17. Februar 2022

Wie reagiert man richtig auf einen Ransomware-Angriff?

Die Meldungen über erfolgreiche Angriffe mit Erpressungs-Software nehmen zu. Ransomware ist aktuell eine der größten und schädlichsten Bedrohungen der Cyberwelt. Was, wenn es plötzlich das eigene Unternehmen trifft?  Wie reagiert man besonnen und was kann man tun, um den Schaden zu minimieren?

Wenn das Schreckensszenario Realität wird 

Stellen Sie sich folgendes vor: Unbekannte Angreifer durchbrechen die IT-Schutzmaßnahmen Ihres Unternehmens, blockieren sensible Unternehmensdaten und man erhält plötzlich eine gefürchtete Ransomware-Nachricht mit einer hohen Lösegeldforderung. Das Schreckensszenario eines Ransomware-Angriffs ist real geworden. Und die Reaktionszeit ist kurz – bei den meisten Ransomware-Angriffen verlangen die Täter die Lösegeldzahlung innerhalb von 24 bis 72 Stunden.

Wie reagiert man nun? Das Wichtigste: Nicht in Panik geraten. Ein Ransomware-Angriff ist darauf ausgelegt, die Opfer unter Druck zu setzen und so zu hohen Lösegeldzahlungen zu bewegen. Die Blockade der Daten allein ist dabei nicht das einzige Druckmittel. Unter Androhung der Löschung oder Veröffentlichung der Daten sollen Betroffene gezwungen werden, schnellstmöglich auf die Forderungen einzugehen, um den Ruf des Unternehmens zu schützen und das Vertrauen der Kunden nicht zu verlieren.

Ransomware auf dem Vormarsch

Dass dieses Szenario Realität wird, ist leider nicht unwahrscheinlich: Die Anzahl von Ransomware-Angriffen ist in den letzten Jahren stark angestiegen und regelmäßig gibt es Schlagzeilen über erfolgreiche Angriffe, zum Beispiel auf Krankenhäuser oder Universitäten. Wie in unserem Beitrag zu den IT Security Trends 2022 bereits erläutert, ist Ransomware aktuell eine der beliebtesten Betrugsmaschen beim Cybercrime und wird durch verschiedene Entwicklungen zukünftig noch gefährlicher werden.

Diese Gefahr betrifft nicht nur große Unternehmen – Firmen aller Größen und Branchen und ebenso Behörden und Institutionen stehen auf der Zielliste von Cyberkriminellen. Aktuell sind zudem insbesondere Unternehmen, die den Kritischen Infrastrukturen zuzuordnen sind, im Visier. Sie verfügen über besonders sensible Daten und der Schaden bei einem Betriebsausfalls ist so weitreichend, dass die „Daten-Geiselnahme“ ein entsprechend effektives Druckmittel bietet. Zusätzlich sind Betriebe und Partner-Unternehmen in den Lieferketten von KRITIS-Unternehmen für Cyberkriminelle interessant, um die Systeme indirekt zu kompromittieren. Das bedeutet: Niemand ist sicher und jedes Unternehmen kann von einem Ransomware-Angriff getroffen werden.

Sollte man das Lösegeld bezahlen?

Es kann für betroffene Unternehmen sehr verlockend sein, das Lösegeld zu bezahlen, um dem Angriff schnell ein Ende zu setzen, den Betriebsausfall möglichst gering zu halten und vermeintlich ohne größeren Schaden wieder den Zugriff auf die eigenen Daten und Systeme zu erlangen. Es gibt jedoch verschiedene Gründe, weshalb eine Lösegeldzahlung nicht empfohlen wird:

  • Es gibt keine Garantie, dass man nach Zahlung wieder den Zugriff auf die Daten erhält.
  • Auch wenn die Daten bereitgestellt werden, können sie beschädigt worden sein.
  • Die Zahlung von Lösegeld stärkt den Ransomware-Markt insgesamt, weil die Taktik für Cyberkriminelle funktioniert.
  • Es gibt keinen Schutz vor Wiederholung – andere oder sogar dieselben Angreifer können wieder zuschlagen.

Aus diesen Gründen rät auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) Unternehmen dazu, nicht zu zahlen.

Ransomeware-Angriff richtig abwehren

Um einen Ransomeware-Angriff erfolgreich abzuwehren, ist in der Reaktion jedes Detail entscheidend, um den Ruf des Unternehmens zu schützen und das Vertrauen von Kunden und Partner-Firmen zu erhalten. Dafür braucht es eine gute interne Koordination, zügige Entscheidungen und ein klares Vorgehen. Unternehmen, die über einen Notfallplan für ein solches „Worst Case Szenario“ verfügen, sind hierbei im Vorteil.

Die wichtigsten Aufgaben bei der Abwehr eines Ransomware-Angriffs sind: Zuständige Behörden informieren, Problemumfang identifizieren, Gegenmaßnahmen koordinieren und die Ransomware entfernen. Diese Aufgaben können in folgenden drei Schritten zusammengefasst werden:

1) Ursprung und Umfang identifizieren

Sobald ein Ransomware-Angriff bemerkt wird, sollten schnellstmöglich der Umfang und die betroffenen Systeme identifiziert werden. Es geht zunächst darum, Erkenntnisse gewinnen: Wie viele Systeme sind betroffen, was ist der Angriffsvektor, seit wann läuft der Angriff, welche Daten wurden kompromittiert etc. Nur mit dem richtigen Überblick greifen Reaktionsmaßnahmen an den richtigen Stellen, um zum einen eine weitere Systemkompromittierung zu verhindern und zum anderen ein vollständiges Entfernen der Malware zu ermöglichen.

Besonders wichtig ist hierbei die Ursachenerkennung, denn häufig findet der eigentliche Einbruch ins System bereits Tage oder Wochen zuvor statt. Nur wenn die Ursache und der Umfang richtig erkannt werden, besteht die Chance, die laufende Erpressung abzuwehren und außerdem eine erneute Erpressung zu verhindern.

2) Lösungen koordinieren und Angriff beheben

Auf technischer Seite geht es dann darum, die infizierten Systeme zu isolieren, den Zugriff der Angreifer zu blockieren und letztlich die Daten wieder herzustellen und die Ransomware zu entfernen. Dies ist nur dann erfolgreich, wenn Angreifer vollständig aus dem System entfernt werden, weil nur so ein erneuter Angriff vermieden werden kann.

Für eine besonnene und letztlich erfolgreiche Reaktion ist – neben den konkreten Gegenmaßnahmen im System – vor allem eine gute Kommunikation elementar. Das betrifft sowohl die interne Kommunikation zur Koordination aller Abteilungen (IT, Recht, Management, Öffentlichkeitsarbeit etc.) als auch die externe Kommunikation zur Information der Aufsichtsbehörden und Kunden. Bei einem laufenden Ransomware-Angriff zählt jede Minute und jedes Detail, weshalb eine zügige und zugleich durchdachte Kommunikation für eine erfolgreiche Abwehr wesentlich ist. Eventuell müssen dafür sogar Kommunikationskanäle abseits der üblichen Wege etabliert werden, da diese ebenso vom Angriff betroffen und infiziert sein können.

3) Systeme wiederherstellen und Vorfall aufarbeiten

Anschließend bestehen die zentralen Aufgaben darin, die Systeme und Daten wieder herzustellen und die Protokolle des Vorfalls auszuwerten. Letzteres ist unerlässlich zur Verhinderung eines erneuten Angriffs. Nur wenn die Schwachstellen ermittelt wurden, können Sicherheitsmaßnahmen und -richtlinien entsprechend angepasst werden, um die Lücken zu schließen. 

Präventive Maßnahmen als effektiver Schutz

In der Cybersicherheit besteht der beste Schutz in einer guten Vorbeugung. So kann ein (erneuter) Angriff durch verschiedene präventive Maßnahmen verhindert werden. Dies schließt technische und organisatorische Maßnahmen ebenso ein wie die Sensibilisierung aller Abteilungen und Mitarbeitenden für das Thema Cybersecurity. Mit konkreten Sicherheitsmaßnahmen, der Durchführung von Awareness-Trainings und einem gut durchdachten Reaktionsplan für den „Worst Case“ stellen Unternehmen sich bestmöglich für die reale Bedrohung durch Cyberangriffe auf.

In unserem Tagesseminar „Cyber Incident – First Response“ vermitteln wir die notwendigen Kenntnisse und Handlungsempfehlungen für den Fall eines Cyber-Vorfalls und richten den Blick insbesondere auf die Sofortmaßnahmen. So erhalten Sie praxisnah einen Leitfaden, um Ihr Unternehmen für den Ernstfall vorzubereiten und sich gegen Angriffe zu wappnen. Melden Sie sich jetzt für den nächsten Termin zur Online-Schulung im März an oder sprechen Sie mit uns über eine Inhouse-Schulung – Wir freuen uns auf Sie!

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Wir feiern unser 20-jähriges Firmenjubiläum!

Laden Sie sich jetzt kostenlos unsere neue, umfassende Weiterbildungsbroschüre herunter:

Mit Klick auf den Button melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.