Oft gibt es keine einfache Lösung für einen Ransomware-Angriff, aber Ihre Reaktion hierauf kann entscheidend sein, wie gravierend der Schaden letztendlich ausfällt. Dieser Leitfaden zeigt Ihnen einige der Best Practices, wie Sie auf einen Ransomware-Angriff reagieren sollten, wie Schäden minimiert und Systeme so schnell und so sicher wie möglich wiederhergestellt werden können.
Anzeichen eines Ransomware-Angriffs
Wenn Sie auf Ihrem Computer Dateien mit seltsamen Namen und Erweiterungen bemerken, die mit keinem Programm geöffnet werden können, kann dies ein Anzeichen für eine Cyber-Attacke sein. In der Regel werden Sie eine Mitteilung auf Ihrem Bildschirm sehen, die eine Verschlüsselung Ihrer Daten ankündigt. Dies kann z.B. so aussehen:
„Alle Ihre Dateien wurden verschlüsselt!“
Bedauerlicherweise häufen sich Ransomware-Angriffe – im Jahr 2020 konnte ein Anstieg um über 700% verzeichnet werden. Wenn Sie eine Meldung wie diese sehen und feststellen, dass Sie nicht auf Ihre Dateien zugreifen können, besteht eine hohe Wahrscheinlichkeit, dass Ihr gesamtes Netzwerk kompromittiert ist. Ransomware ist oft so programmiert, dass diese so viele Komponenten eines Netzwerks infiziert wie möglich, bevor sie sich zu erkennen gibt.
Für die meisten Unternehmen bedeutet jede Sekunde Systemausfall den Verlust von Geld. Eine Umfrage zeigte, dass der durchschnittliche Ransomware-Angriff ein Unternehmen ca.133.000 USD kostet, einschließlich Ausfallzeiten, Lösegeldzahlungen, Netzwerkkosten, Personal – und Gerätekosten sowie entgangenen Kauf- und Geschäftsgelegenheiten. 5% der Befragten gaben Kosten zwischen 1,3 und 6,6 Millionen US-Dollar an. Die meisten Ransomware-Opfer waren im Durchschnitt zwei Mal von einer Attacke betroffen, was die Bedeutung eines effektiven Reaktionsplans noch wichtiger macht. Eine gut ausgearbeiteter Reaktionsplan kann die Wahrscheinlichkeit, wieder von einer Hacker-Attacke betroffen zu sein, deutlich reduzieren.
Viele Ransomware-Angreifer setzen Ihren Opfern nur kurze Fristen, so dass ein schnelles Handeln erforderlich ist, um Ihre Daten retten zu können. Dennoch ist es wichtig, nicht in Panik zu verfallen.
Dieser Reaktionsplan wird Ihnen eine allgemeine Vorstellung davon geben, welche Schritte im Falle eines Ransomware-Angriffs unternommen werden müssen. Die folgenden Schritte sind Best Practices, die unser Team entwickelt hat, nachdem wir zahlreichen Kunden erfolgreich dazu verhelfen konnten, ihr System nach Ransomware-Angriffen wiederherzustellen.
1. Keine Panik.
Auch wenn es verlockend erscheint, sich über den Ausfall aufzuregen – es hilft leider nicht. Denken Sie daran, dass bereits viele andere Unternehmen Opfer von Ransomware-Angriffen waren und es auch geschafft haben. In der Ruhe liegt die Kraft. Eine gut ausgefeilte Strategie anstatt überstürztem Handeln kann tatsächlich die Gesamtkosten der Wiederherstellung senken und Sie in Zukunft vor weiteren Angriffen schützen.
2. Schließen Sie die infizierten Geräte vom Netzwerk ab.
In der Regel wird keine Lösegeldforderung erscheinen, bis die Ransomware jedes Gerät infiziert hat, auf das sie möglicherweise zugreifen kann. Betroffene Geräte zu trennen ist also ratsam, weil Ransomware potenziell weitere Geräte im Netzwerk infizieren kann. Wenn Sie die Ransomware bemerken, bevor eine Lösegeldforderung erscheint, ist es umso wichtiger schnell zu handeln, bevor sich das Virus ausbreitet.
Sollten Sie Malware bemerken, sollten Sie umgehend:
- Alle Laufwerke vom Netzwerk trennen.
- WI-Fi, Bluetooth ausschalten und Ethernet-Kabel trennen.
- Sofern möglich, das gesamte Netzwerk abschalten.
- ggf. umgehend Remote-Mitarbeiter informieren, die mit dem infizierten Netzwerk verbunden sein könnten und auch ihre Systeme so schnell wie möglich trennen und herunterfahren.
3. Benachrichtigen Sie Ihren IT-Dienstleister und/oder Ihre IT-Abteilung.
Um ein System vollständig zu infizieren, benötigt Ransomware Zeit. Schnelles Handeln ist demnach unerlässlich um weiteren Schaden zu vermeiden. Dieser Schritt muss bereits vor der Benachrichtigung Ihrer IT-Abteilung durchgeführt werden, da jede Sekunde zählt.
Die umgehende Mitteilung an Ihren IT-Service-Provider sollte ebenso schnellstmöglich erfolgen. Wenn Sie z. B. Backups in der Cloud haben, kann sich die Infektion bereits hierauf ausgebreitet haben. Hier liegt es am Serviceprovider weitere Schritte zu unternehmen, um den Angriff zu stoppen. Schnelles Handeln kann die Notwendigkeit einer Lösegeldzahlung erheblich minimieren.
Sollte Ihr Unternehmen über eine IT-Abteilung verfügen, sollte diese folgende Schritte unternehmen. Sie müssen auf das System in einer Weise zugreifen, die verhindert, dass die Ransomware sich ausbreitet. Wenn Ihr Unternehmen keine eigene IT-Abteilung hat, ist es möglicherweise am besten, sich externe Hilfe zu holen. BeforeCrypt spezialisiert sich auf Ransomware-Attacken. Zu unseren Kunden zählen kleine und mittelständische Unternehmen ohne eine eigene IT-Abteilung.
4. Dokumentieren Sie den Angriff.
Machen Sie einen Screenshot oder ein Foto von jeder Lösegeldforderung. Machen Sie auch einen Screenshot von den verschlüsselten Dateien (bitte nicht öffnen!) Notieren Sie sich den genauen Zeitpunkt zu dem die Attacke entdeckt wurde. Wenn Sie in der Lage dazu sind, laden Sie Kopien Ihrer Systemprotokolle und Serverprotokolle herunter.
Es gibt mehrere Gründe, warum der Angriff sorgfältig dokumentiert werden muss. Erstens, kann dies durchaus hilfreich dabei sein, festzustellen, um welche Art von Ransomware es sich handelt. Für einige ältere Ransomware-Versionen, gibt es bereits Entschlüsselungstools die Ihre Daten wiederherstellen können. In der überwiegenden Mehrheit der Fälle jedoch, wird es diesen einfachen Ausweg leider nicht geben. Die Art von Ransomware zu kennen, kann den Strafverfolgungsbehörden allerdings dabei helfen, die Angreifer ausfindig zu machen. Sollte Ihr Unternehmen eine Cyber-Versicherung haben, kann eine vollständige Dokumentation erforderlich sein, um Schadensersatzansprüche geltend zu machen.
5. Benachrichtigen Sie die zuständigen Behörden.
Möglicherweise sind Sie gesetzlich dazu verpflichtet, den Angriff zu melden. Abhängig von dem geltenden Recht in Ihrem Land und der Art der Datenschutzverletzung müssen Sie möglicherweise Meldungen bei mehreren zuständigen Behörden einreichen. In der Europäischen Union müssen Sie beispielsweise möglicherweise eine Meldung gemäß der EU-Datenschutz-Grundverordnung (EU-DSGVO) einreichen. In den Vereinigten Staaten verpflichtet der Health Insurance and Portability Accountability Act (HIPAA) Unternehmen im Gesundheitswesen, alle Datenschutzverletzungen umgehend zu melden.
Wenn die Art der gestohlenen Daten privater oder persönlicher Natur ist, z.B. Benutzernamen und Passwörter, sind Sie gemäß EU-DSGVO und möglicherweise nach geltendem US-Recht gesetzlich dazu verpflichtet, die Datenschutzverletzung in Form einer Pressemitteilung/E-Mail an Ihre Kollegen und Kunden zu übermitteln, einschließlich, aber nicht beschränkt auf:
- Die Art der Verletzung
- Datum und Uhrzeit der Verletzung
- Eine umfassende Schadensbewertung
- Dokumentation alles Maßnahmen, die hierzu ergriffen wurden (z.B. Zahlung des Lösegelds, Wiederherstellung von Backups, Meldungen an die Strafverfolgungsbehörden, etc.)
- Bereitstellung von Lösungsvorschlägen an Ihre Kunden (z.B. Änderung von Benutzername/Passwort usw.)
Transparenz ist wichtig. Diese Meldung könnte Ihr Unternehmen zwar diffamieren, allerding ist hier ein proaktives und transparentes Vorgehen letztendlich zu Ihrem Nutzen.
Eine ausführlichere Ausführung zu diesem Thema sowie die Kontaktdaten der zuständigen Behörden, finden Sie in unserem Leitfaden zur Einhaltung von Ransomware Rechtsvorschriften.
6. Versuchen Sie herauszufinden, um welche Art von Ransomware es sich handelt.
Haben Sie schon von WannaCry gehört? Sie zählt bis heute zu einer der gefährlichsten Art von Ransomware. Bis der Virus entfernt werden konnte, waren bereits über 25% der britischen Systeme der National Health Services (NHS) kompromittiert – von Servern bis hin zu Beatmungsgeräten!
Jede Variante von Ransomware ist anders programmiert, und wird daher anders gehandhabt. Zwar gibt es unzählige verschiedene Arten von Lösegeldforderungen, doch die beiden häufigsten sind:
- Lösegeldforderungen für Bildschirmsperren
- Lösegeldforderungen für verschlüsselte Dateien.
Die Bildschirm sperrende Malware ist im Vergleich zu letzterer geringfügig leichter zu entfernen.
Je nach Art der Ransomware, gibt es verschiedene Optionen.
7. Überprüfen Sie Ihre Backups.
Das bestmögliche Szenario ist die Wiederherstellung Ihres Systems aus einem Backup vor der Infektion. Um dies tun zu können, muss der genaue Zeitpunkt der Infektion bekannt sein, damit keine erneute Infektion erfolgen kann. Hier können Systemprotokolle nützlich sein. Eine Systemwiederherstellung ist in der Regel keine gute Lösung für Ransomware, weil hier tief im System vorhandene Elemente der Malware wiederhergestellt werden könnten.
In einigen Fällen kann Ransomware auch Ihre Backups infizieren. In diesem Fall kann man leider nichts mehr tun, außer den Lösegeldforderungen der Angreifer nachzugeben, oder das gesamte System zu löschen und den Verlust Ihrer Daten zu akzeptieren.
8. Finden Sie die Ursache des Ransomware-Angriffs.
Es ist wichtig zu erkennen, wie das System infiziert werden konnte. Wenn die Ursache der Attacke nicht gefunden werden kann, ist es unsächlich, ob Sie das geforderte Lösegeld zahlen oder Ihre Daten mit einem Backup wiederherstellen – Ihr System ist weiterhin dem Risiko einer erneuten Infektion ausgesetzt.
Die meisten Ransomware-Angriffe beginnen entweder durch Phishing oder Exploits.
Phishing-Angriffe passieren in der Regel in Form einer E-Mail oder Website. Hacker können E-Mails oder Webseiten seriöser Unternehmen oder Regierungsbehörden imitieren und dann dadurch Mitarbeiter dazu verleiten, auf einen Link zu klicken oder einen Anhang herunterzuladen, der die Malware enthält. Einen Artikel zur Phishing-Prävention finden Sie hier.
Wenn die Ransomware-Infektion aufgrund einer Sicherheitslücke in Ihrem System aufgetreten ist, muss diese behoben werden, bevor Daten wiederhergestellt werden können. Viele Schwachstellen entstehen durch die Verwendung älterer Softwareversionen, daher muss das System mit Exploits und Patches auf dem Laufenden gehalten werden, um das Risiko einer Attacke zu minimieren.