beebright - stock.adobe.com

Wie können Unternehmen nach einem Malware-Angriff reagieren?

Jeder Sicherheitsvorfall aufgrund von Schadsoftware kann sich nach Einfallstor und vorhandener IT unterschiedlich auswirken. Entsprechend angemessen muss die Reaktion darauf sein.

Das dänische Logistikunternehmen Maersk gehört zu den Organisationen, die im Jahr 2017 besonders stark von der Schadsoftware NotPetya betroffen waren. Dort ist man dem Problem begegnet, indem man die gesamte Infrastruktur einschließlich 4.000 Server, 45.000 PCs und 2.500 Anwendungen neu installiert oder aufgesetzt hat, wie das Unternehmen berichtete. Ist eine vollständige Neuinstallation die beste Option, um ein mit Ransomware infiziertes System wieder in Betrieb zu nehmen, oder besteht die Gefahr, dass die Gefahr durch die Malware nach der Neuinstallation erneut? Welche anderen Optionen haben Unternehmen um ihren IT-Betrieb wiederherzustellen?

Unter bestimmten Umständen, kann die Reaktion auf einen Cybersicherheitsvorfall darin bestehen, Server zu formatieren und neu zu installieren. In extremen Fällen kann es erforderlich sein, dass Active Directory neu zu erstellen. Beides dürfte für die wenigsten die erste Option sein. Und in ganz extremen Situationen bleibt dem Unternehmen nur die Wahl, alle Server und Endgeräte neu zu installieren.

Jeglicher Schadcode oder bösartiger Software, die ein Formatieren und eine Neuinstallation überleben, müssen beispielsweise in der Firmware, der Hardware, in den Backups oder in Verwaltungs-Tools verbleiben. Derlei ist meist schwierig zu erkennen und auch zu beseitigen. Das Ganze ist dann ein sehr kostspieliger Vorgang. In den meisten Fällen genügt es, das befallene oder gefährdete Gerät neu zu installieren oder aufzusetzen.

Maersk hat sich 2017 offenbar als Reaktion auf den Sicherheitsvorfall entschieden, alle seine Server und Endgeräte neu zu installieren. Die Neuinstallation der Systeme bei Maersk soll innerhalb von 10 Tagen abgeschlossen gewesen sein, so Jim Hagemann Snabe von Maersk auf dem Weltwirtschaftsforum in Davos.

Systeme im Schadensfall neu aufsetzen

Die Standardempfehlung für die Wiederherstellung von Systemen, die mit Ransomware oder ähnlicher Schadsoftware infiziert wurden, ist die Neuinstallation der Systeme und die Wiederherstellung der Daten aus einem Backup. Dabei ist jedoch zu beachten, dass sichergestellt sein muss, dass diese Daten nicht bereits in irgendeiner Form beeinträchtigt wurden. Ein versehentliches Wiederherstellen des Schadcodes gilt es zu verhindern. Oder auch die Wiederherstellung einer Schwachstelle oder Sicherheitslücke, die den Befall durch die Malware überhaupt erst möglich gemacht haben.

Wird ein System neu aufgesetzt, sollte es mit Sicherheits-Updates auf den neuesten Stand gebracht werden und ein sicher konfiguriertes Image installiert werden. Wenn die bis dato verwendeten Sicherheitslösungen Ransomware nicht in ausreichendem Maße berücksichtigen, sollte zusätzliche oder neue Tools in Betracht gezogen werden, um den Schutz vor künftigen Ransomware-Angriffen zu verbessern.

Hat sich die Ransomware auch auf Server oder Dateifreigaben ausgewirkt, gilt es dies bei dem Wiederherstellungsprozess entsprechend zu berücksichtigen. Dann gilt es zu überprüfen, wie sich die Malware auf Server auswirken konnte, und wie man diese angemessen schützen kann. Dazu gehört auch das Verifizieren der Freigaben und Zugriffskontrollen, bevor man den Server wieder in den produktiven Betrieb nimmt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloser E-Guide: Ransomware – der Gefahr richtig begegnen

Was einen guten Vorfallreaktionsplan ausmacht

So kann man einen Ransomware-Reaktionsplan umsetzen

Erfahren Sie mehr über IT-Sicherheits-Management