ca. 16:00 Uhr
Beginn des Angriffs

ca. 18:30 Uhr
Unterbindung des Angriffs
Shutdown aller Systeme
Trennung aller externen Verbindungen

Der primäre itmc.de MailCleaner (mailcleaner01.itmc.de) ist damit aktuell nicht erreichbar. Der sekundäre MailCleaner (mailcleaner02.itmc.de) (Rechenzentrumsstandort Frankfurt) übernimmt damit die E-Mail-Filterung. Einsicht der Quarantäne daher aktuell nicht möglich.

ca. 20:00 Uhr
Analyse einzelner Systeme
Sicherstellung "Einbruchswerkzeuge"
Entfernung hinterlassener Schadprogramme

ca. 21:30 Uhr
Beginn der Wiederherstellung eines ersten betroffenen Kundensystems in zweitem, unabhängigen Rechenzentrum
Dauer voraussichtlich 8h

ca. 23:30 Uhr
Kurzinformation an direkt betroffene Kunden, dass die Beschädigungen umfangreicher sind und die Server voraussichtlich erst im Laufe des Freitagnachmittags wieder zur Verfügung stehen werden

ca. 01:00 Uhr
Erstellung einer Sicherung des betroffenen Hauptservers zur späteren Analyse

ca. 01:30 Uhr
Beginn der vollständigen Neuinstallation des betroffenen Servers im Rechenzentrums

ca. 02:45 Uhr
Erstellung eines allgemeinen Kunden-Newsletters, um über aktuelle Situation und Beeinträchtigungen zu informieren

ca. 03:15 Uhr
Versand der Info-E-Mail

ca. 03:30 Uhr
Information an direkt betroffene Kunden, deren Remoteserver zu diesem Zeitpunkt offline sind

ca. 03:30 Uhr
Hauptserver frisch installiert
Beginn Installation Windows-Sicherheitsupdates, Verwaltungsprogramme, Backup-Recovery-Agent

ca. 04:30 Uhr
itmc.de MailCleaner wieder online

ca. 05:00 Uhr
Start der Wiederherstellung aller anderen betroffenen Kundensysteme
Dauer voraussichtlich 13h


ca. 11:00 Uhr
Prüfung des Wiederherstellungsfortschritts
Erstes Kundensystem aus Datensicherung wiederhergestellt

ca. 12:00 Uhr
Installation und Wiederherstellung Server-Monitoring

ca. 13:30 Uhr
Neuinstallation Dongle-Server für Kunden-VMs mit Software, die über USB-Dongle gesichert ist


ca. 16:00 Uhr
Wiederherstellung von ownCloud-Kunden-Daten, Durchführung einer korrekten Rücksynchronisation

ca. 18:30 Uhr
Erneute Kurzinformation direkt betroffener Kunden.


ca. 20:30 Uhr
Beginn der Analyse der betroffenen itmc.de Systeme

ca. 14:00 Uhr
itmc.de MailArchiv Server Datenbankprüfung erfolgreich abgeschlossen.
Bis der itmc.de MailArchiv Server wieder extern online geschaltet wird, wird es noch einige Stunden dauern.

ca. 14:30 Uhr
Neueinrichtung der Datensicherung der Kunden-Server

ca. 15:00 Uhr
Meldung einer Datenschutzverletzung beim Bayerischen Landesamt für Datenschutzaufsicht

ca. 15:45 Uhr

Online-Stellung der Informationen zum Cyberangriff sowie Erstellung dieser Chronologie-Seite zur Verfolgung der Ereignisse.

ca. 17:30 Uhr

Neuerstellung der Backups der Kundensysteme.

ca. 01:30 Uhr

Erste Backups der Kundensysteme abgeschlossen

ca. 03:30 Uhr

Rückumzug ausgelagertes Kundensystem. Dauer: ca. 9h

ca. 11:30 Uhr 

Rückumzug ausgelagertes Kundensystem abgeschlossen

ca. 19:00 Uhr

Kurzanalyse der sichergestellten "Einbruchswerkzeuge"

ca. 01:00 Uhr

Start zusätzliche Datensicherung itmc.de MailArchiv. Dauer ca. 14h

ca. 02:45 Uhr

Erneute Kurzinfo an direkt betroffene Kunden

ca. 04:00 Uhr

Versand zweiter Informations-E-Mail

ca. 14:00 Uhr

itmc.de MailArchiv wieder online.

ca. 15:00 Uhr

Start der Neuerstellung des Backups des letzten Kundensystems. Dauer ca. 15h

ca. 22:00 Uhr

Installation letzter fehlender Programme und Tools auf Hauptserver

ca. 23:00 Uhr

Korrektur letzter Monitoring-Tasks

ca. 01:30 Uhr

Abschluss letztes Backup eines Kunden-Systems

ca. 04:30 Uhr

Neustart Server um letzte Treiber und Firmwareupdates durchzuführen

ca. 17:00

Beginn der Wiederherstellung des itmc.de SecureTransfer-Servers. Dauer ca. 7h

ca. 04:00 Uhr

Der itmc.de SecureTransfer-Servers ist wieder online. 

ca. 04:15 Uhr

Spezifische Änderungen an itmc.de SecureTransfer Webseiten und Layout werden nachprogrammiert.

ca. 05:10 Uhr

Start einer vollständigen Datensicherung des itmc.de SecureTransfer Servers

ca. 11:00 Uhr

Datensicherung des itmc.de SecureTransfer Servers abgeschlossen.

ca. 15:00 Uhr

Letzte kleinere Korrekturen und Anpassungen am Hauptserver.

Ende des Protokolls.