Einen Ransomware-Reaktionsplan umsetzen und aktuell halten

Ransomware verschlüsselt nicht mehr nur einzelne Maschinen. Aktuelle Erpressertrojaner gehen direkt gegen Firmen vor, die sich am besten mit einem Reaktionsplan davor schützen.

Immer häufiger richten sich Attacken durch Erpressungstrojaner auch gegen Unternehmen oder sogar kommunale Verwaltungen. Es wird deswegen immer wichtiger, eigene Reaktionspläne gegen die Erpresser zu entwickeln und sie aktuell zu halten. Diese Pläne treten immer dann in Kraft, wenn eine Ransomware zuschlägt. Hier erfahren Sie, welche Maßnahmen Sie ergreifen können, wenn Ihre IT mit einer erpresserischen Malware infiziert wird.

Eine wirkungsvolle Reaktion auf eine Ransomware-Attacke besteht aus weit mehr, als nur die betroffenen Daten aus einem funktionierenden Backup wiederherzustellen. Zu jedem IT-Sicherheitsprogramm sollte deswegen auch ein umfassender Ransomware-Reaktionsplan gehören, der zudem mit einer Feedback-Schleife ausgestattet ist. So kann das IT-Sicherheitsprogramm aktualisiert werden, wenn im Laufe eines Vorfalls neue Schwachstellen entdeckt wurden.

In den vergangenen Monaten wurde in den Medien vor allem über schwerwiegende Angriffe durch Ransomware auf große Unternehmen berichtet. Immer häufiger werden aber auch kleinere Unternehmen, Behörden und ganze Stadtverwaltungen das Ziel der Erpresser. Zuletzt wurde eine Attacke auf die Verwaltung von Atlanta bekannt. Die Auswirkungen dieses Angriffs hätten sich durch einen Ransomware-Reaktionsplan reduzieren lassen.

In diesem Artikel stellen wir Reaktionspläne und geeignete Maßnahmen vor, die bei Ransomware-Attacken in Kraft treten können. So erfahren Sie, wie Unternehmen und andere Organisationen am besten auf diese Art von Angriffen reagieren können.

Ransomware-Reaktionspläne

Wenn es um Ransomware geht, dreht es sich schon lange nicht mehr nur um einzelne Clients, deren Daten verschlüsselt wurden. Ein ganzer Server, eine Anwendung oder sogar in der Cloud gespeicherte Daten werden heutzutage verschlüsselt und als Druckmittel für eine Lösegeldforderung verwendet. Auch wenn sich die spezifischen Details dieser Ransomware-Attacken von Fall zu Fall unterscheiden, gilt doch für alle: Die Auswirkungen lassen sich erheblich reduzieren, wenn rechtzeitig ein umfassender Reaktionsplan erstellt wurde.

Ein Reaktionsplan für eine Attacke durch Ransomware sollte zusätzlich noch durch einen Notfallplan, einen Business-Continuity-Plan sowie eventuell auch durch einen Disaster-Recovery-Plan ergänzt werden. Sie alle werden möglicherweise benötigt, wenn ein Vorfall eintritt.

Ein Standardreaktionsplan enthält Informationen darüber, wie sich ein Vorfall untersuchen lässt, welche Beweise gesammelt werden müssen, wichtige Kontaktinformationen, Hinweise zur Analyse der Ursache des Vorfalls, welche Daten in Berichte gehören, Kontrollmaßnahmen, mit denen sich weitere Vorfälle verhindern lassen, und Angaben dazu, zu welchem Zeitpunkt Polizei und Regulierungsbehörden informiert werden müssen. Treten Situationen auf, die nicht in dem Plan beschrieben wurden oder wenn weitere Informationen benötigt werden, sollten sie nach dem Vorfall ebenfalls in den Reaktionsplan des betroffenen Unternehmens mit aufgenommen werden.

Wenn Sie einen eigenen Reaktionsplan entwerfen wollen, dann finden Sie dazu zahlreiche nützliche Informationen beim amerikanischen National Institute of Standards and Technology (NIST). Sie zeigen, welche Maßnahmen Unternehmen und Behörden nach einem Angriff durch Ransomware und den dadurch möglicherweise auftretenden verheerenden Schäden ergreifen können. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Themenpapiere und Lagedossiers zum Thema Ransomware veröffentlicht. Dabei darf jedoch nicht vergessen werden, dass jeder Vorfall anders abläuft und einzigartige Herausforderungen bietet, auf die individuell reagiert werden muss.

Ein guter Reaktionsplan gegen Ransomware sollte auf folgende Situationen und Maßnahmen vorbereitet sein:

  • Begrenzung des Vorfalls: Bei jedem Vorfall treten nur kurz verfügbare Beweise und Hinweise auf die Täter auf. Wenn es um Ransomware geht, kann zu diesen Daten auch der Schlüssel zur Wiederherstellung der Daten gehören – wenn die Untersuchung beginnen kann, bevor der zur Verschlüsselung verwendete Schlüssel gelöscht wird. In manchen Fällen, wenn der Angriff rechtzeitig bemerkt wurde, ist es sogar möglich, die Verschlüsselung der Daten noch zu unterbrechen.
  • Gründliche Untersuchung: Manche Ransomware verwendet eine schwache Verschlüsselung, zu der es bereits eine öffentlich verfügbare Lösung durch einen Security-Anbieter oder einen Sicherheitsforscher gibt, um so wieder an die verschlüsselten Daten zu kommen.
  • Kontaktaufnahme mit den Behörden: Eventuell müssen die IT-Mitarbeiter bei einem schwerwiegenden Angriff möglichst bald Kontakt mit den Untersuchungsbehörden aufnehmen. Das trifft insbesondere zu, seit durch die Datenschutz-Grundverordnung (DSGVO) die Strafen für nicht gemeldete Vorfälle deutlich verschärft wurden. Experten der Behörden oder auch des BSI sind zudem möglicherweise in der Lage, nützliche Hinweise zu geben, wenn in Betracht gezogen wird, das geforderte Lösegeld zu zahlen. Sie verfügen teils über weitere Informationen, wenn es um eine spezifische Ransomware oder um eine bestimmte kriminelle Organisation geht, die versucht, Geld zu erpressen.

Reaktionen auf Ransomware in Unternehmen

Der erste Schritt in jedem Reaktionsplan ist, den Umfang und die Auswirkungen des Vorfalls zu bestimmen. Unternehmen können abhängig von diesen Informationen verschiedene Maßnahmen ergreifen, die im Reaktionsplan beschrieben sein sollten.

Jeder Reaktionsplan auf eine Attacke durch Ransomware sollte außerdem ausgiebig getestet werden. Durch die Überprüfung und Analyse der zu ergreifenden Maßnahmen können Unternehmen herausfinden, ob die vorhandenen Tools ausreichen, um schnell und effektiv auf die Attacke reagieren zu können, oder ob weitere Werkzeuge benötigt werden, um einen Vorfall einzugrenzen. Je nach Situation lassen sich diese Tests jährlich, vierteljährlich oder sogar monatlich durchführen, um den Reaktionsplan auf Herz und Nieren zu testen und um die Mitarbeiter und das gesamte Unternehmen vorzubereiten. Teilnehmen sollten daran alle betroffenen Spezialisten aus der Technik, der Unternehmenskommunikation und der rechtlichen Beratung.

Darüber hinaus sollte geprüft werden, wie gut die Backups funktionieren, wenn es um die Wiederherstellung der Geschäftsaktivitäten nach einem Angriff durch Ransomware geht. Außerdem muss bekannt sein, ob und welche der genutzten Security-Tools über Funktionen verfügen, die nach oder während eines Vorfalls hilfreich sind. Überprüft werden sollte dabei auch, ob sich ein mit Ransomware verseuchtes Testsystem mit Hilfe eines bekannt funktionierenden Backups wiederherstellen lässt oder nicht. Je nach verwendeter Backup-Lösung wird nur die letzte Version einer Datei oder nur eine begrenzte Zahl an Versionen gesichert. Auch aus diesem Grund ist es eine gute Idee, die Wiederherstellung der Daten und den Zugriff auf kritische Systeme ausgiebig zu testen.

Mittlerweile verfügen einige Lösungen zur Endpoint-Sicherheit ebenfalls über Funktionen zum Schutz vor Ransomware. Es sollte zudem geprüft werden, ob eine eventuell vorhandene Versicherung gegen Security-Vorfälle auch Schäden durch Ransomware abdeckt.

Der Vergleich zwischen potenziellen Schäden durch Malware und den zum Schutz vor diesen Bedrohungen verursachten Kosten beschäftigt IT-Entscheider seit langem. Die durch Ransomware verursachten Kosten – unabhängig von der Frage, ob das geforderte Lösegeld gezahlt wird oder nicht – werden immer höher und schädigen betroffene Unternehmen teilweise massiv. Es wird deswegen immer wichtiger, vorher schon zu wissen, wie sich diese Kosten gegeneinander abwägen lassen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloser E-Guide: Ransomware – der Gefahr richtig begegnen

Mobile Ransomware bringt Angreifer ins Firmennetz

So kann man sich vor Ransomware schützen

Erfahren Sie mehr über IT-Sicherheits-Management