Notfallorganisation bei Ransomware-Angriffen

Mai 26, 2021 | Solutions

Ist eine Unternehmung Opfer eines Ransomware-Angriffes geworden, muss man einen kühlen Kopf bewahren – so widrig die Umstände auch sind. Hektik und Schnellschüsse sind fehl am Platz, da man die Situation allenfalls sogar noch verschlimmern kann.

Angenommen ein Ransomware-Angriff beginnt am Freitagmorgen: Was sind die korrekten Schritte, die ausgeführt werden müssen? Der grösste Fehler schlechthin ist, ohne zu zögern den Backup-Restore-Prozess einzuleiten. Obwohl dadurch die Daten am Montagmorgen vermutlich wieder zur Verfügung ständen, liegt die Chance bei fast 100%, dass dabei auch der Trojaner wiederhergestellt wurde oder sich der Angreifer nach wie vor in den Systemen eingenistet hat. Diese Vorgehensweise treffen unsere Security-Experten oft an. Die Gründe sind unterschiedlich: falscher Ehrgeiz, fehlende Kenntnisse über den Ablauf einer Cyber-Attacke oder Angst um den Job.

Folgend erklären wir, was die optimale und strukturierte Vorgehensweise im Falle einer Ransomware-Attacke ist:

  1. Notfallorganisation aufrufen:
    • Krisenmanager: Der «Projektleiter» für Krisen
    • Kommunikationsmanager: Der Spezialist, um Kunden, Partner unter Mitarbeiter adäquat zu informieren.
    • Rechtsabteilung: Ist die Unternehmung versichert? Was muss diesbezüglich getan werden?
    • Sponsor: Wenn etwas bestellt werden muss, sollte dieser unterschriftsberechtigt sein.
    • System Engineers: Wenn intern zu wenig Wissen vorhanden ist, ggf. auf einen IT-Partner zurückgreifen.
    • Applikationsverantwortliche
    • Forensiker zur Analyse des Angriffes
    • Cyber Security Engineers zur Sicherung der Daten und Infrastruktur
  2. Ausmass des Angriffs erkennen:
    • Sind nur ein PC, ein Server, alle Server oder auch Cloud Services und Kundensysteme betroffen? Anhand dieser Feststellung können die richtigen Handlungen und Prioritäten abgeleitet werden.
    • Welche Logs und Daten stehen zur Verfügung, um den Angriff zu analysieren?
    • Sind saubere Backups vorhanden?
    • Sind Daten exfiltriert worden? Wenn ja, welche Art von Daten?
    • Seit wann sind die Geräte oder die Infrastruktur kompromittiert?
    • Wie hat der Angreifer Persistenz geschaffen?
    • Woher kam der Angriff und wie konnte er überhaupt passieren? Hier ist meistens die Hilfe von Forensikern nötig, die professionelle Hilfe leisten.
  3. Plan ausarbeiten:
    • Lassen sich die Systeme säubern oder müssen diese neu aufgebaut werden?
    • Wo werden wie viel Zeit und Ressourcen eingesetzt (Säuberung und Wiederaufbau, Analyse des Angriffes)
    • Lässt sich noch etwas retten?
    • Wie kann ich mein Backup wiederherstellen, ohne dass kompromittierte Daten ebenfalls eingespielt werden?
    • Was ist am dringlichsten für die Unternehmung? Produktion? Mailverkehr? ERP?
    • Wie vermeide ich eine Wieder-Kompromittierung während der Recovery-Phase?
    • Vorfall den richtigen Behörden in der vorgegebenen Zeit melden.
    • Was kommuniziere ich wie, wann und auf welchen Plattformen?
    • Wie gehe ich mit Erpressungen und Forderungen der Angreifer um?

Fazit: Eine geübte Notfallorganisation und validierte Prozesse mit dem richtigen Partner an der Seite sind Schlüsselfaktoren, um die Folgen einer Ransomware-Attacke sauber und zeitnah zu bewältigen. Und wenn es noch keine solche gibt, steht professionelle Hilfe durch das Cyber Defence Center von Netcloud zur Verfügung, um wieder auf den richtigen Weg zu kommen.

Wichtig: Allerdings ersetzt eine Notfallorganisation weder gute Sicherheitskonzepte noch den Aufbau und Betrieb eines hohen Sicherheitsstandards in der IT-Infrastruktur. So ist es zum Beispiel ohne gute Log-Informationen auch einer noch so professionellen Notfallorganisation nicht möglich, den Ablauf einer Attacke nachzuvollziehen und zu analysieren.

Kontaktieren Sie uns bei Security-Fragen rund um Beratung, Engineering und Betrieb >