Die Stunde „Null“: Wie sich Firmen bei einem Ransomware-Angriff verhalten sollten
Autor/Redakteur: Ralf Baumann, Country Manager Germany bei Veritas Technologies/gg
Cybercrime-Delikte nehmen in Deutschland weiter zu. So verzeichnete das Landeskriminalamt Nordrhein-Westfalen im Jahr 2021 eine Steigerung der Fälle um 24 Prozent gegenüber 2020. Das Bundeslagebild der Cyber-Straften bestätigt die Zunahme. Gründe sind unter anderem die wachsende Digitalisierung in verschiedenen Branchen sowie die Automatisierung von internationalen Lieferketten. Eine zunehmend große Rolle spielt Ransomware – im Schnitt wird jedes Unternehmen 1,87 mal angegriffen. Die Dunkelziffer dürfte hier aber höher sein, vermuten Experten. Die Frage lautet also nicht, ob ein Unternehmen Opfer einer Ransomware-Attacke wird – sondern wann.
Tritt dieser Extremfall ein, ist schnelles Handeln gefragt. Sonst besteht die Gefahr, dass noch mehr Dateien verschlüsselt und weitere Geräte infiltriert werden und so den finanziellen Schaden in die Höhe treiben. Was die Verantwortlichen in der Stunde „Null“ nach einem Angriff tun, kann entscheidend für das Fortbestehen eines Unternehmens sein.
Ein abgestimmter Plan ist die halbe Miete
Cyber-Kriminelle entwickeln ihre Angriffsmethoden stetig weiter, und die Attacken werden dadurch immer gefährlicher. Vor allem Ransomware-as-a-Service (RaaS) bereitet internationalen Behörden Sorgen. Hier bieten professionelle Hacker ihre Schadsoftware als Dienstleistung für Kriminelle an, die nicht die Kapazitäten oder Kompetenzen haben, um solche Programme selbst zu entwickeln.
Experten zufolge können einem Unternehmen durch Ausfälle Kosten in Höhe von bis zu 250.000 Euro entstehen. Noch schwerwiegender sind die Reputationsschäden. Daher gilt es, nach einer Attacke so schnell wie möglich die Business Continuity wiederherzustellen, um den Schaden nicht noch weiter zu vergrößern. Entscheidend ist, dass die Firmen über die nötigen Fähigkeiten und Prozesse verfügen, um einen Ransomware-Angriff schnell zu erkennen und einzudämmen.
Dazu zählen eine sorgfältige Vorbereitung, kontinuierliche Schulungen und vollständige Datentransparenz. Der Großteil der Vorbereitungen sollte allerdings bereits getroffen worden sein, bevor es zu einer Ransomware-Attacke kommt. Da unternehmenskritische Daten das Hauptziel eines jeden Cyber-Angriffs sind, ist es wichtig, immer den Überblick und die Kontrolle über den Datenbestand zu haben. Nur dann lassen sich die Informationen nach einer erfolgreichen Attacke schnell wiederherstellen.
Mit einem Daten-Audit kann sich das Unternehmen in einem ersten Schritt einen Überblick darüber verschaffen, wo die kritischen Daten abgelegt sind. Auf dieser Grundlage wird dann ein Plan erstellt, in dem definiert ist, welche Daten wie geschützt und gespeichert werden sollen. Diesen Plan gilt es, regelmäßig zu überprüfen und zu aktualisieren.
Um Ransomware-Angriffe rechtzeitig zu erkennen, müssen auch die IT-Verantwortlichen einen kontinuierlichen Überblick über die Daten haben. Das gilt vor allem dann, wenn die Informationen über mehrere – oft unverbundene – lokale Systeme und Clouds verteilt sind. Denn in isolierten Umgebungen bleibt Malware oft unentdeckt und schlummert im System. Erschwerend kommt hinzu, dass die Sicherheitsrichtlinien, Berechtigungen und Vorschriften der unterschiedlichen Systeme oft nicht einheitlich sind. Auch Abhängigkeiten zwischen verschiedenen Datensätzen werden häufig übersehen. Dadurch bleibt der ursprüngliche Angriffsvektor unbemerkt. Die Malware kann sich also ungehindert ausbreiten und wichtige Daten erbeuten, bevor sie entdeckt wird. Durch den Einsatz von Tools, die isolierte Datenbestände verbinden, lassen sich die Sicherheitsrichtlinien in allen Umgebungen einsetzen. Das IT-Team kann dann jederzeit erkennen, welche Daten das Unternehmen besitzt, in welcher Umgebung sie gespeichert sind und mit welchen Maßnahmen sie sich schützen lassen.
