Server gehackt! Geht das so einfach von aussen?
 

Ich bräuchte hier mal Fachwissen.

Ein Freund hat einen WIN Server mit Arbeitsplätzen. WLAN im Router und Server ist aus.
3 Personen haben Remote Zugang. Server und Router Passwort gesichert.

Nun kam ein Ransom Virus drauf und hat die Festplatten verschlüsselt.
Die IT Crew der Polizei kam und sagte: Von aussen sei der Server angegriffen worden, das PW ausgespäht worden, die Täter haben sich so eingeloggt.

Das checke ich nicht. Der Server läuft intern only, nach aussen nur Datebertragung.
Meine Vermutung war : entweder Schadsoftware über Remotezugang, wahrscheinlich unbewusst, oder über USB Stick intern, weil jemand vielleicht die Urlaubsfotos herleiten wollte.

Sonst wäre ja jeder PC oder Server von aussen pingbar, was aber mit einer privaten IP gar nicht machbar wäre. Kann mir das bitte jemand erklären? Auch warum die AV SW nicht reagiert hat. Will das nur verstehen und nachvollziehen können. Danke ??

Die größten IT-Sicherheitsprobleme sitzen vor der Tastatur - das ist und bleibt immer so.
Hier ein Link angeklickt, da mal nen USB-Stick eingesteckt, dort mal eben ne Software aus der Internet installiert.

Da hilft es nur, die Mitarbeiter zu sensibilisieren und entsprechenden Vorkehrungen zu treffen, damit die eben keinen USB-stick anschliessen können ( USB-Ports sperren ) oder Software installieren ( Rechtemanagement ).

Ohne die Einsicht in die Fallakten und die Ergebnisse der Untersuchungen wird da erstmal niemand was zu sagen können (Ausser dem, der ihn "gehackt" hat :D).
Aber natürlich kann man sich von außen auch Zutritt ins Netz verschaffen und einen internen Server ansprechen, dafür ist das Netzwerk ja vorhanden.
Aber welchen Weg der Angreifer jetzt detailliert genommen hat, wird dir hier niemand direkt sagen können.