Gastkommentar von Daniel Clayton, Bitdefender
Maßnahmen nach dem Ransomware-Angriff
Die Ransomware-Welle schwappt unverändert über Unternehmen und Behörden hinweg. Die Frage scheint nur noch zu sein: Wann und wie erwischt es einen selbst? Ratgeber, wie man seine IT-Umgebung gegen Ransomware verteidigen kann, und Technologien, die eine erfolgreiche Abwehr versprechen, gibt es viele. Doch im Notfall ist es wichtig zu wissen, was man als erstes tun sollte. Dies erläutert Daniel Clayton von Bitdefender im nachfolgenden Gastkommentar.
Oberste Priorität ist es natürlich, die Daten und Systeme schnellstmöglich wieder verfügbar zu bekommen. Damit dies funktioniert und damit man die richtigen Lehren aus einem erfolgreichen Angriff ziehen kann, sollte man einige Maßnahmen befolgen:
1. Geräte schnell isolieren. Eine Ransomware sollte sich nicht weiter ausbreiten können als bereits geschehen. Daher sollten Administratoren betroffene Systeme so schnell wie möglich vom Netzwerk isolieren. Vor allem bei den Aufräumarbeiten nach einem Ransomware-Angriff hilft es zu verhindern, dass sich die erpresserische Malware weiter ausbreitet.
2. Den Angriffsvektor verstehen. Sind die betroffenen Geräte isoliert, ist es wichtig zu verstehen, wie es zu dem Vorfall kommen konnte. Das hilft zum einem, den Vorfall zu bewältigen, zum anderen liefert es wertvolle Lektionen für die Zukunft. Es gilt also herauszufinden: Wer war „Patient Zero“ (der erste befallene Rechner, d.Red.) im Netzwerk?
3. Backups sichern und überprüfen. Applikationen und Server lassen sich wieder einrichten, Daten sind aber unersetzlich. Ohne Backups ist es nicht mehr möglich, sie wiederherzustellen. Deshalb gilt als Maßnahme, sie erst einmal vom Netz zu nehmen. Angreifer suchen als Teil ihres Angriffs gezielt nach Backups. Sind diese weiter online, besteht die Gefahr, dass sie in den Angriff einbezogen werden. Noch besser ist es natürlich, von vornherein Offline-Backups an einem physisch getrennten Ort vorzuhalten. Die 3-2-1-Regel des Backups ist gerade für das Sichern von Daten gegen erpresserische Angriffe eine Selbstverständlichkeit. Damit läuft eine Lösegeldforderung unter Umständen – zumindest was den Datenbestand trifft – ins Leere. IT-Administratoren können sich stattdessen darum kümmern, die Systeme wieder aufzubauen.
4. Projekte und geplante Aufgaben stoppen. Ein Ransomware-Angriff ist ein Notfall und erfordert das Bündeln aller Ressourcen. Ein betroffenes Unternehmen sollte deshalb den Umbau der IT-Architektur, Migrationen auf neue Umgebungen oder das Installieren neuer Applikationen und Server sofort stoppen. Solche Projekte könnten der Malware helfen, sich weiter auszubreiten. Ebenso wichtig ist es, terminierte Aufgaben, zum Beispiel Backups, zu stoppen. Denn auch in deren Verlauf kann sich die erpresserische Malware weiter ausbreiten.
5. Potenziell kompromittierte Bereiche unter Quarantäne stellen. Generell sollte man direkt nach einem Angriff keine Möglichkeit ausschließen und alle potenziell betroffenen Teile der Infrastruktur unter Quarantäne stellen. Das bedeutet, alles erst einmal vom Netz zu nehmen und einzeln zu untersuchen, bevor es wieder zum Einsatz kommen kann.
6. Nach dem Angriff ist vor dem Angriff: Passwörter ändern. Zu Beginn eines Vorfall ist oft noch nicht klar, wie es dazu kommen konnte. War es lediglich eine einfacher Angriff? Oder handelte es sich um eine komplexe Attacke, die möglich war, weil der Angreifer Authentifikationsdaten erbeutet hatte? Wen dem so war, kann er immer wieder den nächsten Versuch starten. Es ist daher auf jeden Fall sinnvoll, die Passwörter systemkritischer Nutzerkonten zu ändern.
7. Kritische Sicherheitssituationen planen und üben. Die IT-Administration wird im Fall des Falles unter hohen Druck stehen – und damit besteht die Gefahr, dass in dieser Drucksituation falsche Entscheidungen fallen. Um dies möglichst zu verhindern, sollten sich IT-Abteilungen auf den Ernstfall vorbereiten. Idealerweise haben die Sicherheitsverantwortlichen Prozesse definiert. Denn gerade im Ernstfall benötigen Unternehmen eine Blaupause, um keine sinnvollen Maßnahmen zu vergessen. Eine IT-Organisation sollte diese Prozesse außerdem regelmäßig üben, etwa im Rahmen von simuliertem „Red and Blue Team Testing“. Wissen die Beschäftigten, dass es einen Plan gibt, der im Ernstfall greift, und dass dieser Plan eingeübt ist, mindert dies das Risiko, unter Druck falsch zu handeln.
Im Idealfall haben Organisationen genug in Präventionsmaßnahmen wie eine XDR-Lösung (Extended Detection and Response) investiert, um nicht Opfer eines Ransomware-Angriffes zu werden. Neben technologischen Abwehrmaßnahmen zählen in der Prävention die klassischen Vorsichtmaßnahmen und Aufgaben der IT: Systeme updaten, verteilte Backups sichern und auf Ihre Funktionsweise überprüfen. Doch ebenso wichtig ist das permanente Beobachten des Geschehens im Netzwerk durch eigene oder externe Experten, wie etwa im Rahmen eines MDR-Dienstes (Managed-Detection and Response). Diese bringen viel Routine mit sich und unter Umständen die notwendige Distanz, um gerade das zu verhindern, was auf jeden Fall zu vermeiden ist: Panik und Folgefehler.
Daniel Clayton ist Vice President Global Services and Support bei Bitdefender.
Lesen Sie mehr zum Thema
