{"id":22824,"date":"2023-02-17T11:40:00","date_gmt":"2023-02-17T10:40:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22824"},"modified":"2023-02-07T10:49:20","modified_gmt":"2023-02-07T09:49:20","slug":"die-stunde-null-wie-sich-firmen-bei-einem-ransomware-angriff-verhalten-sollten","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22824","title":{"rendered":"Die Stunde \u201eNull\u201c: Wie sich Firmen bei einem Ransomware-Angriff verhalten sollten"},"content":{"rendered":"\n

Autor\/Redakteur: Ralf Baumann, Country Manager Germany bei Veritas Technologies<\/a>\/gg<\/p>\n\n\n\n

Cybercrime-Delikte nehmen in Deutschland weiter zu. So verzeichnete das Landeskriminalamt Nordrhein-Westfalen im Jahr 2021 eine Steigerung der F\u00e4lle um 24 Prozent gegen\u00fcber 2020. Das Bundeslagebild der Cyber-Straften<\/a> best\u00e4tigt die Zunahme. Gr\u00fcnde sind unter anderem die wachsende Digitalisierung in verschiedenen Branchen sowie die Automatisierung von internationalen Lieferketten. Eine zunehmend gro\u00dfe Rolle spielt Ransomware \u2013 im Schnitt wird jedes Unternehmen 1,87<\/a> mal angegriffen. Die Dunkelziffer d\u00fcrfte hier aber h\u00f6her sein, vermuten Experten. Die Frage lautet also nicht, ob ein Unternehmen Opfer einer Ransomware-Attacke wird \u2013 sondern wann.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: Veritas Technologies<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Tritt dieser Extremfall ein, ist schnelles Handeln gefragt. Sonst besteht die Gefahr, dass noch mehr Dateien verschl\u00fcsselt und weitere Ger\u00e4te infiltriert werden und so den finanziellen Schaden in die H\u00f6he treiben. Was die Verantwortlichen in der Stunde \u201eNull\u201c nach einem Angriff tun, kann entscheidend f\u00fcr das Fortbestehen eines Unternehmens sein.<\/p>\n\n\n\n

Ein abgestimmter Plan ist die halbe Miete<\/strong><\/p>\n\n\n\n

Cyber-Kriminelle entwickeln ihre Angriffsmethoden stetig weiter, und die Attacken werden dadurch immer gef\u00e4hrlicher. Vor allem Ransomware-as-a-Service (RaaS) bereitet internationalen Beh\u00f6rden Sorgen. Hier bieten professionelle Hacker ihre Schadsoftware als Dienstleistung f\u00fcr Kriminelle an, die nicht die Kapazit\u00e4ten oder Kompetenzen haben, um solche Programme selbst zu entwickeln.<\/p>\n\n\n\n

Experten zufolge k\u00f6nnen einem Unternehmen durch Ausf\u00e4lle Kosten in H\u00f6he von bis zu 250.000 Euro entstehen. Noch schwerwiegender sind die Reputationssch\u00e4den. Daher gilt es, nach einer Attacke so schnell wie m\u00f6glich die Business Continuity wiederherzustellen, um den Schaden nicht noch weiter zu vergr\u00f6\u00dfern. Entscheidend ist, dass die Firmen \u00fcber die n\u00f6tigen F\u00e4higkeiten und Prozesse verf\u00fcgen, um einen Ransomware-Angriff schnell zu erkennen und einzud\u00e4mmen.<\/p>\n\n\n\n

Dazu z\u00e4hlen eine sorgf\u00e4ltige Vorbereitung, kontinuierliche Schulungen und vollst\u00e4ndige Datentransparenz. Der Gro\u00dfteil der Vorbereitungen sollte allerdings bereits getroffen worden sein, bevor es zu einer Ransomware-Attacke kommt. Da unternehmenskritische Daten das Hauptziel eines jeden Cyber-Angriffs sind, ist es wichtig, immer den \u00dcberblick und die Kontrolle \u00fcber den Datenbestand zu haben. Nur dann lassen sich die Informationen nach einer erfolgreichen Attacke schnell wiederherstellen.<\/p>\n\n\n\n

Mit einem Daten-Audit kann sich das Unternehmen in einem ersten Schritt einen \u00dcberblick dar\u00fcber verschaffen, wo die kritischen Daten abgelegt sind. Auf dieser Grundlage wird dann ein Plan erstellt, in dem definiert ist, welche Daten wie gesch\u00fctzt und gespeichert werden sollen. Diesen Plan gilt es, regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen und zu aktualisieren.<\/p>\n\n\n\n

Um Ransomware-Angriffe rechtzeitig zu erkennen, m\u00fcssen auch die IT-Verantwortlichen einen kontinuierlichen \u00dcberblick \u00fcber die Daten haben. Das gilt vor allem dann, wenn die Informationen \u00fcber mehrere \u2013 oft unverbundene \u2013 lokale Systeme und Clouds verteilt sind. Denn in isolierten Umgebungen bleibt Malware oft unentdeckt und schlummert im System. Erschwerend kommt hinzu, dass die Sicherheitsrichtlinien, Berechtigungen und Vorschriften der unterschiedlichen Systeme oft nicht einheitlich sind. Auch Abh\u00e4ngigkeiten zwischen verschiedenen Datens\u00e4tzen werden h\u00e4ufig \u00fcbersehen. Dadurch bleibt der urspr\u00fcngliche Angriffsvektor unbemerkt. Die Malware kann sich also ungehindert ausbreiten und wichtige Daten erbeuten, bevor sie entdeckt wird. Durch den Einsatz von Tools, die isolierte Datenbest\u00e4nde verbinden, lassen sich die Sicherheitsrichtlinien in allen Umgebungen einsetzen. Das IT-Team kann dann jederzeit erkennen, welche Daten das Unternehmen besitzt, in welcher Umgebung sie gespeichert sind und mit welchen Ma\u00dfnahmen sie sich sch\u00fctzen lassen.<\/p>\n\n\n\n\n\n\n\n

Strategie zur Abwehr von Ransomware und ein Backup-Plan<\/strong><\/p>\n\n\n\n

Um Systemschwachstellen schnell zu erkennen, sollten Unternehmen zudem \u00fcber eine Strategie zur proaktiven Analyse und Behebung verf\u00fcgen. Ratsam ist auch, L\u00f6sungen zur Netzwerk\u00fcberwachung, Bedrohungsanalyse und Endpoint-Erkennung einzusetzen.<\/p>\n\n\n\n

Dar\u00fcber hinaus ist die richtige Backup-Strategie erforderlich, um sicherzustellen, dass verschl\u00fcsselte Daten nicht f\u00fcr immer verloren sind. Damit Backups im Ernstfall bei einem Angriff widerstandsf\u00e4hig und zuverl\u00e4ssig bleiben, sollten Systeme wie Medien- und Metaserver resilient sein und sicher miteinander kommunizieren. Diesen Aspekt gilt es bereits in der Architektur zu ber\u00fccksichtigen.<\/p>\n\n\n\n

Aber auch f\u00fcr den Fall, dass Backup-Dateien durch einen Ransomware-Angriff verschl\u00fcsselt wurden, hat sich eine Best Practice bew\u00e4hrt: Sogenannte Immutable-Storage-Systeme dienen als Ablageort f\u00fcr eine unver\u00e4nderliche Kopie des Backups. Damit lassen sich Daten fehlerfrei wiederherstellen. Allerdings sollten Unternehmen genau darauf achten, wo sie den Medienbruch (Air-Gap) einbauen. Entscheidend ist auch, die Wiederherstellung regelm\u00e4\u00dfig zu testen. Auf diese Weise stellen die Verantwortlichen sicher, dass sie die jeweils wichtigsten Daten zuerst wiederherstellen.<\/p>\n\n\n\n

Schnelle Reaktionszeit bei allen Beteiligten

<\/strong>Wird ein Angriff gemeldet, kommt es auf jede Minute an, um den Schaden so schnell wie m\u00f6glich einzud\u00e4mmen. Das IT-Sicherheitsteam sollte sofort eingreifen und daf\u00fcr sorgen, dass die betroffenen Endnutzer und Systeme vom Netzwerk isoliert werden. Danach sollten die Anwender danach befragt werden, wie der Angriff abgelaufen ist und was der Ausl\u00f6ser war \u2013 beispielsweise eine Phishing-Mail.\u00a0<\/p>\n\n\n\n

Mithilfe von Datenmanagement-Tools l\u00e4sst sich schnell feststellen, auf welche Daten welche Nutzer zugreifen. Das Scannen dieser Informationen erm\u00f6glicht es dann zu ermitteln, welche Daten infiziert wurden oder fehlen. Solange die Datensicherungen des Unternehmens ordnungsgem\u00e4\u00df gesch\u00fctzt sind, lassen sich Informationen wiederherstellen, ohne dass es zu Unterbrechungen kommt oder L\u00f6segeld gezahlt werden muss.<\/p>\n\n\n\n

Aber nicht nur das IT-Team, auch die Mitarbeiter m\u00fcssen sofort reagieren, wenn ein Angriff erfolgreich war. Innerhalb von einer Stunde nach der Attacke sollten sie ihre Computer vom Netzwerk und vor allen externen Laufwerken trennen. Das komplette Abschalten verhindert, dass der Ransomware-Angriff nicht noch einen gr\u00f6\u00dferen Schaden anrichten kann. Anschlie\u00dfend sollte jemand ein Foto von der erhaltenen L\u00f6segeldforderung machen. Der n\u00e4chste Schritt besteht f\u00fcr die Mitarbeiter darin, die IT-Abteilung sofort zu benachrichtigen und alle Informationen zu dem Angriff mitzuteilen. Eine Vertrauenskultur hilft zu vermeiden, dass Cyber-Attacken vertuscht werden. Niemand sollte Angst haben, einen Vorfall zu melden. Fazit: Um wirklich resilient gegen\u00fcber Ransomware zu sein, brauchen Unternehmen eine Kombination aus sorgf\u00e4ltiger Vorbereitung, gut einge\u00fcbten Prozessen sowie einer vollst\u00e4ndigen Transparenz und Kontrolle ihrer Daten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cybercrime-Delikte nehmen in Deutschland weiter zu. So verzeichnete das Landeskriminalamt Nordrhein-Westfalen im Jahr 2021 eine Steigerung der F\u00e4lle um 24 Prozent gegen\u00fcber 2020. Das Bundeslagebild der Cyber-Straften best\u00e4tigt die Zunahme. Gr\u00fcnde sind unter anderem die wachsende Digitalisierung in verschiedenen Branchen sowie die Automatisierung von internationalen Lieferketten. Eine zunehmend gro\u00dfe Rolle spielt Ransomware \u2013 im Schnitt wird jedes Unternehmen 1,87 mal angegriffen. Die Dunkelziffer d\u00fcrfte hier aber h\u00f6her sein, vermuten Experten. Die Frage lautet also nicht, ob ein Unternehmen Opfer einer Ransomware-Attacke wird \u2013 sondern wann.<\/p>\n","protected":false},"author":81,"featured_media":22826,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6263,9088,5432,5105,5513],"class_list":["post-22824","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-backup","tag-plan","tag-ransomware","tag-reaktionszeit","tag-veritas"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22824"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22824\/revisions"}],"predecessor-version":[{"id":22827,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22824\/revisions\/22827"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22826"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}