Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders für Cyberabwehrstrategien in Unternehmen. Dazu gehört es auch, auf den schlimmsten Fall vorbereitet zu sein. Eine Anleitung für einen effektiven Notfallplan liefert Kevin Schwarz, Director Transformation Strategy bei Zscaler.

Von Kevin Schwarz - 28. September 2021
Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

Foto: istock.com/style-photography

ADVERTORIAL

Viele Cybersicherheitsstrategien zielen auf die Prävention und Erkennung von Angriffen auf das Unternehmensnetzwerk ab. Dennoch bleibt der Alptraum heute allgegenwärtig, dass sensible Daten verschlüsselt und „in Geiselhaft“ genommen werden.

Neben vorbeugenden Maßnahmen zur Angriffsvermeidung tun Unternehmen gut daran, sich auch auf die Nachricht „Ihre Daten wurden verschlüsselt“ vorzubereiten. Für den Fall eines Ransomware-Angriffs gilt es, einen Notfallplan in der Schublade zu haben, wie in diesem Fall vorzugehen ist.

Die mediale Berichterstattung zeigt, dass Unternehmen aller Größen und Branchen auf der Zielliste von Cyberkriminellen stehen. Beispiele von Krankenhäusern, Behörden, Maschinenbauern aber auch Financial Services zeigen, dass letztlich jede Organisation Opfer eines Ransomware-Angriffs werden kann. Doch wie gut sind Unternehmen darauf vorbereitet, Schritte danach einzuleiten?

Ransomware-Angriffe effektiv vermeiden

Zuallererst gilt es, sich mit oberster Priorität auf Vermeidungsstrategien zu fokussieren.  Mit Hilfe modernster Technologien kann das Eindringen von Malware-Akteuren ins Netzwerk verhindert werden. Zu fatalistisch wäre der Ansatz, lediglich eine Cyberversicherung abzuschließen und Bitcoin-Reserven anzulegen. Dennoch ist es heute erforderlich, zusätzlich Überlegungen anzustellen, wie man im Falle eines Angriffs agieren möchte.

Die Geister scheiden sich dabei bereits bei der Frage, ob auf eine Lösegeldforderung eingegangen werden sollte. Nicht nur die Regierung Biden diskutiert derzeit in den USA, ob diesem lukrativen Geschäftsmodell von Cyberkriminellen der Riegel vorgeschoben werden sollte, indem die Zahlung von Lösegeldern für illegal erklärt wird.

Der Druck wächst auch durch die angedachte Meldepflicht, sich besser gegen Ransomware zu wappnen. Darüber hinaus ziehen sich immer mehr Versicherungen aus dem Geschäft mit den Cyberpolicen zurück oder schließen Ransomware aus.

Mehrstufige Ansätze bei Erpressung

Um im Falle eines erfolgreichen Angriffs mit Verschlüsselungstrojanern handlungsfähig zu bleiben, haben Unternehmen weltweit zuletzt viel in Back-up und Disaster Recovery-Lösungen investiert.

Allerdings folgte darauf ein Aufrüsten der Cyberkriminellen, die nun mehrstufige Ansätze bei der Erpressung fahren. Sensible Daten werden nicht mehr nur verschlüsselt, sondern zuvor entwendet, um Unternehmen zur Zahlung der Forderungen zu bewegen. Andernfalls besteht die Handhabe, mit der Veröffentlichung der Daten, der Informierung betroffener Kunden und Partner zu drohen oder durch zusätzliche Methoden die restliche – noch funktionierende – IT-Infrastruktur lahmzulegen.

Darüber hinaus laufen Unternehmen, die sich einmal zur Zahlung des Lösegeldes entschieden haben, Gefahr, wieder ins Visier zu geraten und erneut angegriffen zu werden. Bekannt gewordene Zahlungen zeigen, dass ein Unternehmen willig ist auf die Forderungen einzugehen und lädt andere Malware-Akteure zum Zuschlagen ein, da sich die Abwehrmechanismen einmal als überwindbar erwiesen haben. Die IT-Infrastruktur wieder hochzufahren ohne grundlegende Änderungen herbeizuführen ist also riskant.

Notfallplan für das Worst Case Szenario Ransomware-Angriff

Wenn das Zahlen des Lösegeldes keine Option ist und mit Hilfe von Back-up- und Desaster-Recovery-Plänen die Daten wiederhergestellt werden können, dann sollte auch ein durchdachter Notfallplan, ein sogenannter Incident-Response-Plan, in der Schublade parat liegen.

Dieser Plan nimmt im Ernstfall den Druck von schnellen Entscheidungen und kann Schritt für Schritt abgearbeitet werden. Alle nötigen Rollen, um die unternehmerische Handlungsfähigkeit wiederherzustellen, sollten involviert sein. Diese Funktionen müssen dann die nötige Ruhe bewahren, um den Plan Schritt für Schritt umzusetzen.

Ein Incident-Response-Plan sollte die folgenden Punkte berücksichtigen:

  1. Kommunikation: Welchen Standpunkt nimmt das Unternehmen hinsichtlich der Krisenkommunikation nach außen rund um einen Ransomware-Vorfall ein? Es gibt genug Beispiele, bei den sich Unternehmen aus Gründen der Schadensbegrenzung gegen eine öffentliche Kommunikation entschieden haben. Ein Vertuschen kann allerdings noch größeren Reputationsschaden verursachen, sollte der Vorfall dennoch an die Öffentlichkeit dringen. Unternehmen sollten also eine Kommunikationsstrategie festlegen und entscheiden, wer in welcher Reihenfolge informiert wird.
  2. Externe Hilfe: Sind Systeme verschlüsselt und mit Malware verseucht, gilt es zur Bereinigung und zur Wiederherstellung der Systeme Experten hinzuzuziehen, die im Umgang mit der Situation versiert sind. Wichtig ist, dass diese Experten auch erreichbar sind und Kontaktdaten nicht etwa in verschlüsselten Systemen liegen. In diesem Fall hilft die Telefonnummer mehr als ein E-Mail-Kontakt.
  3. Schadenseindämmung: Fest steht, dass die Angreifer ins Netzwerk eingedrungen sind, aber worauf genau sie sich Zugriff verschaffen konnten, lässt sich nicht auf den ersten Blick feststellen. Zur Eindämmung eines möglichen weiteren Ausbreitens der Malware-Akteure im Netz hilft oft nur ein Abschalten der Systeme. Doch welche Systeme tatsächlich vom Netz genommen werden müssen, hängt auch von der Art des Angriffs ab und ist entscheidend für die weitere Handlungsfähigkeit. Nach einer Supply-Chain-Attacke könnten beispielsweise nur bestimmte Netzwerksegmente befallen sein, bei flachen Netzwerken ohne Segmentierung ist die Ausbreitung unter Umständen weiter vorangeschritten. Eine Abwägung ist notwendig zwischen Produktivität und Risikominimierung.
  4. Monitoring: Welche Systeme sind zum Traffic-Monitoring vorhanden? Auch Angreifer benötigen eine Internetverbindung, um die Attacke und den Prozess der Erpressung zu steuern. Unternehmen sollten schnellstmöglich die Hoheit über den Internetverkehr zurückgewinnen und dabei helfen Systeme zum Monitoring, durch die sich beispielsweise auch die C&C-Kommunikation unterbinden lässt.
  5. Bereinigung & Backup: Festlegen der Reihenfolge der Bereinigung der Systeme und Wiederherstellung von Daten. Der Wiederaufbau der kompletten Netzwerkinfrastruktur ist ein zeitaufwändiger Prozess, sodass im Vorfeld Überlegungen zur Vorgehensweise des Wiederaufbaus erfolgen sollten. Schritt für Schritt muss überprüft werden, wo sich die Angreifer festgesetzt haben, bevor diese Teile des Netzwerks wieder zum Laufen gebracht wurden. Kritische Anwendungen sollten identifiziert werden und ein Backup besitzen (etwa Active Directory).
  6. Unternehmenskritische Applikationen festlegen: Welche Applikationen sind erforderlich, um den Geschäftsbetrieb aufrechtzuerhalten? Unternehmen sollten eine Prioritätenliste an Apps aufstellen, die kritisch für den Geschäftsbetrieb sind. Diese Systeme sollten nach dem ersten Abschalten den Mitarbeitern mit Priorität wieder zur Verfügung stehen. Da eine komplette Bereinigung oder Wiederherstellung abgespeicherter Daten Zeit in Anspruch nimmt, sollte parallel zur Bereinigung der Malware die Handlungsfähigkeit von kritischen Systemen in einem vertrauenswürdigen Modus aufgebaut werden. Hierbei kann ein Zero-Trust-Ansatz behilflich sein, der auf einer abgesicherten Ebene unabhängig vom Netzwerkzugriff die Kommunikation durch einen direkten, getunnelten Zugang zu einzelnen Anwendungen aufbaut.

Transformation ist angesagt

Nach einem Vorfall sollte die Überlegung im Mittelpunkt stehen, ob ein Unternehmen zu seinem ursprünglichen Architektur- und Sicherheitsmodell zurückkehren möchte. Besteht in eine Infrastruktur noch das Vertrauen, die sich einmal als angreifbar erwiesen hat? Was kann aus dem erfolgreichen Angriff hinsichtlich der Sicherheit der Infrastruktur gelernt werden und welche Stellschrauben müssen neu justiert werden?

Wenn herausgefunden werden konnte, welchen Weg die Angreifer ins System gewählt haben, sollte zumindest an dieser Stelle eine Modernisierung der gesamten Infrastruktur herbeigeführt werden, die das Vertrauen zurückbringt.

Tipps: Sie möchten mehr zum Thema Cybercrime? Dann lesen Sie hier, warum Unternehmen beim Thema Cyberabwehr schlechte Arbeit machen.

Kevin Schwarz

Zscaler

Kevin Schwarz ist Director Transformation Strategy bei Zscaler.

Lesen Sie auch

Cybercrime Day 2021- IT-Sicherheit- Kongress

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021[…]

Fiona Gleim
schlechte arbeit bei it und Cybercrime Vahrenhorst

Warum machen Unternehmen bei der Cyberabwehr schlechte Arbeit?

Unternehmen machen beim Thema Cybercrime schlechte Arbeit. Unter[…]

Peter Vahrenhorst
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti[…]

Mathias Fuchs
Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke