Ransomware: Vorgehensweise im Erpressungsfall

Ransomware: Vorgehensweise im Erpressungsfall

Natürlich ist Vorsicht besser als Nachsicht. Das gilt auch bei Cyber-Sicherheit.
Doch wie geht man am besten vor, wenn alle Abwehrmaßnahmen versagt haben und man Opfer eines Ransomware-Angriffs geworden ist?
Welche Schritte müssen eingeleitet werden? Was ist in solch einem Fall überhaupt zutun?

Ransomware
Ransomware

Trotz aller Vorsichtsmaßnahmen ist der Katastrophenfall eingetroffen, dass eigene Unternehmen ist Zielscheibe eines Ransomware Angriffs geworden.
Um der Panik vorzubeugen, empfiehlt es sich vorab einen Notfallplan für den Fall der Fälle zu erstellen und parat zu haben.

Sie haben keinen Notfallplan? Gerne beraten wir Sie zu diesem Thema.

Ruhe bewahren ist in solch kritischen Situationen unbezahlbar.
Keinesfalls sollten Unternehmer/innen schnell oder gar unüberlegt auf die Forderung eingehen, die vom Angreifer gestellt werden. Denn damit starten Sie den Countdown der Angreifer.
Vorab sollten die Verantwortlichen die zuständigen Behörden, also das Landes- oder Bundeskriminalamt informieren. Auch die Geschäftsführung muss über den Status Quo und die geplanten Schritte informiert werden.

Jetzt kommt der Notfallplan zum Einsatz. Mithilfe von Incident Response muss die weitere Ausbreitung und Verschlüsslung gestoppt werden. Hier sind zunächst sichere Kommunikationsmöglichkeiten für das Team einzurichten. Dann gilt es festzustellen, ob es weitere Angriffspunkte gibt, die noch betroffen sein können oder Angriffsmöglichkeiten bieten. Anschließend muss der Angreifer aus dem Netzwerk ausgeschlossen werden.
Die Verantwortlichen müssen entscheiden, welche Infrastrukturteile isoliert beziehungsweise abgetrennt werden können oder müssen, um weitere Schäden zu verhindern.

Nach diesen ersten Schritten gilt es, das Schadensausmaß festzustellen und Recovery-Optionen einzuleiten. Ist ein Backup vorhanden, sollte dies direkt offline genommen werden, um eine Verschlüsselung zu verhindern. Weiterhin muss eruiert werden, welche Services betroffen und welche Daten verschlüsselt wurden. Können letztere wieder entschlüsselt werden? Was ist zu tun, wenn diese Möglichkeit nicht besteht?

Um Daten erfolgreich selbst zu entschlüsseln, ist es wichtig, möglichst viele Informationen zur Ransomware zusammenzutragen.

Dazu gehört beispielsweise:

  • Um welche Ransomware handelt es sich?
  • Gibt es schon Entschlüsselungsmöglichkeiten?
  • Welche Schwachstellen hat sie?
  • Wer steckt dahinter? Welche Motivation haben die Angreifer?

Um zu verhindern, dass das Unternehmen direkt wieder angegriffen wird, hat der Security-Operations-Services-Partner Arctic Wolf Tipps auf Lager:

  • Scannen und Bereinigen aller Systeme
  • Zurücksetzen aller User-Passwörter und technischer Accounts
  • Überprüfung und Schließen möglicher Backdoors und Schwachstellen
  • Im Public-, Dark-, und Deep-Web überprüfen, ob wirklich keine Daten veröffentlicht wurden.

Sie sind auf der Suche nach einem vertrauensvollen und zuverlässigen Partner zum Thema IT-Security? Dann melden Sie sich bei uns und unsere Experten beraten Sie gerne zu diesem Thema.

Nach oben scrollen