Ransomware stellt eine enorme Bedrohung für die Cyber Security von KMU dar. Regelmässig ist in den Medien von Unternehmen, Behörden oder anderen Organisationen zu lesen, die mit Ransomware erpresst werden. Ransomware wird auch als Erpressungssoftware oder Verschlüsselungstrojaner bezeichnet und blockiert Daten oder ganze IT-Systeme einer Organisation. Daten werden verschlüsselt oder auf die Systeme der Kriminellen kopiert und sind für das Unternehmen nicht mehr nutzbar. Die Erpresser versprechen, gegen Lösegeld die Daten wieder zugänglich zu machen. Allerdings kann sich ein betroffenes Unternehmen nicht darauf verlassen. Um so wichtiger ist es, vor dieser Form der Cyber-Attacke zu schützen oder zielführend darauf zu reagieren.
Dringt eine Erpressungssoftware (Ransomware, Crypto Malware) in das Unternehmensnetzwerk ein, ist schnelles Handeln gefragt. Ein Aktionsplan ist notwendig und muss schnell abgearbeitet werden, um grösseren Schaden vom KMU abzuwenden.
Wie ist nach einem Ransomware-Angriff vorzugehen?
Im Folgenden stellen wir einen Ransomware-Aktionsplan vor. Da die Zeit bei einem Ransomware-Angriff drängt, sollte dieser Aktionsplan fertig in der Schublade liegen und sofort nach dem Erkennen eines Angriffs angewandt werden. Denn mit jeder Minute, die eine Erpressungssoftware auf den IT-Systemen sein Unwesen treibt, steigt der Schaden für das KMU.
1. Aktion: Angriff validieren
Erster Schritt ist es, zweifelsfrei festzustellen, dass es sich tatsächlich um Ransomware handelt. Wir der Aktionsplan fälschlicherweise abgearbeitet, obwohl gar kein solcher Erpressungsangriff vorliegt, führt das ebenfalls zu finanziellen Schäden und zu einem Imageverlust für das Unternehmen.
2. Aktion: Verantwortliches Team einberufen und Vorfall analysieren
Das für solche Fälle verantwortliche Team muss schon im Vorfeld benannt und zusammengestellt sein. Erst bei einem Ransomware-Angriff ein Team zu definieren, lässt wertvolle Zeit verstreichen. Das Team kann beispielsweise das bestehende Disaster Recovery Team sein. Sinnvoll ist, neben der Beteiligung der IT-Veranwortlichen, Personen aus dem PR-Bereich und aus der Geschäftsführung mit aufzunehmen. Ist eine Ransomware-Attacke erkannt, ist das Team sofort einzuberufen. Anschliessend sind die weiteren Schritte in die Wege zu leiten.
3. Aktion: Betroffene Systeme isolieren
Alle von der Malware mutmasslich befallenen Systeme sind unverzüglich zu isolieren. Die Systeme sind herunterzufahren und die Netzwerkverbindungen zu kappen. Die Malware darf sich auf keinen Fall weiter über das Netzwerk ausbreiten. So lässt sich verhindern, dass die Schadsoftware gespeicherte Daten verschlüsselt oder auf andere Art unbrauchbar macht. Steht nicht zweifelsfrei fest, ob ein System betroffen ist, sollten lieber mehr als zu wenig Systeme isoliert werden. Bleibt ein befallenes Gerät am Netz, kann die Ransomware unter Umständen unbemerkt weiteren Schaden anrichtet.
4. Aktion: Kommunikation nach innen und nach aussen vornehmen
Die Isolierung und das Herunterfahren der IT-Systeme hat für die internen und externen Prozesse enorme Auswirkungen. Den Mitarbeitenden stehen die Systeme, mit denen sie täglich arbeiten, nicht mehr zur Verfügung oder Kunden können keine IT-Services wie Onlineshops mehr nutzen. Daher ist es wichtig, den Vorfall sowohl nach innen als auch nach aussen zu kommunizieren. Die Kommunikation sollten Profis aus dem PR-Bereich oder eine externe PR-Agentur mit den Führungsverantwortlichen übernehmen.
5. Aktion: Eine gründliche Analyse durchführen
Nachdem alle Systeme isoliert sind, beginnt die eigentliche Arbeit für die Sicherheitsexperten. Sie müssen die IT-Geräte in speziellen Quarantäne-Umgebungen untersuchen. So ist etwa herauszufinden, um welchen Erpressungstrojaner genau es sich handelt, welche Komponenten dieser befallen hat und welche Daten er eventuell schon verschlüsselt hat.
6. Aktion: Die Malware löschen, Systeme und Daten wiederherstellen
Bevor die Rechner oder Server wieder in die IT-Umgebung eingebunden werden können, ist die Malware vollständig zu löschen. Das kann mit grossem Aufwand verbunden sein. Unter Umständen ist es sicherer und einfacher, den Rechner oder den Server komplett neu aufzusetzen. Gelöschte oder verschlüsselte Daten sind aus Backups wiederherzustellen.
7. Aktion: Die Strafverfolgungsbehörden informieren
Nicht zu vergessen ist es, die Strafverfolgungsbehörden zu informieren. Es sollte umgehend nach erkennen des Angriffs Anzeige erstattet werden. Nur durch professionelle Ermittlungsarbeit lässt sich den Erpressern das Handwerk legen. Hoher Fahndungsdruck und die Verurteilung von Cyberkriminellen sorgen für Abschreckung.
8. Aktion: Eine Analyse im Nachgang durchführen und bei Bedarf den Business Continuity Plan für künftige Vorfälle anpassen
Im Nachgang einer Ransomware-Attacke, nachdem alle Systeme und Daten wiederhergestellt sind, ist eine Analyse des kompletten Vorgangs durchzuführen. Eventuell sind zusätzliche Schutzmassnahmen der Cyber Security notwendig, der Business Continuity Plan muss für zukünftige Vorfälle dieser Art angepasst werden oder die Zusammensetzung des verantwortlichen Teams ist zu verändern.
Fazit
Mit diesen 8 Schritten kann ein KMU die Folgen eines Ransomware-Angriffs abmildern. Wichtig ist es bei einem solchen Vorfall, IT-Expertise und Security-Know-how mit ins Boot zu holen. Den Verantwortlichen in einem KMU bieten erfahrene Anbieter von Managed IT-Services entsprechende Unterstützung. Sie beraten zu allen Themen rund um die Cyber Security und stehen bei Ransomware-Angriffen mit ihrem Fachwissen mit Rat und Tat zur Seite.
Titelbild: Photo by Maxim Zhgulev on Unsplash