,

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders für Cyberabwehrstrategien in Unternehmen. Dazu gehört es auch, auf den schlimmsten Fall vorbereitet zu sein. Eine Anleitung für einen effektiven Notfallplan liefert Kevin Schwarz, Director Transformation Strategy bei Zscaler.


Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

ADVERTORIAL

Viele Cybersicherheitsstrategien zielen auf die Prävention und Erkennung von Angriffen auf das Unternehmensnetzwerk ab. Dennoch bleibt der Alptraum heute allgegenwärtig, dass sensible Daten verschlüsselt und „in Geiselhaft“ genommen werden.

Neben vorbeugenden Maßnahmen zur Angriffsvermeidung tun Unternehmen gut daran, sich auch auf die Nachricht „Ihre Daten wurden verschlüsselt“ vorzubereiten. Für den Fall eines Ransomware-Angriffs gilt es, einen Notfallplan in der Schublade zu haben, wie in diesem Fall vorzugehen ist.

Die mediale Berichterstattung zeigt, dass Unternehmen aller Größen und Branchen auf der Zielliste von Cyberkriminellen stehen. Beispiele von Krankenhäusern, Behörden, Maschinenbauern aber auch Financial Services zeigen, dass letztlich jede Organisation Opfer eines Ransomware-Angriffs werden kann. Doch wie gut sind Unternehmen darauf vorbereitet, Schritte danach einzuleiten?

Ransomware-Angriffe effektiv vermeiden

Zuallererst gilt es, sich mit oberster Priorität auf Vermeidungsstrategien zu fokussieren.  Mit Hilfe modernster Technologien kann das Eindringen von Malware-Akteuren ins Netzwerk verhindert werden. Zu fatalistisch wäre der Ansatz, lediglich eine Cyberversicherung abzuschließen und Bitcoin-Reserven anzulegen. Dennoch ist es heute erforderlich, zusätzlich Überlegungen anzustellen, wie man im Falle eines Angriffs agieren möchte.

Die Geister scheiden sich dabei bereits bei der Frage, ob auf eine Lösegeldforderung eingegangen werden sollte. Nicht nur die Regierung Biden diskutiert derzeit in den USA, ob diesem lukrativen Geschäftsmodell von Cyberkriminellen der Riegel vorgeschoben werden sollte, indem die Zahlung von Lösegeldern für illegal erklärt wird.

Der Druck wächst auch durch die angedachte Meldepflicht, sich besser gegen Ransomware zu wappnen. Darüber hinaus ziehen sich immer mehr Versicherungen aus dem Geschäft mit den Cyberpolicen zurück oder schließen Ransomware aus.

Mehrstufige Ansätze bei Erpressung

Um im Falle eines erfolgreichen Angriffs mit Verschlüsselungstrojanern handlungsfähig zu bleiben, haben Unternehmen weltweit zuletzt viel in Back-up und Disaster Recovery-Lösungen investiert.

Allerdings folgte darauf ein Aufrüsten der Cyberkriminellen, die nun mehrstufige Ansätze bei der Erpressung fahren. Sensible Daten werden nicht mehr nur verschlüsselt, sondern zuvor entwendet, um Unternehmen zur Zahlung der Forderungen zu bewegen. Andernfalls besteht die Handhabe, mit der Veröffentlichung der Daten, der Informierung betroffener Kunden und Partner zu drohen oder durch zusätzliche Methoden die restliche – noch funktionierende – IT-Infrastruktur lahmzulegen.

Darüber hinaus laufen Unternehmen, die sich einmal zur Zahlung des Lösegeldes entschieden haben, Gefahr, wieder ins Visier zu geraten und erneut angegriffen zu werden. Bekannt gewordene Zahlungen zeigen, dass ein Unternehmen willig ist auf die Forderungen einzugehen und lädt andere Malware-Akteure zum Zuschlagen ein, da sich die Abwehrmechanismen einmal als überwindbar erwiesen haben. Die IT-Infrastruktur wieder hochzufahren ohne grundlegende Änderungen herbeizuführen ist also riskant.

Notfallplan für das Worst Case Szenario Ransomware-Angriff

Wenn das Zahlen des Lösegeldes keine Option ist und mit Hilfe von Back-up- und Desaster-Recovery-Plänen die Daten wiederhergestellt werden können, dann sollte auch ein durchdachter Notfallplan, ein sogenannter Incident-Response-Plan, in der Schublade parat liegen.

Dieser Plan nimmt im Ernstfall den Druck von schnellen Entscheidungen und kann Schritt für Schritt abgearbeitet werden. Alle nötigen Rollen, um die unternehmerische Handlungsfähigkeit wiederherzustellen, sollten involviert sein. Diese Funktionen müssen dann die nötige Ruhe bewahren, um den Plan Schritt für Schritt umzusetzen.

Ein Incident-Response-Plan sollte die folgenden Punkte berücksichtigen:

  1. Kommunikation: Welchen Standpunkt nimmt das Unternehmen hinsichtlich der Krisenkommunikation nach außen rund um einen Ransomware-Vorfall ein? Es gibt genug Beispiele, bei den sich Unternehmen aus Gründen der Schadensbegrenzung gegen eine öffentliche Kommunikation entschieden haben. Ein Vertuschen kann allerdings noch größeren Reputationsschaden verursachen, sollte der Vorfall dennoch an die Öffentlichkeit dringen. Unternehmen sollten also eine Kommunikationsstrategie festlegen und entscheiden, wer in welcher Reihenfolge informiert wird.
  2. Externe Hilfe: Sind Systeme verschlüsselt und mit Malware verseucht, gilt es zur Bereinigung und zur Wiederherstellung der Systeme Experten hinzuzuziehen, die im Umgang mit der Situation versiert sind. Wichtig ist, dass diese Experten auch erreichbar sind und Kontaktdaten nicht etwa in verschlüsselten Systemen liegen. In diesem Fall hilft die Telefonnummer mehr als ein E-Mail-Kontakt.
  3. Schadenseindämmung: Fest steht, dass die Angreifer ins Netzwerk eingedrungen sind, aber worauf genau sie sich Zugriff verschaffen konnten, lässt sich nicht auf den ersten Blick feststellen. Zur Eindämmung eines möglichen weiteren Ausbreitens der Malware-Akteure im Netz hilft oft nur ein Abschalten der Systeme. Doch welche Systeme tatsächlich vom Netz genommen werden müssen, hängt auch von der Art des Angriffs ab und ist entscheidend für die weitere Handlungsfähigkeit. Nach einer Supply-Chain-Attacke könnten beispielsweise nur bestimmte Netzwerksegmente befallen sein, bei flachen Netzwerken ohne Segmentierung ist die Ausbreitung unter Umständen weiter vorangeschritten. Eine Abwägung ist notwendig zwischen Produktivität und Risikominimierung.
  4. Monitoring: Welche Systeme sind zum Traffic-Monitoring vorhanden? Auch Angreifer benötigen eine Internetverbindung, um die Attacke und den Prozess der Erpressung zu steuern. Unternehmen sollten schnellstmöglich die Hoheit über den Internetverkehr zurückgewinnen und dabei helfen Systeme zum Monitoring, durch die sich beispielsweise auch die C&C-Kommunikation unterbinden lässt.
  5. Bereinigung & Backup: Festlegen der Reihenfolge der Bereinigung der Systeme und Wiederherstellung von Daten. Der Wiederaufbau der kompletten Netzwerkinfrastruktur ist ein zeitaufwändiger Prozess, sodass im Vorfeld Überlegungen zur Vorgehensweise des Wiederaufbaus erfolgen sollten. Schritt für Schritt muss überprüft werden, wo sich die Angreifer festgesetzt haben, bevor diese Teile des Netzwerks wieder zum Laufen gebracht wurden. Kritische Anwendungen sollten identifiziert werden und ein Backup besitzen (etwa Active Directory).
  6. Unternehmenskritische Applikationen festlegen: Welche Applikationen sind erforderlich, um den Geschäftsbetrieb aufrechtzuerhalten? Unternehmen sollten eine Prioritätenliste an Apps aufstellen, die kritisch für den Geschäftsbetrieb sind. Diese Systeme sollten nach dem ersten Abschalten den Mitarbeitern mit Priorität wieder zur Verfügung stehen. Da eine komplette Bereinigung oder Wiederherstellung abgespeicherter Daten Zeit in Anspruch nimmt, sollte parallel zur Bereinigung der Malware die Handlungsfähigkeit von kritischen Systemen in einem vertrauenswürdigen Modus aufgebaut werden. Hierbei kann ein Zero-Trust-Ansatz behilflich sein, der auf einer abgesicherten Ebene unabhängig vom Netzwerkzugriff die Kommunikation durch einen direkten, getunnelten Zugang zu einzelnen Anwendungen aufbaut.

Transformation ist angesagt

Nach einem Vorfall sollte die Überlegung im Mittelpunkt stehen, ob ein Unternehmen zu seinem ursprünglichen Architektur- und Sicherheitsmodell zurückkehren möchte. Besteht in eine Infrastruktur noch das Vertrauen, die sich einmal als angreifbar erwiesen hat? Was kann aus dem erfolgreichen Angriff hinsichtlich der Sicherheit der Infrastruktur gelernt werden und welche Stellschrauben müssen neu justiert werden?

Wenn herausgefunden werden konnte, welchen Weg die Angreifer ins System gewählt haben, sollte zumindest an dieser Stelle eine Modernisierung der gesamten Infrastruktur herbeigeführt werden, die das Vertrauen zurückbringt.

Tipps: Sie möchten mehr zum Thema Cybercrime? Dann lesen Sie hier, warum Unternehmen beim Thema Cyberabwehr schlechte Arbeit machen.