Ransomware-Angriff: Keine Panik!
Immer mehr Fälle von Cyber-Erpressung werden publik. Doch was ist bei einem Ransomware-Angriff zu tun? Ein Cybersecurity-Experte listet sieben Sofortmassnahmen.
Die Ransomware-Welle schwappt unverändert über Unternehmen und Behörden hinweg. Die Sicherheitslage scheint sich allenthalben zu verschärfen. Dass es das eigene Unternehmen trifft, ist wohl nur noch eine Frage der Zeit, könnte man vermuten. Ratgeber, wie man seine Cyberabwehr gegen einen Ransomware-Angriff aufstellen kann, oder Technologien, die eine erfolgreiche Abwehr versprechen, gibt es viele. Doch wenn es dann tatsächlich so weit ist, es ist nützlich zu wissen, was man als erstes tun sollte.
Bei einem Ransomware-Angriff: Kein Lösegeld bezahlen
Panik ist in jedem Fall ein schlechter Ratgeber. Genauso wie der Griff zum Geldbeutel, um das Lösegeld zu zahlen, auch wenn dies im ersten Augenblick die einfachste Lösung scheint.
Erste Priorität ist es natürlich, die Daten und Systeme schnellstmöglich wieder verfügbar zu bekommen. Damit dies funktioniert und damit man die richtigen Lehren aus einem erfolgreichen Angriff ziehen kann, sollte man einige weitere Massnahmen befolgen.
1. Geräte schnell isolieren
Eine Ransomware sollte sich nicht weiter ausbreiten können, als bereits geschehen. Daher sollten Administratoren betroffene Systeme so schnell wie möglich vom Netzwerk isolieren. Vor allem bei den Aufräumarbeiten nach der Ransomware-Attacke hilft es zu verhindern, dass sich die erpresserische Malware weiter ausbreitet.
2. Den Angriffsvektor verstehen
Sind die betroffenen Geräte isoliert, ist es wichtig zu verstehen, wie es zu dem Vorfall kommen konnte. Das hilft zum einen, den Vorfall zu bewältigen. Zudem liefert es wertvolle Lektionen für die Zukunft. Es gilt also herauszufinden: Wer war Patient Zero im Netzwerk?
3. Backups sichern und überprüfen
Applikationen und Server lassen sich wieder einrichten, Daten sind aber unersetzlich. Ohne Backups ist es nicht mehr möglich, sie sicherzustellen. Deshalb gilt als Massnahme, sie erst einmal vom Netz zu nehmen. Angreifer suchen als Teil ihres Angriffs gezielt nach Backups. Sind diese weiter online, besteht die Gefahr, dass sie in den Angriff einbezogen werden. Noch besser ist es natürlich, von vorneherein Offline-Backups an einem physikalisch getrennten Ort vorzuhalten. Die 3-2-1-Regel des Backups (es sollten mindestens drei Kopien Ihrer Daten vorhanden sein, gespeichert auf zwei unterschiedlichen Medien, eine Backup-Kopie aufbewahrt an einem externen Speicherort) ist gerade für das Sichern von Daten gegen erpresserische Angriffe eine unabdingbare Voraussetzung. Damit läuft eine Lösegeldforderung unter Umständen – zumindest was den Datenbestand trifft – ins Leere. IT-Administratoren können sich stattdessen darum kümmern, die Systeme wieder aufzubauen.
4. Projekte und geplante Aufgaben stoppen
Eine Ransomware-Attacke ist ein Notfall und erfordert das Bündeln aller Ressourcen. Ein Umbau der der IT-Architektur, wie Migrationen auf neue Umgebungen, oder das Installieren neuer Applikationen und Server sollten sofort gestoppt werden. Solche Projekte könnten der Malware helfen, sich weiter auszubreiten. Ebenso wichtig ist es, terminierte Aufgaben, zum Beispiel Backups, zu stoppen. Denn in deren Verlauf kann sich die erpresserische Malware weiter ausbreiten.
5. Potenziell kompromittierte Bereiche unter Quarantäne stellen
Generell sollte man direkt nach einem Angriff keine Möglichkeit ausschliessen und alle potenziell betroffenen Teile der Infrastruktur unter Quarantäne stellen. Das heisst, alles erst einmal vom Netz nehmen und einzeln untersuchen, bevor es wieder zum Einsatz kommen kann.
6. Nach dem Angriff ist vor dem Angriff: Passwörter ändern
Vorsicht ist besser als Nachsicht. Zu Beginn eines Vorfall ist oft noch nicht komplett klar, wie es dazu kommen konnte. War es lediglich eine einfacher Angriff? Oder handelte es sich um eine komplexe Attacke, die möglich war, weil der Angreifer Authentifikationsdaten erbeutet hatte? Wenn dem so war, kann er immer wieder den nächsten Versuch starten. Es ist daher auf jeden Fall sinnvoll, die Passwörter systemkritischer Nutzerkonten zu ändern.
7. Keine Panik bei einem Ransomware-Angriff – Kritische Sicherheitssituationen planen und üben
Die IT-Administration wird im Fall des Falles unter hohen Druck stehen – und damit besteht die Gefahr, dass in dieser Drucksituation falsch entschieden wird. Um dies möglichst zu verhindern, sollten sich IT-Abteilungen auf den Ernstfall vorbereiten. Im Idealfall haben die Sicherheitsverantwortlichen Prozesse definiert. Denn gerade im Ernstfall benötigen Unternehmen eine Blaupause, um keine sinnvollen Massnahmen zu vergessen. Diese Prozesse sollten ausserdem regelmässig geübt werden, so im Rahmen von simuliertem „Red and Blue Team Testing“. Wissen Mitarbeiter, dass es einen Plan gibt, der im Ernstfall greift, und dass dieser Plan geübt wurde, wird das Risiko unter Druck falsch zu handeln, minimiert.
Quelle: Bitdefender
