Managed Services

Cyber Defence Services

Professional Services

Cloud Services

Cyber Security Solutions

Network Solutions

Collaboration Solutions

Datacenter Solutions

Wir sind Experten bei Ransomware-Angriffen

Die Netcloud Notfallorganisation

Ist eine Unternehmung Opfer eines Ransomware-Angriffes geworden, muss man einen kühlen Kopf bewahren – so widrig die Umstände auch sind. Hektik und Schnellschüsse sind fehl am Platz, da man die Situation allenfalls sogar noch verschlimmern kann. Netcloud verfügt über sehr erfahrene Security-Experten, die Ihnen im Notfall weiterhelfen. Das untenstehende Szenario zeigt, welche Schritte bei einer Ransomware-Attacke umzusetzen sind, welche Fehler passieren können und welche Elemente für eine lückenlose Notfallorganisation nötig sind.

Angenommen ein Ransomware-Angriff beginnt am Freitagmorgen: Was sind die korrekten Schritte, die ausgeführt werden müssen? Der grösste Fehler schlechthin ist, ohne zu zögern den Backup-Restore-Prozess einzuleiten. Obwohl dadurch die Daten am Montagmorgen vermutlich wieder zur Verfügung ständen, liegt die Chance bei fast 100%, dass dabei auch der Trojaner wiederhergestellt wurde oder sich der Angreifer nach wie vor in den Systemen eingenistet hat. Diese Vorgehensweise treffen unsere Security-Experten oft an. Die Gründe sind unterschiedlich: falscher Ehrgeiz, fehlende Kenntnisse über den Ablauf einer Cyber-Attacke oder Angst um den Job.

Optimale und strukturierte Vorgehensweise bei einer Ransomware-Attacke

1. Notfallorganisation aufrufen:
  • Krisenmanager: Der «Projektleiter» für Krisen
  • Kommunikationsmanager: Der Spezialist, um Kunden, Partner unter Mitarbeiter adäquat zu informieren.
  • Rechtsabteilung: Ist die Unternehmung versichert? Was muss diesbezüglich getan werden?
  • Sponsor: Wenn etwas bestellt werden muss, sollte dieser unterschriftsberechtigt sein.
  • System Engineers: Wenn intern zu wenig Wissen vorhanden ist, ggf. auf einen IT-Partner zurückgreifen.
  • Applikationsverantwortliche
  • Forensiker zur Analyse des Angriffes
  • Cyber Security Engineers zur Sicherung der Daten und Infrastruktur
2. Ausmass des Angriffs erkennen:
  • Sind nur ein PC, ein Server, alle Server oder auch Cloud Services und Kundensysteme betroffen? Anhand dieser Feststellung können die richtigen Handlungen und Prioritäten abgeleitet werden.
  • Welche Logs und Daten stehen zur Verfügung, um den Angriff zu analysieren?
  • Sind saubere Backups vorhanden?
  • Sind Daten exfiltriert worden? Wenn ja, welche Art von Daten?
  • Seit wann sind die Geräte oder die Infrastruktur kompromittiert?
  • Wie hat der Angreifer Persistenz geschaffen?
  • Woher kam der Angriff und wie konnte er überhaupt passieren? Hier ist meistens die Hilfe von Forensikern nötig, die professionelle Hilfe leisten.
3. Plan ausarbeiten:
  • Lassen sich die Systeme säubern oder müssen diese neu aufgebaut werden?
  • Wo werden wie viel Zeit und Ressourcen eingesetzt (Säuberung und Wiederaufbau,
  • Analyse des Angriffes)
  • Lässt sich noch etwas retten?
  • Wie kann ich mein Backup wiederherstellen, ohne dass kompromittierte Daten ebenfalls eingespielt werden?
  • Was ist am dringlichsten für die Unternehmung? Produktion? Mailverkehr? ERP?
  • Wie vermeide ich eine Wieder-Kompromittierung während der Recovery-Phase?
  • Vorfall den richtigen Behörden in der vorgegebenen Zeit melden.
  • Was kommuniziere ich wie, wann und auf welchen Plattformen?
  • Wie gehe ich mit Erpressungen und Forderungen der Angreifer um?

Eine geübte Notfallorganisation und validierte Prozesse sowie der richtige externe Security-Partner wie Netcloud sind Schlüsselfaktoren, um die Folgen einer Ransomware-Attacke sauber und zeitnah zu bewältigen. Allerdings ersetzt eine Notfallorganisation weder gute Sicherheitskonzepte noch den Aufbau und Betrieb eines hohen Sicherheitsstandards in der IT-Infrastruktur. So ist es zum Beispiel ohne gute Log-Informationen auch einer noch so professionellen Notfallorganisation nicht möglich, den Ablauf einer Attacke nachzuvollziehen und zu analysieren.

Damit Sie gegen Ransomware-Attacken gerüstet sind und Ihre Notfallorganisation makellos vorbereitet ist, ist also oft ein neutraler Blick von aussen nötig. Unsere Security Consultants unterstützen Sie gerne dabei, Organisation, Prozesse, Checklisten und Rollen zu definieren, damit Sie im Notfall schnell reagieren können.

Sie möchten mehr über Netcloud Security erfahren?
Ich helfe Ihnen gerne weiter.

Franck Bouchoux, Senior Security Consultant
bouchoux@netcloud.ch