zephyr_p - stock.adobe.com
Ein Ransomware-Recovery-Plan für KMUs in vier Schritten
Häufig sind kleine und mittlere Unternehmen (KMUS) von einem Erpressungsversuch durch Verschlüsselung wichtiger Daten betroffen. Oft fehlen Erfahrung und Budgets für Gegenmaßnahmen.
Die IT steht heute vor zwei großen Problemen: Zum einen muss man den Geschäftsablauf sicherstellen, und zum anderen muss man das Geschäft vor allen möglichen Gefahren schūtzen. Angriffe mit Ransomware, bei denen es um die Erpressung von Lösegeld geht, sind zu einer ernsthaften Bedrohung von Geschäftsprozessen geworden: Laut Cybersecurity Ventures wird der Schaden allein für 2017 auf etwa fünf Milliarden Dollar geschätzt.
Im Jahr 2016 waren im Durchschnitt 33 Prozent aller Unternehmen von einer erfolgreichen Ransomware-Attacke betroffen. Wie der Ransomware-Report KnowBe4 berichtet, waren durchschnittlich sechs Workstations und zwei Server durch Erpressungs-Software infiziert. Um die Sache noch schlimmer zu machen, waren kleine und mittlere Unternehmen (KMUs) besonders stark von den Ransomware-Attacken betroffen (laut dem erwähnten Report zu 88 Prozent im Durchschnitt). Dies liegt an den offensichtlichen Unterschieden zwischen den KMU-IT-Abteilungen und jenen bei den größeren Unternehmen: weniger Personal, Budget und Zeit, um sich einem Recovery-Plan widmen zu können.
Wer jetzt glaubt, dass IT-Abteilungen mit einer scheinbar beeindruckenden Verteidigungsstrategie auf verschiedenen Ebenen – mit Security-Software, Anwenderschulungen und nicht zuletzt aktiven Phishing-Übungen und -Tests – besser dran wären, muss zur Kenntnis nehmen, dass immerhin 22 Prozent von ihnen im letzten Jahr ebenfalls zu Opfern von Ransomware-Attacken wurden.
Wenn IT-Administratoren von KMUs ihre Position zu Ransomware-Recovery festlegen, sollten sie realistischerweise sagen „Es wird passieren“ und nicht nur „Es könnte passieren“.
Was sollten also KMUs tatsächlich und vorbeugend unternehmen, um im Fall von Ransomware-Attacken rechtzeitig Gegenmaßnahmen zu ergreifen?
Die entsprechenden Schritte sind ähnlich wie bei einem großen Unternehmen, aber der Recovery-Plan bei Ransomware-Attacken wird deutlich einfacher ausfallen und sich auf weit weniger Endpunkte und Data Sets erstrecken.
Schritt 1: Identifizieren von betriebskritischen Datensätzen und Systemen
Wer ist betroffen: IT-Team, Management, Power User und die Leiter der Geschäftsabteilungen.
Um was geht es: Man muss jene Endpunkte und Data Sets auswählen, ohne die die Geschäftsprozesse nicht funktionieren. Sollten sie von den Angreifern verschlüsselt werden, könnte das einen irreparablen Schaden für die Geschäftsprozesse bedeuten. Man muss sich deshalb die Frage stellen, wie lange man ohne diese Daten oder Systeme überleben kann. Und das betrifft alle Abteilungen des Unternehmens.
Wie lange sollte dies dauern: Wenn man sie nach dem Top-Down-Prinzip in allen betroffenen Geschäftsabteilungen und bei besonderen Anwendungen, Datensätzen und Workstations durchführt, muss man mit mehreren Stunden rechnen.
Schritt 2: Einen Recovery-Plan bestimmen und bereitstellen
Wer ist betroffen: Die IT-Abteilung.
Um was geht es: Man erstellt einen Recovery-Plan in der Annahme, dass ein oder mehrere Data Sets und Systeme durch Ransomware verschlüsselt worden sind und dass das Lösegeld entweder zu hoch ist oder dass die Entschlüsselung nicht funktioniert. Man nimmt die Liste der Daten und Systeme von Schritt 1 und entwickelt rückwärts Recovery Time und Recovery Point Objectives, die dann bei der Erstellung der Backup-Definitionen hilfreich sind.
Wie lange sollte dies dauern: Angenommen, eine Person ist für das Backup verantwortlich oder das Backup-Team ist relative klein, sollte der Plan in ein paar Minuten aufzustellen sein und das Backup selbst dauert dann einige Stunden.
Schritt 3: Ziele eines erfolgreichen Ransomware-Angriffs erkennen
Wer ist betroffen: IT-Team und Geschäftsführung.
Um was geht es: Handelt es sich nur um einen einzigen nicht-kritischen Angriffspunkt oder war es eine umfassende Ransomware-Attacke, die die Finanzoperationen des CEOs infizierten, E-Mails an andere Mitarbeiter sendete und außerdem andere Ziele im Firmennetzwerk infizierte?
Wie lange sollte dies dauern: Hierzu gibt es keine klaren Antworten. Gegenmaßnahmen hängen davon ab, welche Monitoring- und Alarm-Tools im Einsatz sind. In einigen Fällen wird man diesen Schritt im Recovery-Plan manuell anstoßen müssen.
Schritt 4: Wiederherstellung
Wer ist betroffen: Die IT-Abteilung.
Um was geht es: Die Wiederherstellung der kompletten Systemumgebung (Daten, Anwendungen und Maschinen) in den Zustand vor der Ransomware-Attacke.
Wie lange sollte dies dauern: Die Antwort hängt davon ab, wie man seine Backups organisiert hat – zum Beispiel File- oder Image-Backup, Cloud- oder lokales Backup, Restore in lokale oder Cloud-Umgebung usw.
Ransomware-Recovery zum Nulltarif?
Die meisten Anwender und Firmen verfügen entweder über kein eigenes Budget für besondere Recovery-Maßnahmen bei Ransomware-Attacken oder über extra abgestellte Mitarbeiter, die sich im Ernstfall darum kümmern können. Wer davon ausgeht, Zeit und Geld für die oben beschriebenen Schritte zu haben, sollte berücksichtigen, dass es sich vor allem um Zeit handelt – eine nur schwierig in konkrete Ausgaben umzurechnende Größe. Im Falle einer Ransomware-Attacke wird ein Unternehmen jedoch die wirklichen Kosten eines Ausfalls der IT schmerzlich erfahren, weshalb man es sich nicht zweimal überlegen sollte, einen Recovery-Plan aufzusetzen, selbst wenn er etwas kostet.
Wer über kein eigenes IT-Personal verfügt, sollte sich an einen Service-Anbieter wenden, der bereits Recovery-Erfahrungen besitzt und der bei den Grundlagen der Notfallplanung helfen sollte. Da die Auswirkungen eines Ransomware-Angriffs im Vorhinein nicht genau bekannt sind, ist eine gründliche Vorbereitung extrem wichtig.
Die Wiederherstellung der Daten und IT-Systeme sicherstellen
Die beste proaktive Einstellung geht davon aus, dass eine Attacke die Randpunkte der IT-Infrastruktur, der E-Mail- und der Netzwerk-Security überwindet und dass man dafür entsprechende Maßnahmen entwickelt hat. Wer einen Recovery-Plan in der Hinterhand hat, entschärft schon damit die Gefahr einer realen Attacke – man ist schließlich gut vorbereitet. Es geht dann nur noch darum, innerhalb von einigen Stunden das Netzwerk wieder voll funktionsfähig zu machen als tatsächlich mit einem Stopp aller IT-Aktivitäten konfrontiert zu sein.
Wer die oben angeführten Schritte befolgt, kommt schnell zu einem Recovery-Plan für Ransomware-Attacken, mit dem die geschäftlichen Aktivitäten am Laufen bleiben und mit dem die IT-Abteilung der Gefahr gelassener ins Auge blicken kann.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!