Angriffe durch Ransomware wurden in der jüngsten Vergangenheit durch zahlreiche prominente Opfer und entsprechende Medienberichte einer breiten Öffentlichkeit bekannt. Natürlich ist es immer oberstes Ziel, solche Angriffe im Vorfeld abzuwehren. Da dies aber nicht immer gelingt, ist es gut, sich im Vorfeld über den möglichen Ernstfall Gedanken zu machen.
Diese Checkliste soll Ihnen dabei helfen, den Ernstfall für Ihr Unternehmen durchzudenken und für den Fall der Fälle handlungsfähig zu sein.
Ruhe bewahren:
Rasches, aber ruhiges Handeln ist jetzt notwendig. Beginnen Sie, die Schritte Ihres Ernstfall-Plans abzuarbeiten, sofern Sie einen erstellt haben. Falls nicht, halten Sie sich an die Schritte in dieser Checkliste.
Versuchen Sie zunächst, die möglichen Konsequenzen des Vorfalls zu skizzieren: welche Bereiche und Systeme könnten betroffen sein?
Legen Sie ein geregeltes Kommunikationsprotokoll fest: wer bekommt in welchen Abständen Informationen? Dadurch vermeiden Sie weitere Unsicherheit und ständiges Rückfragen.
Informieren Sie außerdem zeitnah alle relevanten Behörden (Polizei, Datenschutzbehörde) über den Angriff
Isolieren Sie Ihre Systeme und stoppen Sie die Verbreitung des Angriffs:
Sie haben dabei verschiedene Möglichkeiten, die Ausbreitung zu verhindern, bspw. indem Sie Netzbereiche über Switches oder Firewalls isolieren, die Internetverbindung und/oder WiFi trennen.
Versorgen Sie aber weiterhin alle Systeme mit Strom, um weiteren Datenverlust zu verhindern.
Bedenken Sie aber auch, dass die Angreifer im Falle Ihrer Intervention eventuell reagieren
Versuchen Sie, die Ransomware-Variante zu identifizieren:
Von vielen Ransomware-Angriffen gibt es öffentliche Dokumentationen über Vorgehensweisen und Techniken der Angreifer (TTPs – Tactics, Techniques and Procedures). Dadurch können Sie eventuell Hinweise auf das Verhalten der Angreifer erhalten. Außerdem könnten eventuell bereits Entschlüsselungs-Tools für den vorliegenden Angriff verfügbar sein.
Ein Upload der Ransomware auf www.id-ransomware.malwarehunterteam.com kann helfen, die Ransomware-Variante zu identifizieren. Anschließend kann über www.nomoreransom.org nach Entschlüsselungs-Tools gesucht werden.
Identifizieren Sie den Eintrittspunkt des Angreifers:
Indem Sie diesen Punkt identifizieren, schließen Sie Ihre Sicherheitslücke. In der Regel werden Sie dafür Unterstützung mit entsprechender Expertise benötigen.
Identifizieren Sie alle betroffenen Systeme und Konten:
Selbst nach Beendigung eines Angriffs ist davon auszugehen, dass die Angreifer noch Ihre Systeme kompromittieren, bspw. durch Active-Directory Accounts oder Group Policy Objects. Dokumentieren Sie alle verdächtigen Elemente, bevor (!) Sie Maßnahmen dagegen ergreifen. Sobald Sie dagegen vorgehen, kann der Angreifer reagieren und einen weiteren Angriffsversuch starten.
Identifizieren Sie möglichen Datenverlust:
Suchen Sie nach Anzeichen von nicht autorisiertem Datenverkehr auf Ihren Firewalls sowie auffälliger Kommunikation zwischen Servern und Clouddiensten.
Häufig zielen Erpressungsversuche auf erbeutete vertrauliche Daten Ihres Unternehmens ab.
Abb.: Eine Checkliste für den Ernstfall spart Zeit und Geld
Analysieren Sie Ihre Backups sowie deren Verfügbarkeit:
Häufig zielen Angreifer auch auf Ihre Backuplösungen und versuchen, diese unbrauchbar zu machen. Außerdem können sich die Angreifer bereits seit Tagen oder Wochen unbemerkt in Ihren Systemen aufhalten und daher Ihre Backups bereits seit geraumer Zeit kompromittieren.
Durch die Identifikation des initialen Eintrittspunkts (Punkt 4) sollten Sie eine relativ genaue Einschätzung haben, wie lange die Angreifer bereits in Ihren Systemen sind. Ihr Ziel ist es nun, das letzte nicht kompromittierte Backup zu identifizieren und zu installieren.
Klären Sie ab, inwieweit Sie Informationspflichten hinsichtlich des Angriffs haben:
Gemäß DSGVO ist jede „Schutzverletzung personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO) unverzüglich bei der Datenschutzbehörde meldepflichtig (www.dsb.gv.at).
Die von der Schutzverletzung ihrer Daten betroffenen Personen müssen nur dann informiert werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, so muss er diese unverzüglich dem Verantwortlichen melden.
Bei einem Erpressungsversuch handelt es sich zudem um eine Straftat und diese sollte zur Anzeige gebracht werden.
Umgang mit der Erpressung:
Die Zahlung eines Lösegeldes wird von Sicherheitsexperten grundsätzlich nicht empfohlen, da es keine Garantie für die Lösung Ihres Problems gibt. Die Malware könnte fehlerhaft sein und die Entschlüsselung daher fehlschlagen. Außerdem beweist Ihre Zahlung, dass der Angriff erfolgreich war und der Angreifer weitere derartige Angriffe lancieren kann.
Nachbesprechung und Adaption des Ernstfall-Plans:
Ihr Notfall-Plan wurde nun im Ernstfall getestet und hat mit großer Wahrscheinlichkeit einige Schwächen gezeigt. Adaptieren Sie den Plan auf Basis der gewonnen Erkenntnisse, um für weitere Notfälle gerüstet zu sein.