en
  • English
  • German
KaufoptionenProduktdemo
Etwas Großes ist im Anmarsch! Herausfinden >>

Ransomware-Reaktionsplan: Wie man sich nach dem Angriff erholt

Anthony Cusimano
Anthony Cusimano

Ransomware verschont niemanden. Mittelständische Unternehmen, Schulen, Bibliotheken und sogar Krankenhäuser werden alle elf Sekunden von Ransomware-Angriffen heimgesucht.

Die Wahrscheinlichkeit, von Ransomware getroffen zu werden, ist nie gleich null, unabhängig von der Sicherheitslage eines Unternehmens. Mit anderen Worten: Es ist nicht die Frage, ob, sondern wann der Angriff erfolgt.

Die Verbreitung von Ransomware macht es für jedes Unternehmen unerlässlich, einen starken Reaktionsplan zu haben. Ohne einen solchen Plan wird eine erfolgreiche Infiltration unweigerlich verheerende Folgen für das gesamte Unternehmen haben.

Der folgende Artikel skizziert einen Ransomware-Reaktionsplan, den jedes Unternehmen nach einem Ransomware-Angriff befolgen kann. Er wurde von den Experten von Object First erstellt und geprüft, einem Unternehmen, das sich ausschließlich der Bekämpfung von Ransomware widmet.

Was ist ein Ransomware-Antwort  Plan?

Ein Ransomware-Antwortplan ist eine Reihe von Schritten, die den Schlag von Ransomware abfedern. Er weist die Administratoren an und erinnert sie daran, was sie tun können und sollten, um die Folgen des Angriffs zu minimieren.

Warum sollten Administratoren überhaupt einen Ransomware-Reaktionsplan haben? Weil Ransomware immer plötzlich und erschütternd auftritt und selbst die erfahrensten Experten in Panik versetzt. Ein guter Plan bietet eine Blaupause für den Notfall und Trost in der Zeit der Not.

Ransomware ist kein Todesurteil - trotz aller gegenteiligen Anzeichen. Es ist hilfreicher, sie als eine Flut zu betrachten. Untätigkeit führt nur dazu, dass sie sich ausbreitet, während geeignete Gegenmaßnahmen sie eindämmen und manchmal sogar rückgängig machen können.

Gründe für die Erstellung eines Ransomware-Reaktionsplans

Der Leitfaden geht vom schlimmsten Fall aus, bei dem Ransomware Backups verschlüsselt. Dies ist nicht unwahrscheinlich. Die Täter haben längst erkannt, dass Backups ihre kriminellen Bemühungen zunichte machen, weshalb sie zunehmend auch auf diese abzielen.

Dieser Plan zur Reaktion auf Ransomware-Vorfälle hilft auch denjenigen, die kein unveränderliches Backup haben. Durch Abhaken der Punkte in diesem Plan wird eine Organisation in der Lage sein:

  • Ressourcen zu schützen;
  • die Bedrohung aufzudecken;
  • den Ruf zu bewahren;
  • ein erneutes Eindringen zu verhindern.

Ransomware-Vorfall-Reaktionsplan in fünf Stufen

1. Reaktion

Die erste Regel der Notfallreaktion: Keine Panik. Angst ist etwas Natürliches, aber unkontrolliert führt sie zu überstürzten Entscheidungen und vorschnellen Urteilen. Eine kurze Meditation oder ein Spaziergang im Park tragen viel dazu bei, den Geist zu beruhigen. Zögern Sie danach nicht, in Aktion zu treten.

  • Kommunizieren Sie sicher. Lassen Sie den Eindringling im Dunkeln tappen und kommunizieren Sie ausschließlich über Telefonanrufe. Mobilfunkdienste operieren außerhalb von Unternehmensnetzwerken und fallen unter das Radar von Ransomware.
  • Snapshot der Cloud. Erstellen Sie eine Kopie der Cloud-Ressourcen des Unternehmens und stellen Sie sie für forensische Untersuchungen unter Quarantäne.
  • Identifizieren und isolieren. Finden Sie heraus, welche Systeme betroffen sind, und schotten Sie sie vom Rest ab. Wenn die Abschaltung auf Switch-Ebene fehlschlägt, trennen Sie sie physisch vom Netzwerk, indem Sie Kabel abziehen oder das WLAN ausschalten.
  • Geräte ausschalten. Wenn sich ein System nicht abschalten lässt, schalten Sie es aus. Beachten Sie jedoch, dass dies der letzte Ausweg ist. Durch das Ausschalten der Hardware werden potenzielle Beweise aus dem Arbeitsspeicher gelöscht.
  • Systeme nach ihrer Wichtigkeit ordnen. Die Prioritätensetzung ist für die Wiederherstellung ausschlaggebend. Falls vorhanden, ziehen Sie die vordefinierte Liste der kritischen Dienste des Unternehmens heran.
  • Untersuchen Sie die Präventionssysteme. Überprüfen Sie Antiviren-, EDR- und Systemprotokolle auf Spuren von Vorläufer-Bedrohungen - der Art von Malware, die Ransomware vorausgeht und diese ermöglicht. Beispiele hierfür sind Bumblebee, Dridex und Anchor. Entfernen Sie sie, um eine weitere Anfälligkeit für Ransomware zu verhindern.
  • Kartografieren Sie das Eindringen. Untersuchen Sie mögliche Angriffsrouten. Der Einblick in Eintrittspunkte und Infiltrationspfade liefert Informationen für künftige Präventionsmaßnahmen und verbessert die Sicherheitslage.
  • Erkennen Sie die Bedrohung. Achten Sie besonders auf Active Directory-Konten, neue Anmeldungen, Änderungen an Endpunkten, Fernüberwachungs- und -verwaltungssoftware (RRM), PowerShell und PsTools, Endpunkt-zu-Endpunkt-Kommunikation und jegliche Aktivitäten im Zusammenhang mit Windows-Systemtools und Domänenadministratoren. Alles, was ungewöhnlich ist, sollte Anlass für eine genauere Untersuchung sein, die zur Malware hinter der Verschlüsselung führt.

2. Berichterstattung

Nach der ersten Reaktion muss sofort Alarm geschlagen werden. Dieser Schritt ist unerlässlich, auch wenn er unangenehm ist. Die Weitergabe von Informationen über den Angriff ermöglicht es den betroffenen Parteien, wachsam zu bleiben und Hilfe anzubieten, wenn sie können.

  • Intern informieren. Zu diesem Zeitpunkt sollten alle betroffenen Parteien, einschließlich der Stakeholder, über die Sicherheitsverletzung und die dagegen ergriffenen Maßnahmen informiert werden. Sie sollten auch regelmäßig über die weitere Entwicklung der Situation informiert werden.
  • Kontaktieren Sie einen Rechtsbeistand für Datenschutzverletzungen. Ein Breach Counsel ist ein externes Expertengremium, das Unternehmen unterstützt, die von Ransomware betroffen sind. Versicherungsgesellschaften führen in der Regel in ihren Policen oder auf ihren Websites eine Liste von Rechtsberatern für Datenschutzverletzungen auf.
  • Behörden alarmieren. Ransomware stellt in vielen Gerichtsbarkeiten eine Straftat dar, so dass Unternehmen verpflichtet sein können, Strafverfolgungs- und Regierungsbehörden darüber zu informieren.

In den USA sollten Sie Folgendes in Erwägung ziehen:

In Europa konsultieren Sie diese Liste von Europol.

Ungeachtet rechtlicher Anforderungen können staatliche Organisationen zusätzliche Ressourcen gegen die Bedrohung bereitstellen - zum Beispiel Entschlüsselungsmechanismen oder forensische Analysen von Datenproben.

  • Kunden informieren. Unternehmen ziehen es vor, Ransomware-Vorfälle aus Angst vor Rufschädigung unter Verschluss zu halten. Früher oder später wird der Angriff jedoch bekannt werden, und die Kunden sollten besser vom Unternehmen selbst als von jemand anderem davon erfahren. In der externen Kommunikation über den Vorfall sollten das Ausmaß und die damit verbundenen Risiken, wie z. B. Datenlecks, erwähnt werden.

3. Eindämmung

Mit intensiven Ermittlungsbemühungen den Schuldigen aufspüren. Mobilisieren Sie das Cybersicherheitsteam des Unternehmens und schließen Sie sich mit externen Fachleuten zusammen, um dem Angreifer auf die Schliche zu kommen.

  • Isolieren Sie Daten zur Analyse.

WARNUNG: Dies ist ein heikler Vorgang, der am besten von oder mit Unterstützung von Sicherheitsexperten wie dem Breach Counsel oder CISA durchgeführt wird. Gehen Sie mit Vorsicht vor.

Extrahieren Sie Datenproben aus den betroffenen Systemen. Konzentrieren Sie sich auf relevante und verdachtserregende Elemente wie Protokolle, bestimmte Binärdateien, Registrierungseinträge und IP-Adressen. Sammeln Sie temporäre Daten, bevor sie verschwinden, z. B. Windows-Sicherheitsprotokolle oder Firewall-Protokollpuffer.

  • Finden Sie den Ursprung. Durchkämmen Sie alle Systeme und Konten, einschließlich E-Mail, um den ursprünglichen Eintrittspunkt zu identifizieren.
  • Sichern Sie die Endpunkte. Schließen Sie alle Endpunkte und nach außen gerichteten Schnittstellen wie VPNs, Remote Access Server, Single Sign-On-Ressourcen usw. Andernfalls bleiben sie ein potenzielles Einfallstor in Ihre Systeme.
  • Eliminieren Sie Persistenzmechanismen. Finden und neutralisieren Sie alle langfristigen Prozesse, die die Angreifer möglicherweise hinterlassen haben, wie z.B. verlängerte Authentifizierungen, Hintertüren, Ausnutzung von Schwachstellen usw.

4. Ausrottung

Der Perimeter ist gesichert. Nun müssen die Systeme wieder betriebsbereit gemacht werden, indem alles, was mit Malware in Berührung gekommen sein könnte, bereinigt und zurückgesetzt wird. Nur so lassen sich bösartige Rückstände aus der Infrastruktur entfernen.

  • Betroffene Systeme löschen. Es mag verlockend sein, nur die infizierten Daten auszulöschen, um nicht das gesamte System zu gefährden, aber das ist das Risiko der Unterlassung nicht wert. Um maximale Sicherheit zu gewährleisten, sollten Sie alle infizierten Daten löschen.
  • Neuinstallation anhand von Images. Ersetzen Sie kompromittierte Dienste entsprechend der Prioritätenliste durch ihre frischen Images. Verlassen Sie sich bei der Cloud auf Infrastructure-as-Code für den gleichen Prozess.
  • Passwörter zurücksetzen. Die Angreifer werden nicht in der Lage sein, erneut zu infizieren, wenn sie die Anmeldeinformationen, die sie möglicherweise gestohlen haben, nicht verwenden können.

5. Vorbeugung

Nun, da die Bedrohung vorüber ist, sollten Sie die Wahrscheinlichkeit eines erneuten Angriffs verringern. Es gibt ein paar Dinge, die eine Organisation tun kann, um ihre Widerstandsfähigkeit gegen Ransomware zu stärken:

  • Schulung. Organisieren Sie Schulungen zu bewährten Praktiken im Bereich Datensicherheit für alle Mitarbeiter, damit sie wissen, wie sie die Fallen des Social Engineering vermeiden und frühe Anzeichen von Bedrohungen erkennen können.
  • Audit. Untersuchen Sie die Systeme im Hinblick auf ihre Widerstandsfähigkeit gegenüber bösartiger Software.
  • Sichern. Stellen Sie Remote-Desktop-Ports (RDPs) so ein, dass nur vertrauenswürdige Hosts akzeptiert werden, und schalten Sie untätige Hosts immer aus. Wenden Sie strenge Sicherheitseinstellungen auf alle Endpunkte an.
  • Segmentieren. Trennen Sie das Netzwerk physisch und mit VPN - trennen Sie nach innen gerichtete Netzwerkelemente von denen, die nach außen gerichtet sind. Wenden Sie die Zero Trust-Prinzipien auf die Verwaltung der Zugriffskontrolle an.
  • Aktualisieren. Halten Sie immer alles auf dem neuesten Stand. Selbst eine kleine Verzögerung bei der Aktualisierung kann Hackern ein Fenster zum Eindringen öffnen.
  • Erzwingen. Bereiten Sie eine robuste Backup-Strategie vor, bei der die Unveränderbarkeit im Mittelpunkt steht.

Nützliche Ressourcen

Eine solide Transomware-Verteidigungsstrategie vermindert die Wahrscheinlichkeit künftiger Angriffe, aber es lohnt sich immer, konkrete Ressourcen bereitzuhalten. Ziehen Sie in Erwägung, die folgenden Informationen zu erstellen, aufzubewahren und regelmäßig zu aktualisieren:

  • Reaktionsteam auf Angriffe. Führen Sie die Personen auf, die für die Behebung eines Angriffs verantwortlich sind.
  • Bestandsverzeichnis. Geben Sie die Hardware- und Softwarebestände an, am besten in Form einer Tabelle. Dies ermöglicht einen sofortigen Überblick über die Infrastruktur des Unternehmens aus der Vogelperspektive.
  • Liste kritischer Dienste. Definieren Sie eine hierarchische Liste digitaler Ressourcen, wie Anwendungen, Datensätze und Backups.
  • Kontaktliste. Notieren Sie die Kontaktinformationen von Organisationsmitgliedern, die von den Folgen eines Ransomware-Angriffs betroffen sein könnten.
  • Schulungsmöglichkeiten. Führen Sie die theoretischen und praktischen Übungen, wie Kurse, Workshops und Simulationen von Vorfällen, auf, die den Mitarbeitern zur Verfügung stehen, und kategorisieren Sie sie vorzugsweise nach Schwierigkeitsgrad, um sie mit dem richtigen Wissensstand in Einklang zu bringen.
  • Erlernte Lektionen. Sammeln Sie Erkenntnisse aus vergangenen Angriffen und Sicherheitsübungen, um künftige Maßnahmen zu unterstützen.
  • Reaktionsplan auf Ransomware-Vorfälle. Erstellen Sie einen detaillierten Aktionsplan für die Reaktion auf Ransomware, um die Schadensbegrenzung zu optimieren.

Unveränderliche Backups gegen Ransomware

Ein Backup ist unveränderlich, wenn niemand - auch nicht Administratoren und Root - es ändern oder löschen kann. Diese Backups basieren auf dem Write-Once-Read-Many-Mechanismus (WORM), der auf Software- oder Hardware-Ebene implementiert wird.

Softwarebasierte Unveränderbarkeit ist flexibler und kostengünstiger, da sie zeitlich definiert und durch neue Daten ersetzt werden kann, wenn ihre Schutzzeit abgelaufen ist.

Unveränderliche Backups widerstehen Verschlüsselung, was sie zur perfekten Versicherung gegen Ransomware macht. Wenn Sie angegriffen werden, befolgen Sie unseren Ransomware-Reaktionsplan, um die Malware zu beseitigen, und fahren Sie dann mit der Wiederherstellung aus unveränderlichen Backups fort.

Ootbi-out-of-the-box-immutability for Veeam

Ootbi von Object First ist eine zweckorientierte Backup-Appliance, die auf Veeam zugeschnitten ist. Sie verfügt über eine sofortige Unveränderbarkeit, läuft auf S3 Object Lock und nutzt Objektspeicher, um große Datenpools besser zu verwalten. Ootbi lässt sich in weniger als fünfzehn Minuten einrichten, stapeln und mit Strom versorgen. Es lässt sich nahtlos in jede Veeam-Instanz integrieren, unterstützt alle Veeam-Protokolle und erfordert kein technisches Fachwissen, um es einzurichten.

Fazit

Ransomware erweist sich als eine der größten Sicherheitsbedrohungen des aktuellen Jahrzehnts. Unternehmen, die sicher und relevant bleiben wollen, müssen einen Ransomware-Reaktionsplan entwickeln oder mit erheblichen Ausfallzeiten und Datenverlusten rechnen, die in der Regel die Folge eines Angriffs sind.

Die letzte Verteidigungslinie und eine seltene Sicherheit gegen Ransomware sind verlässliche und luftgestützte Backup-Appliances wie Ootbi. Der Plan und das Backup bieten den besten Ransomware-Schutz, auf den ein Unternehmen hoffen kann.

FAQ

Was ist ein Ransomware-Reaktionsplan?

Ein Ransomware-Reaktionsplan listet die Schritte auf, die im Falle eines Ransomware-Vorfalls zu unternehmen sind. Er ermöglicht es Unternehmen, schnell gegenzusteuern und den Angriff einzudämmen, um den Schaden so gering wie möglich zu halten.

Was ist die beste Praxis bei der Ransomware-Reaktion?

Experten sind sich einig, dass die beste Art, Ransomware zu verhindern und zu vereiteln, in regelmäßigen Backups besteht. Letztlich garantieren jedoch nur unveränderliche Backups Seelenfrieden, weil niemand daran herumpfuschen kann.

Was ist die 3-2-1-Regel bei Ransomware?

Die 3-2-1-Regel bei Ransomware empfiehlt, dass jedes Unternehmen drei Backups verwendet. Zwei davon sollten auf unterschiedlichen Datenträgern gespeichert sein, und eine sollte außerhalb des Unternehmens liegen.

Eine Abwandlung der Regel erweitert sie auf 3-2-1-1-0 - die zusätzliche 1 und 0 stehen für eine unveränderliche Kopie in der Luft und null Fehler beim Testen der Sicherung.

Book a Free Online Demo!

Produktdemo
Related Guides
Dive Deeper to learn
more about
Object First benefits
Book a Free Online Demo!