Ich habe kĂźrzlich auf LinkedIn Ăźber den Sichtbarkeitsverlust von ATU berichtet, die Mitte Mai von einer Cyberattacke betroffen waren (Danke fĂźr die Info, Stefan).
ATU hat sich zwar nicht geäuĂert, aber der SEO der Neuen Pressegesellschaft, welche ebenfalls von dem Hackerangriff betroffen war. Dominik KĂźhner meldete sich mit folgenden Worten:
"Wir waren auch betroffen, wie der verlinkte ZDF-Artikel von Stefan Vorwerk erläutert. Allerdings ging unsere Strategie im Gegensatz voll auf đ"
Moment? Wie haben die das denn geschafft? Um genau diese Frage zu beantworten, habe ich Dominik fĂźr Dich um ein kleines Interview gebeten:
Euch hat die gleiche Cyberattacke getroffen wie ATU. Was waren als SEO-Team Eure ersten Gedanken, als Ihr von dem Hackerangriff erfahren habt?
Dominik: "Als uns klar wurde, dass unser Hoster auf unbestimmte Zeit nicht erreichbar sein wird, sind wir sehr schnell in den Krisenmodus gewechselt. In einer groĂen Runde mit allen Fachabteilungen und der Geschäftsleitung haben wir klar kommuniziert, was fĂźr SEO wichtig wird und dass jetzt ein Wettlauf gegen die Zeit beginnt, um nicht aus dem Index zu fliegen und den Schaden zu begrenzen."
Wie habt Ihr herausgefunden, dass Ihr von einem Hackerangriff betroffen seid?
Dominik: "Zunächst einmal gar nicht, da wir von einer einfachen technischen StÜrung bei unserem Hoster ausgegangen sind. Diese hatten wir bereits in der Vergangenheit und bisher konnten sie auch in kurzer Zeit behoben werden. Das Problem war, dass der Dienst um 3 Uhr nachts an einem Feiertag und vor einem Brßckentag, ausfiel. Dazu kam dann noch, dass kaum Kommunikation seitens des Dienstleisters stattfand und wir letztlich selbst darauf kommen mussten, was die Ursache fßr den Ausfall war. Unsere IT-Abteilung war sich sehr schnell sicher, dass es sich um einen Angriff und damit eine Downtime von unbestimmter Zeit handeln muss."
Im Gegensatz zu ATU ist Eure Sichtbarkeit nicht in den Keller gerauscht â Welche Strategie hattet Ihr?
Dominik:
"Die grĂśĂte Herausforderung fĂźr alle Beteiligten war der Empfehlung des SEO-Teams zu folgen und ânichts zu tun" â wie so oft đ
Nichts tun meint in unserem Fall, fĂźr alle Seiten einen 503 Statuscode auszuspielen, mĂśglichst schnell die robots.txt wieder live zu bekommen und keine alternative Startseite oder einen 302-Redirect unserer Startseite auf eine externe Plattform einzurichten.
Hilfreich war auch, dass wir sehr schnell gute Prognosen erstellen konnten, wie lange es dauern wĂźrde, bis wir wieder erreichbar sind. Beim Datum des âRetry-After"-Headers haben wir uns nur um eine Stunde verschätzt. Unsere generelle Strategie war, mĂśglichst viel Zeit zu gewinnen und jede verfĂźgbare Ressource in einen sofortigen Hoster-Wechsel unserer drei Nachrichtenportale zu stecken.
Es war schnell absehbar, dass wir in wenigen Tagen wieder live sein kĂśnnten. Wir haben gemeinsam mit allen Geschäftsbereichen die Risiken abgewogen, einen Plan entwickelt und diesen ohne Kompromisse und Zeitverluste umgesetzt. Das hat beispielsweise zu einer filmreifen Ăbergabe einer Festplatte auf einem Parkplatz zwischen Ulm und Frankfurt gefĂźhrt, weil wir errechnet hatten, dass das Kopieren und die Fahrzeit schneller sein wĂźrden, als der parallel laufende Datentransfer Ăźber unsere Leitung.
Und es hat funktioniert: Nach 58 Stunden waren wir wieder erreichbar und ein bis zwei Tage später hatten wir das neue Setup so stabilisiert, dass beispielsweise unsere Indexierungsgeschwindigkeit von neuen Artikeln, die Crawling-Frequenz der Sitemaps oder die Zeit bis Artikel-Updates in die SERPs durchschlagen, sich wieder auf dem Stand von vor der Attacke einpendelten."
Habt Ihr einen Notfall-Plan fĂźr zukĂźnftige Cyberattacken? Wie sieht der aus?
Dominik: "Wir entwickeln gerade das Setup fĂźr eine kontrollierte Downtime, um bei Bedarf sehr schnell darauf umstellen zu kĂśnnen. Also eine parallele Instanz mit robots.txt und der richtigen Konfiguration fĂźr die entsprechenden http-Header. AuĂerdem arbeiten wir an einer statischen Version der wichtigsten Seiten, die wir bei Bedarf zur VerfĂźgung stellen kĂśnnen.
Der Empfehlung von John Mßller konnten wir leider in der Kßrze der Zeit nicht folgen beziehungsweise haben die Ressourcen fßr eine schnellere Migration verwendet. Meiner Einschätzung nach ist genauso wichtig, vorab zu prßfen, ob das Unternehmen im Ernstfall schnell entscheidungsfähig ist. Ich bin mir sicher, dass wir nur fast unbeschadet davongekommen sind, weil wir unmittelbar Interessen und Risiken abwägen konnten und zu jedem Zeitpunkt klar war, wer Entscheidungen fßr die Umsetzung trifft. Dadurch haben wir kaum Zeit verloren. Die Strategie der rp-online.de war sehr ähnlich und auf den ersten Blick sieht es so aus, als hätten sie trotz ihrer langen Downtime auch sehr wenig Sichtbarkeit verloren."
Was rätst Du anderen: Wie kÜnnen sie sich vor Cyberattacken schßtzen? Und wie sollten sie reagieren, wenn sie von einem Hackerangriff betroffen sind?
Dominik: "Der vielleicht grĂśĂte Schutz ist, sich bewusst zu werden, dass die Frage nicht lautet, ob man Opfer einer Cyberattacke wird, sondern wann und in welchem Umfang. Auf der letzten Weihnachtsfeier hat uns unser GeschäftsfĂźhrer genau diesen Satz gesagt â und leider Recht behalten.
Ausgehend von dieser Haltung kann man Risiken einschätzen und bewerten und damit einhergehend auch, wie viel Aufwand man in die Entwicklung eines Notfall-Systems stecken mÜchte. Parallel arbeiten wir daran, das Risiko zu minimieren und investieren viel in das Training und die Sensibilisierung aller Kolleginnen und Kollegen. Aus meiner Sicht ist das fßr digitale Unternehmen genauso wichtig, wie frßher die Brandschutzßbung im Bßro."
Ich finde Dominiks Input auf jeden Fall mega spannend und denke, wir sollten alle einen Notfallplan fĂźr den Fall der Fälle parat haben. Ein paar hilfreiche Tipps findest Du in unserem Wissensartikel "Website-Monitoring fĂźr SEO". Hast Du eigentlich einen Notfallplan? đ