Lösungen oder die ersten Pipaks vor.
00:10:40: Restore-Tests war so weiter erfolgreich Das heißt, sollten Daten verloren gegessen sein oder gelöscht werden.
00:10:48: Für wir im Moment noch keine Indikatoren haben.
00:10:51: Sie sehen mir zumindest eine Chance, dass wir Daten wiederherstellen können, erfolgt wieder herstellen können.
00:10:56: Das heißt die letzten Backups waren mit denen wir jetzt stichpunktartig getestet haben haben funktioniert.
00:11:03: TIP Informationen habe ich im Moment folgendes Folgen der Ergebnisse vorliegen Wir haben auch Zugriff von außerhalb von Deutschland, was aber bei unseren Angesichts unseres Kundenkreises durchaus realistisch ist.
00:11:20: Wir haben Zugriffe aus verschiedenen Ländern in Europa.
00:11:24: Es gibt aber auch einzelne Traces außerhalb oder Spuren.
00:11:31: an sich kann ich das momentan nicht eingrenzen.
00:11:34: Parallel dazu werden wir noch mal ein Crosscheck machen Fred Intel, ob vielleicht einige dieser IP-Adressen auf mögliche VPN-Gatesways zum Beispiel oder Tornetze zurückzuführen sind.
00:11:50: Das nehme ich noch mal mit.
00:11:53: Ja es gibt ja sehr wohl auch Zugriffe außerhalb der Geschäftszeiten.
00:11:59: Im Moment sehen wir das.
00:12:02: dies zb aufgrund der Forschungsabteilung.
00:12:06: hier arbeiten wir ja mit externen mit externen Partnern zusammen, da werden durchaus Daten transferiert.
00:12:17: Nähere Info kann ich noch nicht geben.
00:12:20: Wir sehen aber auch Zugriffe vom externen Dienstleiste.
00:12:24: vielleicht hat er auch schon hier versucht sich an die Alerne schon mal anzuschauen.
00:12:32: Größeren Aploat sehen wir.
00:12:33: in der Tat können es im Moment noch nicht einkrinsen Ob das eigentlich zu einem Geschäftsprozess gehört oder ob das schon zu dem Angriff gehören könnte.
00:12:46: Dieser erfolgt außerhalb der üblichen Arbeitszeit und ist momentan in einem Fenster von ein bis drei Uhr nachts geschehen.
00:12:56: Wie gesagt, kann auch mit den Forschungsdaten zusammenhängen.
00:13:00: Das können wir momentan nicht
00:13:03: mehr einklassen.
00:13:05: IT-Leiter bekommt gerade noch eine Information von seinem Team, dass das Restor für die Betriebssysteme so weit erfolgreich war.
00:13:14: Aber die Datenbanken können nicht eingebunden werden und im Konsistenz.
00:13:22: der letzte Test Backups ist auch schon länger als ein Jahr her.
00:13:28: Konkretisieren
00:13:32: bitte, was ist der letzte Test?
00:13:35: Den letzten erfolgreichen Restore-Test wurde vor etwa einem Jahr durchgeführt.
00:13:41: Okay dann Empfehlung
00:13:42: von
00:13:43: Institution Respawn IT Die aktuell vorhandenen Backups einmal sofort testen.
00:13:49: Wie gesagt die Daten banken können in den aus den Backups nicht eingebunden werden, enthalten in Konsistenzen.
00:13:57: Okay.
00:13:59: Ja, nehmen wir mit!
00:14:00: Zieh so an Spielleiter?
00:14:04: Wie viel hat uns über den Backup zurück?
00:14:06: Grundsätzlich sind die Systembackups sechs Monate vorhanden.
00:14:14: Die wöchentlichen Datenbank-Sicherungen sind für zwölf Wochen vorhandenen.
00:14:23: CISO und IT-Leitung, Vorschlag.
00:14:27: Wollt ihr vielleicht die Datenbank Sicherung von vor zwölf Wochen als erstes prüfen?
00:14:33: Als Worst Case?
00:14:34: Dann haben wir da schon mal eine gewisse Klarheit, ob der möglich ist oder nicht.
00:14:41: Okay machen wir.
00:14:43: Also super danke!
00:14:45: CISo und Notfall Manager an den Geschäftsleitungen.
00:14:48: Ja hier ist die Geschäfts leitung.
00:14:51: Uns wurde gegen zwölf Uhr dreißig gemeldet oder der IT gemeldete, dass es wohl einen Eingriff gab in den letzten Wochen.
00:14:59: Die Angreifer sind angeblich seit mehreren Jahren noch ins System.
00:15:04: Ja das ist auch bei mir angekommen?
00:15:07: Okay gut.
00:15:09: Auch die Schadens... Nein nicht die Schaden sondern die Forderung auch angekommen.
00:15:13: Ich stehe mit in der Mail.
00:15:14: Zehn Stunden Lesung mit rein.
00:15:17: Zwei verschiedene Zeiten drin standen sollten wir als Grenzwert erst mal die achtzehn Stunden anpeilen.
00:15:23: Meine Empfehlung wäre, wie muss ich noch einmal beinstalten?
00:15:27: Wir sehen grundsätzlich die Einschaltung der Polizei.
00:15:30: Ich glaube man sollte schon die Polizei zumindest informieren und sich einmal mit dem Zag abstimmen
00:15:38: müssen.
00:15:38: Es muss sicherstellen dass die Angreifer da zunächst mehr keine Informationen darüber erlangen.
00:15:45: Das würden wir dann über private Kanäle, also Kommunikationsmittel realisieren.
00:15:50: Falls die Zugrubb auf unsere Telefonanlage oder sowas bekommen haben, dass das nicht darüber läuft.
00:15:56: Wir haben Zuriffe sowohl aus Deutschland als auch aus Europa und auch von außerhalb von Europa vom Systeme.
00:16:03: Die IT prüft gerade was der Mal zu schwere End kann man nicht sagen ob es das
00:16:09: ungewöhnlich
00:16:10: ist.
00:16:11: Es gab grundsätzlich auch Zugerufe außerhalb der normalen Geschäftszeiten, zum Beispiel von der Forschung.
00:16:22: Wir haben das mal verglichen, dass die Kundendaten betroffen sein können.
00:16:32: wir haben mal die Größe der Kunden Datenbank verglich mit der Größe des Uploads und wir stellen aber fest Größe des Uploads kleiner ist als die Datenbankgröße bezüglich unserer Kundendaten.
00:16:50: Das an der Stelle ist mal vermerkt, was das bedeutet können wir im Moment noch nicht sagen.
00:16:55: Es gibt zwei Möglichkeiten dafür.
00:16:58: entweder es sind sie nicht an die kompletten Kondentate gekommen oder Sie haben andere Methoden verwendet um dass man eben so einen direkten Vergleich nicht durchführen kann, zum Beispiel die Daten gepackt und verschlüsselt was ja durchaus möglich wäre um damit auch nochmal die Größe zu limitieren.
00:17:21: Frage aber jetzt von IT-Abteilung Richtung IR.
00:17:26: Euch liegt ja die Forderung vor.
00:17:30: Hinweis auf ein Darknet-Eintrag.
00:17:35: Wurde denn bis jetzt überhaupt bestätigt, dass das keine Hux ist?
00:17:40: Dass das wirklich ein ernsthaft zu nehmender Fall ist.
00:17:45: Wie sieht da die aktuelle Datenlage aus?
00:17:50: Also bei allen beschriebenen Indikatoren festhält es darauf hin, dass kein Blödsinn ist und dass Daten auf den Start fand.
00:18:00: ganz wichtig zum einen die Gefolte nicht so bezahlen und trotzdem die Polizei einzuschalten, weil wenn sie die Daten geklaut haben sowieso verkaufen
00:18:15: werden.
00:18:16: Ob wir nun oder Sie sich nun an alle Jadrungen in der Täter halten?
00:18:25: Also an die Vorderung meine ich... Es ist wichtig, dass die Polizei Bescheid weiß auch wegen der Erhebung von Hackerangriffen insgesamt und die Daten sind dann sehr wahrscheinlich sowieso in den falschen Händen.
00:18:43: Deshalb auch unbedingt eine Datenschutzmeldung machen und auf technischer Ebene sofort einmal alle möglichen Patches einspielen.
00:18:57: ausgerollt worden sind von Anbietern, von Software, diese Nutzen.
00:19:03: Ansonsten schauen
00:19:04: ob es
00:19:05: bei Ihnen auf technischer Ebene irgendwelche Sicherheitsrücken noch gibt die zu schließen sind.
00:19:12: Härtungen vornehmen?
00:19:14: Die Härtung können wir dann im Einzelnen auch zusammen durchgehen
00:19:20: und
00:19:21: ja ansonsten kommt vielleicht irgendwer eben unternehmen Ohne ihr Wissen einen Schautdienst genutzt, weil vor zwei Jahren waren fünftünfzig Prozent der Angreifer also sind ein Greifer über Klausysteme auf um die Wohnen gelernt und haben ihren Ankauf gestartet.
00:19:46: Ja zusätzlich meldet auch noch der IT-Dienstleister das er eine Probe der gestohlenen Daten erhalten hat Und er bestätigt auch nochmal, dass es tatsächlich echte Kunden bzw.
00:20:02: Mitarbeiter Daten sind und auch interne E-Mails der Geschäftsführung sind dort enthalten.
00:20:10: Außerdem wurde ein Ausschnitt der Forschungsdaten aus der Rezeptur für die neue Käsesorte Altengold auf einem Dartmouth Forum veröffentlicht.
00:20:21: Der Angreifer fordert zudem inzwischen eine Bestätigung der Zahlungsbereitschaft, nicht der Zahlung selbst.
00:20:31: Aber die Zahlungs- bereitschaft bis sechzehn Uhr.
00:20:34: Wir haben jetzt circa dreizehn Uhr.
00:20:38: noch ganz wichtiger Hinweis
00:20:41: allen
00:20:42: Geschäftspartnern
00:20:43: Kunden
00:20:44: etc.,
00:20:44: die sie haben also eine Vertrauensstellung zu ihrem System haben müssen unbedingt informiert werden und es mussten alle darauf hingewiesen werden.
00:20:55: Ein Global Password Change
00:20:59: wird von uns initiiert.
00:21:02: Gleichzeitig ergänzen dazu werden wir alle Tokens bestehenden Sessions, werden wir eliminieren, sodass eine neue Identifizierung hat.
00:21:15: Sie so an IT-Leitung?
00:21:18: Die IT-
00:21:19: Leitung hatte im Moment keine freien Ressourcen.
00:21:21: Ein Moment bitte in zwei Minuten.
00:21:23: Ja, und
00:21:25: dann kommt noch dazu eine neue Information auch aus der IT.
00:21:31: Die Firewall-Locks und EDR-Logs zeigen verbächtliche Zugriffe aus dem VPM Bereich.
00:21:39: Zusätzlich fällt ein Atmenkonto mit ungewöhnlichen Anmeldungen auf.
00:21:45: Spieleitung bitte nochmal den ersten Teil wiederum.
00:21:48: also was bezüglich die Logos?
00:21:53: In den Logs gibt's ungewöhnliche oder verdächtige Zugriffe über VPN.
00:22:01: Und ebenfalls ein Admin-Konto fällt mit ungewönlichen Anmeldungen auf.
00:22:07: Okay, gibt es noch weitere Informationen bezüglich?
00:22:10: was bedeutet auffällig?
00:22:13: Viele Logins, viele Logins und gewöhnlichen Tasken...
00:22:17: Ja, es sind eben VPN-Zugriffe von Endpoints die nicht der Regel entsprechen.
00:22:26: Das sind Zugriffe teilweise nicht erfolgreich und Zugriffsversuche auf Ressourcen, die für den entsprechenden Nutzer nicht zugelassen sind.
00:22:41: Okay gut danke.
00:22:42: können wir momentan alles mit ihr vorangegangen?
00:22:45: oder Wie ich hier sagte, gibt es momentan einen Global Password Change plus.
00:22:54: die Tokens werden geresetted.
00:22:55: Das heißt da erfällt auch das Administrationskonto drunter.
00:22:59: Da haben wir den Password Reset jetzt erfolgreich durchgeführt alle aktiven Tokens und Bänden oder Sessions im Bände worden.
00:23:06: selbiges geht für die VPN Logins.
00:23:08: Wir haben alle aktive VPN Loggins die noch existierten terminiert Und haben allen Benutzern ein neues Passwort zugewiesen.
00:23:17: Das Passwort wurde Ihnen auf dem zweiten Kommunikationsweg zugestellt, sodass Sie sich neu identifizieren können.
00:23:26: Benutzt wurden hier die dafür hinterlegten mobilen Endgeräte, die von der Firma zur Verfügung gestellt werden.
00:23:34: Das ist sehr schön!
00:23:35: Ich, CISO würde Geschäftsleitung empfehlen, die gesamte Firma jetzt auch den alternativen Kommunikationweg umzustellen.
00:23:43: IT-Leitung an CISOM?
00:23:46: Bitte noch mal definieren, was ist der alternative Kommunikationsweg aus Sicht des SISUS?
00:23:54: Das, was du gerade eben angesprochen hast,
00:23:58: worüber
00:23:58: die Mitarbeiter ihre neuen Zuhängsdaten und so weiter bekommen haben.
00:24:01: Ist ja ein alternativer Weg!
00:24:03: Und das sollte unsere erzige Kommunikation Plattform werden, sodass wenn Angreifer weiter sich in Netz bewegt haben und sie das Thema infiltriert haben Augen schand ich beim Exchange oder bei Mehlsystem so war, dass da jetzt nicht doch die Informationen drüberfließen.
00:24:23: Okay, danke dir.
00:24:26: Notverminscher, machst du bitte die Kommunikation in die Belegschaft dessen?
00:24:30: Auch das keine Informationen nach außen noch gehen sollen dazu weil die Geschäftsführung mit Sicherheit die kommunikation sauber steuern möchte.
00:24:40: nach extern
00:24:42: Soll es dann über uns
00:24:43: die PR
00:24:43: Managerin auch schon irgendwie vorbereitet werden.
00:24:46: für extern irgendwas?
00:24:49: Ich habe dich nicht ganz verstanden, Entschuldigung.
00:24:51: Sollte auch die PR-Managerin schon irgendetwas vorbereiten für externen Kunden, dass man da schon mal das Vorbereiten ohne irgendwie konkret zu werden?
00:25:02: Ich würde vorschlagen, dass wir einmal mit der Geschäftsseitung abstimmen wie die Kommunikation gestaltet und geregelt werden soll.
00:25:12: Deswegen CISU und Nunfallmanager für Geschäftsleitung.
00:25:19: Anscheinend sind jetzt Belege dafür, dass unsere Daten abgeflossen sind im Darknet aufgetaucht.
00:25:27: Auch Kommunikation über Exchange oder über E-Mail, daher die Empfehlung auf den alternierten Kommunikationswicht innerhalb der Firma zu wechseln.
00:25:38: Zusätzlich müssen wir so langsam das Thema der Kommunikation nach intern und nach extern angehen, damit nicht irgendwelche Gerüchte nach außen dringen.
00:25:46: Um das sauber zu kontinuieren und zu lenken, bevor es für uns von extern gelenkt wird.
00:25:53: Ja, das soll hier die Pressestelle in Abstimmung mit Notfallmanager und ZISO und IT-Leitung.
00:26:04: Bitte vorbereiten, dass ich das dann entsprechend absegnen kann um genau das zu erreichen.
00:26:14: Währenddessen kommt eine Mitteilung aus der Produktion.
00:26:21: Die Produktionsleitung meldet Störungen in einem Bereich der OT-Umgebung.
00:26:27: Sie haben versucht es wieder herzustellen aber haben bis jetzt keinen Erfolg gehabt.
00:26:35: Okay, IT-Leitung an Spieleitungsfrage.
00:26:38: Kannst du ein bisschen die Störung spezifizieren damit ich mir Gedanken darüber machen kann ob das zu diesem Inzident gehört oder ob es vielleicht einfach ein parallele Vorfall ist der aber gar nichts mit dem eigentlichen Sicherheitsvorfall zu tun hat?
00:26:59: Ja grundsätzlich die Störung.
00:27:01: Der schaut so aus, dass eben in verschiedenen Produktionslinien oder in einzelnen Produktions Linien die Füllmengen nicht eingehalten werden.
00:27:11: Dass die verschiedene Mischanlagen und entsprechende Geräte zur Vorbereitung der Milch gestört sind, das diese unterbrochen in ihrer Funktion, dass die dann immer wieder stottern und neu anlaufen müssen.
00:27:32: Teilweise auch zu schnell laufen, sodass eben die Produktion hier massiv gestört ist.
00:27:39: Okay, danke.
00:27:40: Denken wir nach.
00:27:41: Wir melden uns.
00:27:42: CISO und IT-Leitung?
00:27:43: Ja!
00:27:45: Beide Fragen dazu.
00:27:46: oder eine Frage dazu sind vielleicht Servicekonten, Passfolter auch zurückgesetzt worden, die vielleicht dort gebraucht würden jetzt deswegen nicht mehr funktionieren.
00:27:54: dieses Thema Das
00:27:57: ist die Idee, an dem Gehirn wollen wir gerade nachgehen.
00:28:00: Denn es deutet jetzt schon darauf hin auf den ersten Blocks, dass wir aktuell Alarm bekommen bezüglich eines möglichen Foodforce-Angriffes und bei der ersten Analyse stellen wir gerade fest, dass das vermutlich basiert auf automatisierten Prozessen als Skriptin oder Tasks – das können wir noch nicht mehr eingrenzen.
00:28:25: Und
00:28:26: die Verursacher liegen momentan in der OT-Umgebung und wir vermuten, dass durch diesen Gruppe Password Change dort noch mit alten Credentials dies probiert wird.
00:28:40: Hier ist wieder die Produktion.
00:28:44: Der Leiter der Produktion meldet Die Abfüllanlage drei steht jetzt still.
00:28:49: Das Human Machine Interface zeigt eine Fehlermeldung und einen schwarzen Bildschirm Mit einem Countdown.
00:28:58: Ja, sind noch weitere Bereiche betroffen in der Produktion oder nur der eine Bereich?
00:29:06: Aktuell ist die Apfelanlage drei komplett betroffen.
00:29:10: Die steht still.
00:29:11: Andere Bereiche in der Production sind ebenfalls gestört wie vorher schon angesprochen.
00:29:18: Dann würde ich empfehlen, die Produktion zu stoppen um sicherzugehen dass man da nicht irgendwie später dann nacharbeiten müssen.
00:29:29: Dann würde ich dementsprechenden Besprechungen auch mit der Geschäftsführung nochmal einen CISO und Produktionsleiter einberufen.
00:29:38: CISo an IT-Leitung, Notfallmanager und Produktion Leitung?
00:29:44: Ja!
00:29:46: Ist es technisch
00:29:47: möglich
00:29:48: dass wir die Produktion von den anderen Netzen zeitweise trennen um dann in den Firelocks zu kontrollieren, ob es Zugriffe von intern also zum Beispiel aus dem Forschungsnetz oder aus anderen Netzen gab auf die Produktionssysteme, die jetzt gerade die ersten Meldungen werfen.
00:30:11: Also Feedback aus der IT-Abteilung.
00:30:14: wir sind dem ominösen Vorfall der Apfelanlage nachgegangen.
00:30:18: dabei stellte es sich raus dass der Countdown leglich von einem Updateprozess initiiert wurde.
00:30:25: Und hier basierend auf diesem Update-Prozess, die Maschine einfach nur einen Neustart braucht um danach diese Updates wirksam werden zu lassen.
00:30:38: Somit handelt es sich hier eindeutig nicht um einen Angriff sondern um eine ganz normale Situation wie sie bei einem Update vorkommen kann.
00:30:49: Die Produktion wird danach wieder hochfahren.
00:30:52: Es kommt gerade beim Unternehmen ein Anruf der Polizei rein, die fragen ob bekannt ist dass aus einem der Milchtanks aus dem augenscheinlich geöffneten Ventil Milch ausläuft und die gesamte Straße überflutet.
00:31:09: Außerdem außerdem die Landwirte an und fragen wann endlich die Milch abgeholt wird?
00:31:17: Die müssen die Milchs Der entsprechend zeitnah, muss ihr entsprechend gekühlt eingelagert werden.
00:31:25: Ist nur die eine Milchtank betroffen und wurde Anlass des da das Ventil geschlossen wurde?
00:31:31: Das ist ne automatische Ventilanlage.
00:31:34: ich kann nicht sagen ob noch mehrere Tanks betroffen sind.
00:31:38: Die Polizei spricht nur von einem Tank Aber die Lagerlogistik hat auch festgestellt dass sie eben keine Milch mehr umfüllen kann.
00:31:51: Okay, Feedback der IT-Abteilung dazu, wie wir schon sagten aufgrund des fehlerhaften Logins Versuches konnte ein Befehl zum Schließen der Ventile nicht rechtzeitig abgesetzt werden innerhalb der Produktionsstraße.
00:32:11: Wir haben das Passwort jetzt geändert.
00:32:13: die Updates sind alle eingespielt.
00:32:15: Die Anlage ist wieder voll funktionszüchtig und Pferdgeräte hoch, die Ventile sind geschlossen.
00:32:22: Für die Reinigung der Milch auf der Straße sind wir in der IT nicht verantwortlich oder nicht zuständig und bezüglich Abholung von Milch gebe ich diesen Auftrag jetzt zurück an den CISO.
00:32:35: Ihr könnt bitte mit unserem Lieferanten klären, wann wir dazu wieder Kapazität haben.
00:32:43: Ich bin adoptiert.
00:32:47: Meldet die Produktion, die Anlage steht schon wieder still und Sie können sie jetzt nicht mehr starten.
00:32:53: Und gleichzeitig habt ihr in den OT-Logs entdeckt dass die Segmentierung scheinbar durchbrochen worden ist.
00:33:02: Okay Frage an der IR Abteilung Bezüglich Segmentierungen.
00:33:06: bitte Empfehlung.
00:33:07: was sollen wir hier machen?
00:33:10: Also die Maschinen sollten auf jeden Fall vom gesamten Netzwerk erst mal getrennt bleiben und würde die Logs der Maschinen auslegen.
00:33:23: Also von den Maschinnen sind es zum Beispiel diese jungen Maschininterfaces, die wir uns angucken können oder das Karasystem auswerten, je nachdem was vorhanden ist.
00:33:35: Und auf Grundlage der Ergebnisse würde ich dann weitere Empfehlungen
00:33:43: geben.
00:33:44: Was bedeutet, die Produktion steht wieder still?
00:33:49: Dass sich gerade gleiche Fehler aufgetreten ist.
00:33:52: Wie vorher?
00:33:53: Die Abfüllanlage funktioniert nicht mehr.
00:33:56: Es staut letztlich der Joghurt staut sich in den Tanks und läuft über und wird nicht mehr entsprechend in die Becher abgefüllt.
00:34:10: Feedback der IT-Abteilung.
00:34:12: Zum einen, der jetzige Ausfall liegt daran, dass wir gerade eben eine vollständig Isolation vom Incident Response Team vorgeschlagen und durchgeführt haben.
00:34:26: Damit werden externe Services oder Dienste im Moment sind im Moment nicht verfügbar.
00:34:32: Das heißt Wir empfehlen auch jetzt die Produktionsanlage wiederzustellen jetzt wirklich zu stoppen, damit eben so eine neue Produktion nicht oder hohe Flur stattfinden kann.
00:34:45: Gleichzeitig gegen wir zu bedenken dass durch diese Segmentierung die geforderten Lockfiles nicht mehr zur Verfügung stehen können wie bräuchten hier einen Notfallplan seitens dem Notfallmanagement oder den IR?
00:35:02: Wie wir euch die Locks zukommen lassen können damit ihr dort weiter
00:35:09: Da würde ich auch einen weiteren Kommunikationskanal dafür öffnen, den wir schon vorab definiert
00:35:16: haben
00:35:18: um die Daten zur Verfügung zu stellen.
00:35:21: Des Weiteren würde ich dann jetzt spätestens die Milchwörter informieren dass wir keine weitere Milch mehr annehmen können und das sie in die umliegenden Verarbeitungsbetriebe liefern.
00:35:36: sieht man, ob auch die Kühlung getroffen ist oder ist es nur die Produktionsabfüllanlage?
00:35:42: Im Moment haben wir keine weiteren Informationen, dass die Temperaturbereiche grenzwerte beschritten wurden.
00:35:50: Wir sehen einfach nur das die schon besagten Filmmengen nicht eingehalten wurden.
00:35:58: aber in Bezug auf die Lebensmitteltemperatur können wir im Moment keiner anbrechen fest.
00:36:05: Entschuldigung, ich ziehe an Infraim Manager und Produktionsleiter sowie dem IT-Leiter.
00:36:13: Ihr habt doch in der Produktion eine Sicherheit, wo genau für solche Fälle, wo IT zwischenseitig gestört ist und ihr die Pläne eben jetzt umsetzen müsst, um weitere Schäden einzugrenzen, die Kommunikation zu den Vierten zu fahren das gegebenenfalls trotzdem nicht abgeholt werden muss weil die Kühe gemolken werden müssen.
00:36:35: da geht ja kein Weg drumherum.
00:36:37: Man muss dann entweder in andere Molke reingegeben werden oder vernichtet werden.
00:36:42: Zusätzlich müssen wir die Feuerwehr noch alarmieren, weil sie wie mich, die jetzt ausgestattet im Moment und auf die Straße läuft entfernen muss.
00:36:53: Ja von der Seite der Produktion haben zwar die Notfallhandbücher aber aktuell haben wir schon alle manuellen Maßnahmen versucht.
00:37:02: Wir kriegen die Füllanlage nicht mehr geschlossen, wir kriegen sie nicht mehr in Betrieb.
00:37:09: Der Joghurt läuft einfach aus!
00:37:11: Wir haben schon das ganze Lager.
00:37:13: die ganze Produktionslinie ist schon ein einziger Jogherthaufen.
00:37:18: Wir sind hier am Ende unserer Leistungsfähigkeit.
00:37:37: Bitte einfach jemanden hinschicken, der da vor Ort unterstützt.
00:37:41: Wir sind ja vor Ort aber wir können es nicht schließen.
00:37:45: Wir kriegen den Tank nicht zu.
00:37:50: Die Feuerwehr ist ja schon informiert für die Straße.
00:37:53: dann können sie ja dann dementsprechend auch vielleicht abpunkten.
00:38:00: Im bestimmsten Fall muss die Feuerwehr noch mal über Abhilfe.
00:38:03: Die können wir raten von der wiederzubringen.
00:38:08: Das müssen wir dann sehen, aber das ist eine Aufgabe der Feuerwehr in dem Moment, die uns jetzt da helfen muss.
00:38:13: Die Kunden von uns müssen wir auch anfangen zu informieren, dass wir nicht mehr beliefern können.
00:38:23: Es geht dann raus.
00:38:27: Hat die PR-Abteilung etwas vorbereitet?
00:38:31: Die PR-Beteiligung hat was vorbereitet und die Geschäftsführung hat es schon abgesegnet auch schon an die Kunden, beziehungsweise auch an die Milchbetriebe versandt.
00:38:46: Gleichzeitig kommt jetzt gerade bei dem CISO eine E-Mail an oder eine interne Chatnachricht an und er wollte nur melden dass er vor drei Wochen etwa verdächtige Aktivitäten bemerkt hat als ein Kollege Zugriff auf unbekannte fremde USB-Sticks hatte, um mit denen die in seinen Rechner gesteckt hat.
00:39:12: Er hat es aber nicht gemeldet weil er Angst hatte dass eben vor den Konsequenzen war.
00:39:19: ja erst vor einigen Wochen vor fünf wochen war er erst die letzte awareness Schulung und dort wurde ausdrücklich davor gewarnt USB Sticks der unbekannte usb Sticks zu benutzen.
00:39:33: Okay.
00:39:35: Meine Rückfrage wäre, in welchen Systeme wurden die USB-Sticks hingesteckt?
00:39:39: In welchem Bereich?
00:39:41: Das war im Vertrieb.
00:39:47: Mimo an mich selber für danach.
00:39:51: Im Vertrieb nochmal erwähnen wir es nach dem Namen noch mal nachschauen.
00:39:57: Info an die IT gibt Hinweise darauf, dass eventuell der Vorfall durch einen ... ins System gebracht, den externen USB-Stick wo gesagt werden könnte im Bereich des Vertriebes.
00:40:11: Also vielleicht nochmal auf dem Ideasystem und auf der anderen System... ... im Bereich vertrieb noch mal ein bisschen mehr hinschauen als ohnehin schon gerade gekoffiert.
00:40:21: Vielleicht findet man da was?
00:40:22: Hat sich das Zack mittlerweile wieder gemeldet?
00:40:25: Nein, das Zack hat sich noch nicht gemeldete!
00:40:28: Dann würde ich da nochmal anrufen um dringenden Rückruf bitten.
00:40:33: Gleichzeitig Meldet jetzt ein Mitarbeiter, dass eben auf einem Darknetlink Zugangsdaten der Geschäftsführung und eines Admin auftauchen.
00:40:47: Gleichzeitig geht auch eine Medienanfrage ein die Auskunft darüber verlangt was in den Milchbetrieb passiert.
00:41:01: Die Frage IT noch mal kurz.
00:41:03: Im Darknet lagen die Zugängsdaten vom Atmen und?
00:41:06: Geschäftsleitung.
00:41:11: Ich melde mich gleich dazu.
00:41:13: Dann würde ich ein Meeting anbauen mit Geschäftsführung PR, was man dann nach außen kommuniziert, IT-Leitungen Sie so.
00:41:23: Und nun für den Manager bitte.
00:41:28: Feedback seitens des IT-Abteilungen bei den zwei Dingen, das konnten wir relativ schnell überprüfen.
00:41:35: Feedback hier ist ... Hierbei handelt es sich klar um Fake-Daten.
00:41:40: Wir haben uns die Passwörter, die dort gelegt wurden mal angeschaut.
00:41:45: Sie entsprechen überhaupt nicht unsere Passwortpolicy.
00:41:48: sie können überhaupt nicht bei uns verwendet werden.
00:41:51: Bitte diesen Teil ignorieren.
00:41:53: Hier wollte jemand nur versuchen Geld zu machen.
00:41:57: Danke sehr
00:41:59: Aber gleichzeitig hat auch ein Kunde, ein größeres Lebensmittelunternehmen.
00:42:06: Ein Lebensmittlehändler eine andere Anfrage stellt dass er eben diese Daten im Darknet gesehen hat.
00:42:14: und im Unternehmen gibt es bereits ersten Unmut weil die Mitarbeiter mitbekommen das in der Produktion alles drunter und darüber geht.
00:42:27: Eine erste Nachricht ging ja an die Mitarbeiter raus, dann würde ich jetzt noch mal eine weitere Nachricht an die Mitarbeit heraus schicken und die Mitarbeiter informieren.
00:42:38: Gespräch mit der Geschäftsführung zum weiteren Vorgehen und nächste Abstimmung?
00:42:48: Zwischenzeitlich hat sich gezeigt dass die Segmentierung der Netze wohl gebrochen wurde.
00:42:55: Wir haben daraufhin die Produktion erst mal von dem Rest der Systeme abgekoppelt.
00:43:01: Es gab Hinweise darauf, dass eventuell ein USB-Stick, obwohl erwähnungsmäßig geschult wurde, das man es nicht tun sollte, in unserem System eingebracht und eingesteckt wurde.
00:43:13: In dem Bereich wo der Mitarbeiter arbeitet kontrolliert gerade die IT Leitung mit seinem Team noch mal tiefer geht ob da irgendwas zu finden ist damit wir erstmal wissen von wo da vielleicht was gekommen sein könnte.
00:43:26: Ansonsten gab es hier die Ansprache von Extern, wir können eben nur das sagen, was wir zurzeit wissen.
00:43:35: Das Thema ob wir zahlen oder nicht würde ich persönlich bei der Pressemeldung gerade mal versuchen.
00:43:41: elegant zum Schiffen damit wir dem Erpressern nicht sagen dass wir eben nicht unbedingt zahlen wollen.
00:43:48: und als er zu nichtwillig sind müssen aber eben jetzt einmal noch mal kurz mit den Zack abgestimmt die eben vor jetzt haben, ob das Sack uns unterstützen kann an der Stelle?
00:43:58: Ja.
00:43:58: Das Sack hat sich gerade gemeldet und hat festgestellt, dass Sie nach ersten Recherchen gesehen haben, dass die Daten doch echt sind.
00:44:09: Gleichzeitig möchte sie aber erst die Daten forensisch oder die Systeme forensisch sichern bevor weitere Maßnahmen ergriffen werden.
00:44:22: durch das SACK war es natürlich die Wiederherstellung der Systeme verzögern könnte.
00:44:28: Der Geschäftsführer kommt auch jetzt persönlich beim ZISO zum ZISÖ und bietet darum, dass die Kommunikation, die abgegriffen wurde oder veröffentlicht wurde von den Angreifern nicht erwähnt werden soll damit seine Frau im Vorzimmer arbeitet das nicht mitbekommt.
00:44:54: Das ist selbstverständlich, dass wir solche Sachen außen vorlasten oder auch inhaltlich gar nicht kommentieren und veröffentlichen würden.
00:45:03: Das ist gar keine Frage.
00:45:06: Es wird für höchstens erwähnt, dass es Kommunikation innerhalb der Firma abgefangen und nach extern exfiltriert wurde.
00:45:13: Mehr können wir an der Stelle leider eine Kommunikierung nicht mehr einfangen.
00:45:16: wenn sie rausgegangen ist können wir das nur durch Zahlung des Geldes eventuell verhindern, vermutlich aber auch nicht wirklich.
00:45:28: Weil wer einmal zahlt, zahlt immer.
00:45:32: Dementsprechend macht man sich dann noch erpressbarer als wenn man ohnehin schon ist.
00:45:36: da wäre vielleicht zu gegebener Zeit ein Gespräch unter vier Augen eine Option.
00:45:42: um das was sonst kommen könnte wenig abzumildern muss er natürlich selber wissen und mit seiner Frau abstimmen.
00:45:53: Wie gesagt, verhindern kann man es im schlimmsten Fall nicht mehr.
00:45:55: Wenn da irgendwas nach ausgedrungen ist was nicht in der Familie kommen sieht hätte werden sollen.
00:46:03: Das tut mir leid.
00:46:04: gut
00:46:07: IT würde gerne ein Update liefern.
00:46:10: wir sind dem Thema mit dem USB und den Vertriebler nachgegangen.
00:46:15: Wir können hier in der Tat bestätigen dass auf einem Laptop eines Vertriebers anscheinend ein privater USB-Dongel zum Einsatz kam.
00:46:29: Und hier haben wir festgestellt, und hier können wir auch den ersten Link schon mal bestätigen, dass der Vertriebler ändert hat sich einen Backup gezogen hat der Kundendaten und also das der Kunden Datenbank und sie darauf gespeichert hat.
00:46:49: an der Stelle können wir im Moment haben, wir keine Erkenntnis darüber oder keinen Alarm vorliegen.
00:46:55: Dass es hier eine Infektion geben hat.
00:46:58: Aber wir können zumindest mal bestätigen, dass ist.
00:47:00: diese Kopie gab an der Stelle nochmal auch das Feedback-Seiten-Stytee angeht CISO.
00:47:08: Wir hatten schon vor geraumer Zeit darauf hingewiesen, dass wir empfehlen würden den wie Verwendung von privaten USB Sticks zu unterbinden.
00:47:20: Das wurde damals abgelehnt.
00:47:22: Vielleicht wäre es im Nachgang noch mal sinnvoll, sich diese Entscheidung nochmal anzuschauen um zu überlegen wie wir hier eine gesicherte oder eine verbesserte Security bekommen bis hin eben auch zu klaren Anweisungen das dies bitte im Unternehmen zu unterbinden ist und dass die auch nachgegangen wird und dass das eben auch dementsprechend Konsequenzen nach sich zieht da wir immer wieder Alarme bekommen, weil Leute in einem geschäftsbezogenen System private USB-Sticks einstecken.
00:48:02: Und hier können wir zumindest im Moment sagen, dass wir ganz klare Spuren dafür haben und empfehlen, wie jetzt bitte auf den Mitarbeiter zugegangen wird und geklärt wird, warum er diese Daten auf diesen USB-Steak.
00:48:19: Es
00:48:20: ist
00:48:20: jetzt,
00:48:22: es ist jetzt siebzehn Uhr dreißig und es kommt gerade eine neue Information der Angreifereien.
00:48:30: Sie wollen ein neues Ultimatum setzen und nachdem sich bisher noch keiner gemeldet hat und offensichtlich auch die Polizei eingeschaltet wurde.
00:48:42: Woher Sie das wissen können wir nicht sagen?
00:48:47: innerhalb weniger Stunden, also bis zu zwanzig Uhr.
00:48:53: Ansonsten werden neben dem Veröffentlichen der Daten auch noch die Server und andere Systeme verschlüsselt.
00:49:06: Sollten sie bis achtzehn Uhr keine Antwort bekommen?
00:49:12: Das bittet der Währendesmaßnahmen und der Hinweis, das können USPX genutzt werden sollten ist vollkommen richtig.
00:49:19: Sollten wir im Nachgang noch meine Lessons learned aufarbeiten natürlich auch mit dem Mitarbeiter aufarbeiten in gegebenem Umfang?
00:49:28: Da werden wir mit der Geschäftsflugung natürlich dann Rücksprache halten.
00:49:33: Trotzdem hätte ich jetzt eine Frage an die IT.
00:49:38: Die Drohung valide, dass die um achtzehn Uhr unsere Systeme runterfahren.
00:49:43: Habt ihr Kompromittierungsindikatoren bei euren Systemen gefunden?
00:49:47: Dass ihre Serverlandschaft runtergefahren werden könnte oder ist das eher ein Bluff jetzt, um Zeit zu schinken weil vielleicht der Presse dann doch jetzt ein bisschen unruhig werden.
00:50:02: Seitens der IT können wir folgendes Feedback-Actor geben Im Moment läuft noch auf einen Server-System, ein Full-Scan.
00:50:11: Wir haben die aktuellen Params überall ausgerollt.
00:50:16: Auf jedem System wird jetzt, wie gesagt, seitens der EDL nochmal ein Fullscan gestartet.
00:50:23: Zusätzlich haben wir Kontakt mit dem externen Dienstleister aufgenommen da er ja für das Setup verantwortlich ist und ein Mitarbeiter für die incident responsive.
00:50:35: Diese wird von außen noch einmal mit anderen Tools, die wir im Moment noch nicht deployt haben.
00:50:43: Den Prozess starten wir gerade ebenfalls noch mal mit einer eigenen Sicherheitswösung nochmal testen.
00:50:53: Aktuell liegen uns im Moment keine Melvier Findings oder Ransomware Findings vor.
00:51:13: Hier ist wieder die Spieleitung.
00:51:16: Wir haben jetzt siebzehn oder fünfundfünfzig und eine neue Information vom Angreifer.
00:51:24: Die Zeit ist abgelaufen, gleichzeitig beginnt die Verschlüsselung der ERP Server Und Premisurfer werden ebenfalls angegriffen.
00:51:39: Jürensenbeer-Variante löscht alle lokalen Backups.
00:51:44: Dann würde ich komplett das Empfehlen vom Netz zu nehmen, die IT und dass eben informiert wird, dass alle Abreilungen dementsprechend auf die Notfallschöne übergehen.
00:51:57: Der Sitzie so unterstützt es und holt die Geschäftsführung ab!
00:52:03: Ja, die Geschäftsführung stimmt dem zu und hier ist dann wieder die Spieleitung.
00:52:11: Leider konnte der Joghurt nicht gerettet werden, der Jogiert ist davon gelaufen.
00:52:17: Vielen Dank für euer engagiertes incident response, für eure engagierten Einsatz.
00:52:25: die Milchstraße zu retten hat leider zu hundert Prozent geklappt, aber dadurch dass die Systeme jetzt abgekoppelt sind wird zumindest kein weiterer Schaden mehr angerichtet.
00:52:39: Ob bezahlt wird oder ob nicht bezahlt ist wieder eine andere Diskussion.
00:52:44: Die Polizei ist eingeschaltet und rätrigen von einer Zahlung ab Aber das muss am Ende dann in einer weiteren Diskussion entschieden werden.
Neuer Kommentar