Die erste Reaktion auf einen Hackerangriff kann sich entscheidend darauf auswirken, wie gravierend der Schaden letztendlich ausfällt. Mit diesem Leitfaden zeigen wir Ihnen einige der Best Practices, wie Sie auf einen Ransomware-Angriff reagieren sollten, wie Schäden effizient minimiert und Systeme so schnell und so sicher wie möglich wiederhergestellt werden können.

 

Anzeichen eines Ransomware-Angriffs

Wenn Sie auf Ihrem Computer Dateien mit seltsamen Namen und Erweiterungen bemerken, die mit keinem Programm geöffnet werden können, kann das ein Anzeichen für eine Cyber-Attacke sein. Vermutlich wird eine Mitteilung auf dem Bildschirm erscheinen und die Verschlüsselung der Daten ankündigen.
Hier ein Beispiel:

Dharma-Ransomware Entschlüsselung

„Alle Ihre Dateien wurden verschlüsselt!“

Bedauerlicherweise häufen sich Ransomware-Angriffe. Alleine im Jahr 2020 konnte ein Anstieg um über 700% verzeichnet werden. Wenn also diese Meldung auf dem Desktop erscheint und der Zugriff auf Daten nicht möglich ist, wurde das gesamte Netzwerk mit hoher Wahrscheinlichkeit bereits kompromittiert. Die Programmierung von Ransomware zielt meist darauf ab, so viele Komponenten eines Netzwerks wie möglich zu infizieren, bevor sich der Virus zu erkennen gibt.

Für die meisten Unternehmen bedeutet jede Sekunde Systemausfall den Verlust von Geld. Eine Umfrage zeigte, dass der durchschnittliche Ransomware-Angriff ein Unternehmen ca.133.000 USD kostet, einschließlich Ausfallzeiten, Lösegeldzahlungen, Netzwerkkosten, Personal – und Gerätekosten sowie entgangenen Kauf- und Geschäftsgelegenheiten. 5% der Befragten gaben Kosten zwischen 1,3 und 6,6 Millionen US-Dollar an. Die meisten Ransomware-Opfer waren im Durchschnitt sogar mehr als einmal von einer Attacke betroffen. Diese Tatsache macht die Bedeutung eines effektiven Notfallplans umso wichtiger – die Wahrscheinlichkeit, erneut Opfer einer Hackerattacke zu werden wird so deutlich reduziert.

Viele Ransomware-Angreifer setzen Ihren Opfern nur kurze Fristen für eine Datenrettung, also ist ein schnelles Handeln erforderlich. Dennoch ist es umso wichtiger, nicht in Panik zu verfallen.

Unser Spezialisten-Team hat diesen Notfallplan entwickelt, nachdem wir bereits zahlreichen Kunden erfolgreich mit der Rettung ihrer Daten helfen konnten.

 

1. Keine Panik

Bewahren Sie einen kühlen Kopf – Panikmache verleitet zu Fehlentscheidungen. Eine gut durchdachte Strategie anstatt überstürztem Handeln kann tatsächlich die Gesamtkosten der Wiederherstellung senken und auch in Zukunft vor weiteren Angriffen schützen.

 

2. Infizierte Geräte vom Netzwerk trennen

In der Regel wird keine Lösegeldforderung erscheinen, bis die Ransomware jedes Gerät im Netzwerk infiziert hat. Sollten Sie aber glücklicherweise die Ransomware bemerken, bevor eine Lösegeldforderung erscheint, ist ein schnelles Handeln unerlässlich um eine weitere Ausbreitung des Virus zu verhindern.

  • Alle Laufwerke bitte vom Netzwerk trennen.
  • WI-Fi, Bluetooth ausschalten und Ethernet-Kabel trennen.
  • Sofern möglich, das gesamte Netzwerk abschalten.
  • ggf. umgehend Remote-Mitarbeiter informieren, die mit dem infizierten Netzwerk verbunden sein könnten und auch diese Systeme so schnell wie möglich trennen und herunterfahren.

 

3. IT-Dienstleister und/oder Ihre IT-Abteilung ins Boot holen

Um ein System vollständig zu infizieren, benötigt Ransomware Zeit. Jede Sekunde zählt also um weiteren Schaden zu vermeiden.

Die umgehende Mitteilung an Ihren IT-Service-Provider sollte schnellstmöglich erfolgen. Wenn z. B. Backups in einer Cloud vorhanden sind, kann sich die Infektion bereits hierauf ausgebreitet haben. Hier liegt es am Serviceprovider weitere Schritte zu unternehmen, um den Angriff zu stoppen. Schnelles Handeln kann auch die Notwendigkeit einer Lösegeldzahlung erheblich minimieren.

Sollte Ihr Unternehmen über eine IT-Abteilung verfügen, muss diese vorsichtig auf das System zugreifen und verhindern, dass sich die Ransomware weiter ausbreitet. Sollte Ihr Unternehmen keine eigene IT-Abteilung haben, wäre es ratsam, externe Hilfe in Anspruch nehmen. BeforeCrypt spezialisiert sich auf Ransomware-Attacken. Zu unseren Kunden zählen kleine und mittelständische Unternehmen ohne eine eigene IT-Abteilung.

 

4. Dokumentation

Erstellen Sie Screenshots oder Fotos von jeder Lösegeldforderung und Screenshots von verschlüsselten Dateien (bitte nicht öffnen!). Notieren Sie sich den genauen Zeitpunkt zu dem die Attacke entdeckt wurde. Sofern möglich, laden Sie Kopien Ihrer Systemprotokolle und Serverprotokolle herunter.

Es gibt mehrere Gründe dafür, warum der Angriff sorgfältig dokumentiert werden muss. Erstens, kann es durchaus hilfreich bei der Diagnose sein, um welche Art von Ransomware es sich handelt. Für einige ältere Ransomware-Versionen, gibt es z.B. bereits öffentlich zugängliche Entschlüsselungstools für die Wiederherstellung, wobei dies eher selten vorkommt. Auch für Strafverfolgungsbehörden sind solche Beweise sehr hilfreich um Kriminelle ausfindig machen zu können. Sollte Ihr Unternehmen eine Cyber-Versicherung haben, kann eine vollständige Dokumentation erforderlich sein um Schadensersatzansprüche geltend machen zu können.

 

5. Behörden informieren

Möglicherweise ist die Meldung eines Ransomware-Angriffs an eine oder mehrere zuständige Behörden (je nach geltendem Recht) gesetzlich verpflichtend.   In der Europäischen Union muss z.B. eine Meldung gemäß der EU-Datenschutz-Grundverordnung (EU-DSGVO) eingereicht werden. In den Vereinigten Staaten verpflichtet der Health Insurance and Portability Accountability Act (HIPAA) Unternehmen im Gesundheitswesen, alle Datenschutzverletzungen umgehend zu melden.

Wenn die Art der gestohlenen Daten privater oder persönlicher Natur ist (z.B. Benutzernamen und Passwörter), muss nach geltendem EU- (und möglicherweise US-Recht) die Datenschutzverletzung in Form einer Pressemitteilung/E-Mail an Kunden und Mitarbeiter gemeldet werden, einschließlich, aber nicht beschränkt auf:

  • Die Art der Verletzung
  • Datum und Uhrzeit der Verletzung
  • Eine umfassende Schadensbewertung
  • Dokumentation alles Maßnahmen, die hierzu ergriffen wurden (z.B. Zahlung des Lösegelds, Wiederherstellung von Backups, Meldungen an die Strafverfolgungsbehörden, etc.)
  • Bereitstellung von Lösungsvorschlägen an Kunden (z.B. Änderung von Benutzername/Passwort usw.)

Keine angenehme Aufgabe, aber ein proaktives und transparentes Vorgehen ist letztendlich zu Ihrem Vorteil.

Eine ausführlichere Ausführung zu diesem Thema sowie die Kontaktdaten der zuständigen Behörden, finden Sie in unserem Artikel zu gesetzlichen Auflagen bei Ransomwarevorfällen.

 

6. Um welche Art von Ransomware handelt es sich?

Schon mal von WannaCry gehört? Bis heute eine der gefährlichsten Art von Ransomware. Bis der Virus entfernt werden konnte, waren bereits über 25% der britischen Systeme der National Health Services (NHS) infiziert – von Servern bis hin zu Beatmungsgeräten!

Jede Variante von Ransomware (und es gibt unzählige) ist anders programmiert und entsprechend ist auch die Vorgehensweise individuell. Die beiden häufigsten Lösegeldforderungen sind jedoch:

  • Lösegeldforderungen für Bildschirmsperren (geringfügig leichter zu entsperren)
  • Lösegeldforderungen für verschlüsselte Dateien.

 

7. Backups prüfen

Die wohl einfachste Lösung ist die Wiederherstellung Ihres Systems aus einem Backup vor der Infektion. Allerdings muss hier der genaue Zeitpunkt des Angriffs bekannt sein, damit keine erneute Infektion erfolgen kann. Am besten prüfen Sie vorher Systemprotokolle. Eine einfache Systemwiederherstellung ist hingegen in der Regel keine gute Lösung für Ransomware, weil hier tief im System vorhandene Elemente der Malware wiederhergestellt werden könnten.

In einigen Fällen kann Ransomware auch Ihre Backups infizieren. In diesem Fall kann man leider nichts mehr tun, außer den Lösegeldforderungen der Angreifer nachzugeben, oder das gesamte System zu löschen und den Verlust Ihrer Daten zu akzeptieren.

 

8. Ursachenbeseitigung

Ein wichtiger Schritt ist die Ursachenbeseitigung, d.h. zu erkennen, wie das System überhaupt infiziert werden konnte. Wenn das Einfallstor nicht geschlossen werden kann, ist es unsächlich, ob Sie das geforderte Lösegeld zahlen oder Ihre Daten mit einem Backup wiederherstellen – Ihr System ist weiterhin dem Risiko einer erneuten Infektion ausgesetzt.

Die meisten Ransomware-Angriffe beginnen entweder durch Phishing oder Exploits.

Phishing-Angriffe passieren in der Regel in Form einer E-Mail oder Website. Hacker können E-Mails oder Webseiten seriöser Unternehmen oder Regierungsbehörden imitieren und dann dadurch Mitarbeiter dazu verleiten, auf einen Link zu klicken oder einen Anhang herunterzuladen, der die Malware enthält. Einen Artikel zur Phishing-Prävention finden Sie hier.

Wenn die Ransomware-Infektion aufgrund einer Sicherheitslücke in Ihrem System aufgetreten ist, muss diese behoben werden bevor Daten wiederhergestellt werden können. Viele Schwachstellen entstehen durch die Verwendung älterer Softwareversionen, daher muss das System mit Exploits und Patches auf dem Laufenden gehalten werden, um das Risiko einer Attacke zu minimieren.

 

9. Optionen

Welche Möglichkeiten habe ich nun?

  1. Verwendung eines Entschlüsselungstools. Diese Option funktioniert leider nur mit veralteter Ransomware. Natürlich lohnt sich eine Recherche, die Erfolgsquote ist allerdings gering. Wenn bekannt ist um welche Ransomware-Version es sich handelt, kann hier geprüft werden ob ein kostenloses Tool verfügbar ist.
  2. Wiederherstellung aus Backups. Ein aktuelles, virenfreies Backup ist selbstverständlich die beste Option.
  3. Lösegeldzahlung Eine der letzten Möglichkeiten, die in Betracht gezogen werden sollte.
  4. Verlust der Daten akzeptieren. Eine Lösegeldzahlung sollte nach Möglichkeit immer vermieden werden. Den Lösegeldforderungen nachzugeben, liefert Hackern einen (finanziellen) Anreiz, weitere Unternehmen zu erpressen und verschlimmert das globale Problem. Die Entscheidung, die Sie als Unternehmer treffen müssen, basiert auf einer einfachen wirtschaftlichen Rechnung: sind die Kosten für den Verlust der Daten höher als die Lösegeldforderung? Wenn ja, ist eine Lösegeldzahlung unumgänglich.

 

10. Sicherung der verschlüsselten Dateien

Die Sicherung verschlüsselter Dateien ist ein äußerst wichtiger Teil des Prozesses. Kurz nachdem der Vorfall entdeckt wurde und klar ist um welche Ransomware-Variante es sich handelt, sollte als nächstes ein Backup aller verschlüsselten Dateien erstellt werden. Sollte es zu Problemen während des Entschlüsselungsprozesses kommen, steht noch immer noch eine Kopie der Dateien für einen neuen Versuch zu Verfügung.

 

11. Wiederherstellung der Daten

Wenn ein sicheres Backup vorhanden ist, können (nach Schließung der Sicherheitslücke!) die Daten wiederhergestellt werden. Hacker sind sich dieser Strategie allerdings bewusst, daher zielen viele Ransomware-Varianten auf eine Verschlüsselung von Backups ab. Bevor ein Backup für eine Systemwiederherstellung verwendet werden soll, sollte also in jedem Fall sichergestellt werden, dass sich hier keine Ransomware versteckt.

Sollte es keinen anderen Ausweg geben, muss eine Lösegeldzahlung erfolgen.

Wir raten Opfern von Ransomware-Angriffen dringend davon ab, selbst mit Hackern zu verhandeln. Hacker könnten versuchen, unwissende Opfer mit (leeren) Drohungen unter Druck zu setzen. Zum Beispiel können die Angreifer behaupten, dass ein gewöhnlicher Ransomware-Angriff ein weitaus gefährlicherer Leakware-Angriff (hier beschrieben) sei.

Um mit Hackern verhandeln zu können, müssen Sie selbstbewusst auftreten und wissen, was Sie tun. Es ist gut möglich, dass die Hacker den tatsächlichen Wert Ihrer Daten möglicherweise nicht kennen oder verkennen. Unerfahrene Unterhändler können in diesem Fall versehentlich Informationen preisgeben, die die Lösegeldforderungen in die Höhe treibt.

Die meisten Ransomware-Angriffe werden von kriminellen Banden verübt. Unser Team sammelt Daten über Ransomware-Vorfälle, um die Arbeitsweise verschiedener Gruppierungen zu verstehen und die besten Methoden für den Umgang mit ihnen auszuarbeiten. Fachleuten die Verhandlung und die Zahlung des Lösegelds zu überlassen, kann sich letztendlich also kostensparender erweisen.

Ein weiterer zu berücksichtigender Faktor ist der Zeitaufwand, der zur Wiederherstellung von Backups erforderlich ist. Falls Terabyte an Daten wiederhergestellt werden müssen, kann dies Tage in Anspruch nehmen. Wenn Ihr Unternehmen aufgrund des Betriebsausfalls jedoch täglich viel Geld verliert, könnte sich eine Lösegeldzahlung als die wirtschaftichere Lösung erweisen.

Wichtig: ein älteres Backup auf den neuesten Stand zu bringen kostet ebenfalls und sollte miteinkalkuliert werden.

 

12. Kommunikation mit den Hackern

Bedauerlicherweise gibt es manchmal keinen anderen Ausweg, als mit den Erpressern in Kontakt zu treten. Wir empfehlen die Zusammenarbeit mit erfahrenen professionellen Verhandlungsführern, um eine Reihe von Komplikationen zu vermeiden:

Höhere Lösegeldforderungen

Während der Verhandlungen sollte bei den Erpressern der Eindruck erweckt werden, dass Sie bereit wären Datenverluste zu akzeptieren oder dass Sie nicht über die finanziellen Mittel verfügen, um zusätzliche Zahlungen zu leisten – andernfalls könnten die Lösegeldforderungen steigen.

Hacker können die Kommunikation dazu verwenden, weitere Ziele anzuvisieren

Erpresser verwenden oftmals aus der Kommunikation gewonnene Informationen um z.B. Identitätsdiebstahl zu betreiben oder weitere Angriffe auszuführen. Unser erfahrenes Spezialisten-Team verwenden für die Kommunikation mit Erpressern ausschließlich anonyme Wegwerf-E-Mail-Adressen, um unsere Kunden zu schützen.

Das Entschlüsselungstool funktioniert nicht.

Manchmal funktioniert das von den Angreifern bereitgestellte Entschlüsselungstool nicht. In diesem Fall muss geprüft werden, ob der Schlüssel korrekt ist. In einigen Fällen kann es mehrere Schlüssel geben, die den Entschlüsselungsprozess erschweren können.

Das Entschlüsselungstool transportiert einen Trojaner.

Es kommt auch vor, dass Hacker das Lösegeld kassieren, aber ein anderes Virus in das Entschlüsselungstool platzieren. Es ist also ratsam, das Entschlüsselungstool vor der Verwendung in einer sicheren Umgebung (z.B. eine isolierte virtuelle Maschine) zu testen und gründlich auf Malware zu überprüfen.

Der Kontakt zu den Erpressern geht verloren.

Hacker sind Kriminelle und oftmals ständig auf der Flucht. Manchmal können die E-Mail-Adressen der Hacker von Strafverfolgungsbehörden gesperrt werden, sodass keine Kommunikation mehr stattfinden kann. Aus diesem Grund hat unser Team eine Datenbank mit Informationen zu bestimmten Hackerbanden zusammengestellt und verfügt über alternative Methoden, um an neue Kontaktdaten zu gelangen.

Die beste Verhandlungsstrategie ist von einer Reihe von Faktoren abhängig:

  • Mit welcher kriminellen Vereinigung man es zu tun hat.
  • Die Vorgehensweise der Kriminellen in der Vergangenheit
  • Die Menge und Art von Informationen, die die Hacker über Sie haben.
  • Wie die Hacker den Wert der kompromittierten Daten einschätzen.

Wir führen Aufzeichnungen über öffentlich gemeldete Fälle und dokumentieren auch unsere eigenen Erfahrungen mit Ransomware Recovery. Wir verwenden diese Informationen dann, um unsere Verhandlungsstrategien zu optimieren, um die besten Ergebnisse für unsere Kunden zu erzielen.

In allen uns bekannten Gerichtsbarkeiten ist die Zahlung des Lösegeldes legal. Das FBI positioniert sich hierzu neutral. Auf der Webseite des FBI wird hierzu erklärt:

„Die Zahlung von Lösegeldern ermutigt Kriminelle, andere Organisationen ins Visier zu nehmen und bietet anderen Kriminellen ein verlockendes und lukratives Unternehmen. Das FBI ist sich jedoch darüber im Klaren, dass Führungskräfte, wenn Unternehmen mit einer Unfähigkeit zur Funktion konfrontiert sind, alle Optionen zum Schutz ihrer Aktionäre, Mitarbeiter und Kunden prüfen werden.“

FBI IC3 Public Service Announcement

Das FBI empfiehlt Unternehmen einen soliden Präventionsplan (z. B. Schulung von Mitarbeitern und robuste Präventionsmethoden) und einen Business Continuity-Plan im Falle eines katastrophalen Datenverlusts zu haben.

13. Erwerb und Transaktionen von Kryptowährungen.

Hacker fordern Lösegeldzahlungen in Form von Bitcoins oder anderen Kryptowährungen. Um Bitcoins oder eine andere Kryptowährung erwerben zu können, benötigen Sie ein Konto bei einer Kryptowährungsbörse oder einem Broker. Dies erfordert in der Regel einen Verifizierungsprozess nach dem Know-Your-Customer/Geldwäsche-Gesetz (KYC/AML). Leider kann dieser Prozess mehrere Tage in Anspruch nehmen, vor allem, wenn eine große Summe benötigt wird.

Coinbase und BitPanda sind die beiden beliebtesten Websites, um Bitcoin zu kaufen und zu verkaufen. Es gibt auch die Möglichkeit, Bitcoin per Debit- oder Kreditkarte und PayPal zu erwerben, allerdings ist diese Option in der Regel mit hohen Gebühren verbunden. Ein weiterer Vorteil in der Beauftragung eines professionellen Ransomware-Dienstleisters ist, dass wir bereits über Bitcoin-Reserven verfügen und somit zusätzliche Verzögerungen oder Gebühren vermieden werden können.

Bei der Zahlung von Kryptowährungen sollte Ihnen bewusst sein, dass die Transaktionen absolut irreversibel sind! Die korrekte Eingabe der Daten ist unerlässlich, denn wenn hier ein Fehler passiert, können die Mittel nicht zurückgefordert werden. Auch die hierbei anfallenden Gebühren sind von großer Bedeutung. Andernfalls kann es zu Verzögerungen oder stornierten Transaktionen kommen. Eine vollständige Anleitung zu Bitcoin-Gebühren finden Sie hier.

Bei der Zahlung sollten Sie auch darauf achten, die Vorschriften des United States Office of Foreign Assets Control (OFAC) einzuhalten. Die OFAC ist für die Durchsetzung von Sanktionen gegen kriminelle und terroristische Organisationen und Vereinigungen zuständig. Wenn Sie eine Transaktion an eine von OFAC sanktionierte Stelle vornehmen und diese nicht mit Nötigung/Erpressung beweisen können, könnten rechtliche Konsequenzen auf Sie zukommen. Mehr dazu finden Sie hier.

 

14. Präventive Vorsichtsmaßnahmen

Umfragen zeigen, dass man mehr als einmal Opfer einer Hackerattacke werden kann. Ein Grund hierfür können laxe Sicherheitsmaßnahmen sein. Selbstverständlich sollte das Unternehmen seinen Betrieb so schnell wie möglich wieder aufnehmen, es ist jedoch von enormer Wichtigkeit, präventive Vorsichtsmaßnahmen zu treffen um weitere Attacken zu vermeiden.

Der erste Schritt ist gründliche Bereinigung des Systems um die gesamte Ransomware und Malware zu entfernen. Der zweite Schritt ist die Überprüfung aller Softwareversionen auf Schwachstellen und eventueller Updates.

Nach einem Ransomware-Angriff muss möglicherweise der gesamte Betriebsablauf angepasst werden. Es können z. B. Backups auf einem Offlinespeichermedium oder Server erstellt werden, das vom Netzwerk isoliert ist. Ein Antiviren-Screening während des gesamten Prozesses ist ebenso ratsam. Hier finden Sie eine gute Anleitung die zeigt, wie man Backups vor Ransomware schützen kann.

Alle Mitarbeiter sollten intensiv geschult werden und ihr Sicherheitsbewusstsein für das Öffnen von E-Mail-Anhängen und extrernen Webseites gestärkt werden.

Positiv denken

Sehen Sie es doch mal so: ein Ransomware-Angriff ist eine gute Gelegenheit, die Betriebsabläufe und die Sicherheit in Ihrem Unternehmen zu verbessern. Dadurch könnte Ihr Unternehmen langfristig stärker werden. Und auch wenn Ransomware-Angriffe einige Unternehmen in die Knie gezwungen haben, sind die meisten Opfer doch noch mit einem blauen Auge davon gekommen.

Brauchen Sie Hilfe? Sie können uns jederzeit für eine kostenlose Beratung kontaktieren.