ca. 16:00 Uhr
Beginn des Angriffs
ca. 18:30 Uhr
Unterbindung des Angriffs
Shutdown aller Systeme
Trennung aller externen Verbindungen
Der primäre itmc.de MailCleaner (mailcleaner01.itmc.de) ist damit aktuell nicht erreichbar. Der sekundäre MailCleaner (mailcleaner02.itmc.de) (Rechenzentrumsstandort Frankfurt) übernimmt damit
die E-Mail-Filterung. Einsicht der Quarantäne daher aktuell nicht möglich.
ca. 20:00 Uhr
Analyse einzelner Systeme
Sicherstellung "Einbruchswerkzeuge"
Entfernung hinterlassener Schadprogramme
ca. 21:30 Uhr
Beginn der Wiederherstellung eines ersten betroffenen Kundensystems in zweitem, unabhängigen Rechenzentrum
Dauer voraussichtlich 8h
ca. 23:30 Uhr
Kurzinformation an direkt betroffene Kunden, dass die Beschädigungen umfangreicher sind und die Server voraussichtlich erst im Laufe des Freitagnachmittags wieder zur Verfügung stehen werden
ca. 01:00 Uhr
Erstellung einer Sicherung des betroffenen Hauptservers zur späteren Analyse
ca. 01:30 Uhr
Beginn der vollständigen Neuinstallation des betroffenen Servers im Rechenzentrums
ca. 02:45 Uhr
Erstellung eines allgemeinen Kunden-Newsletters, um über aktuelle Situation und Beeinträchtigungen zu informieren
ca. 03:15 Uhr
Versand der Info-E-Mail
ca. 03:30 Uhr
Information an direkt betroffene Kunden, deren Remoteserver zu diesem Zeitpunkt offline sind
ca. 03:30 Uhr
Hauptserver frisch installiert
Beginn Installation Windows-Sicherheitsupdates, Verwaltungsprogramme, Backup-Recovery-Agent
ca. 04:30 Uhr
itmc.de MailCleaner wieder online
ca. 05:00 Uhr
Start der Wiederherstellung aller anderen betroffenen Kundensysteme
Dauer voraussichtlich 13h
ca. 11:00 Uhr
Prüfung des Wiederherstellungsfortschritts
Erstes Kundensystem aus Datensicherung wiederhergestellt
ca. 12:00 Uhr
Installation und Wiederherstellung Server-Monitoring
ca. 13:30 Uhr
Neuinstallation Dongle-Server für Kunden-VMs mit Software, die über USB-Dongle gesichert ist
ca. 16:00 Uhr
Wiederherstellung von ownCloud-Kunden-Daten, Durchführung einer korrekten Rücksynchronisation
ca. 18:30 Uhr
Erneute Kurzinformation direkt betroffener Kunden.
ca. 20:30 Uhr
Beginn der Analyse der betroffenen itmc.de Systeme
ca. 14:00 Uhr
itmc.de MailArchiv Server Datenbankprüfung erfolgreich abgeschlossen.
Bis der itmc.de MailArchiv Server wieder extern online geschaltet wird, wird es noch einige Stunden dauern.
ca. 14:30 Uhr
Neueinrichtung der Datensicherung der Kunden-Server
ca. 15:00 Uhr
Meldung einer Datenschutzverletzung beim Bayerischen Landesamt für Datenschutzaufsicht
ca. 15:45 Uhr
Online-Stellung der Informationen zum Cyberangriff sowie Erstellung dieser Chronologie-Seite zur Verfolgung der Ereignisse.
ca. 17:30 Uhr
Neuerstellung der Backups der Kundensysteme.
ca. 01:30 Uhr
Erste Backups der Kundensysteme abgeschlossen
ca. 03:30 Uhr
Rückumzug ausgelagertes Kundensystem. Dauer: ca. 9h
ca. 11:30 Uhr
Rückumzug ausgelagertes Kundensystem abgeschlossen
ca. 19:00 Uhr
Kurzanalyse der sichergestellten "Einbruchswerkzeuge"
ca. 01:00 Uhr
Start zusätzliche Datensicherung itmc.de MailArchiv. Dauer ca. 14h
ca. 02:45 Uhr
Erneute Kurzinfo an direkt betroffene Kunden
ca. 04:00 Uhr
Versand zweiter Informations-E-Mail
ca. 14:00 Uhr
itmc.de MailArchiv wieder online.
ca. 15:00 Uhr
Start der Neuerstellung des Backups des letzten Kundensystems. Dauer ca. 15h
ca. 22:00 Uhr
Installation letzter fehlender Programme und Tools auf Hauptserver
ca. 23:00 Uhr
Korrektur letzter Monitoring-Tasks
ca. 01:30 Uhr
Abschluss letztes Backup eines Kunden-Systems
ca. 04:30 Uhr
Neustart Server um letzte Treiber und Firmwareupdates durchzuführen
ca. 17:00
Beginn der Wiederherstellung des itmc.de SecureTransfer-Servers. Dauer ca. 7h
ca. 04:00 Uhr
Der itmc.de SecureTransfer-Servers ist wieder online.
ca. 04:15 Uhr
Spezifische Änderungen an itmc.de SecureTransfer Webseiten und Layout werden nachprogrammiert.
ca. 05:10 Uhr
Start einer vollständigen Datensicherung des itmc.de SecureTransfer Servers
ca. 11:00 Uhr
Datensicherung des itmc.de SecureTransfer Servers abgeschlossen.
ca. 15:00 Uhr
Letzte kleinere Korrekturen und Anpassungen am Hauptserver.
Ende des Protokolls.