Die Dauer für die Wiederherstellung nach einem Ransomware-Angriff schwankt gewaltig. Im besten Fall, also wenn die Infektion gestoppt werden konnte, Notfallwiederherstellungspläne konsequent getestet wurden und der Decrypter ohne Probleme ausgeführt wird, können Unternehmen ihre Systeme binnen weniger Tage wieder zum Laufen bringen.
Das ist jedoch eher eine Seltenheit. Die Ausfallzeiten bei von Ransomware betroffenen Unternehmen belaufen sich durchschnittlich auf 21 Tage1. Mitunter können sie sich auch über Monate hinziehen.
Es kommt häufig vor, dass Unternehmen die zur Abwicklung eines Ransomware-Vorfalls erforderliche Zeit unterschätzen. Allzu verlockend ist der Gedanke, dass zu einer Wiederherstellung lediglich Sicherungen des Systems wieder eingespielt oder – im weniger wünschenswerten Fall – die Angreifer eben für das Entschlüsseln bezahlt werden müssen. Tatsächlich gibt es jedoch viele weitere Aspekte, die den Wiederherstellungsprozess verzögern können.
In diesem Artikel erklären wir, weshalb es für Unternehmen mitunter länger als erwartet dauern kann, um sich von einem Ransomware-Angriff zu erholen.
1. Mangelhafte Dokumentation
Ein wesentlicher Grund für den hohen Zeitaufwand einer Wiederherstellung ist eine mangelhafte Dokumentation. Viele Unternehmen arbeiten mit überholten Systemen oder Diensten, deren Dokumentation veraltet, ungenau oder schlicht nicht vorhanden ist.
Ohne eine aussagekräftige Dokumentation muss das IT-Personal in der dann sicherlich verwirrenden und ungewissen Situation Lösungsansätze improvisieren, die höchstwahrscheinlich zu Fehlern führen oder auch gar nicht wirken. Infektionen werden möglicherweise nicht vollständig gestoppt, Daten unnötigerweise beschädigt und Konformitätsanforderungen nicht eingehalten. Je nach Erfahrungsgrad des IT-Teams kann es durchaus auch vorkommen, dass es zum ersten Mal mit einem Cybersecurity-Vorfall größeren Ausmaßes zu tun hat.
2. Unzureichende Tests
Ein wichtiger Bestandteil eines jeden Ransomware-Notfallplans sind klar ausgearbeitete Gegenmaßnahmen. Es reicht jedoch nicht, nur einen Notfallplan zu haben. Die Wiederherstellungsstrategien müssen auch regelmäßig getestet werden, damit das Personal die aktuellen Sicherheitsverfahren kennt und genau weiß, was bei einem Vorfall zu tun und wer zu benachrichtigen ist.
Die Simulation eines Ransomware-Angriffs über theoretische Übungen ist beispielsweise eine nützliche Methode, um zu testen, wie gut ein Unternehmen auf Ransomware vorbereitet ist und welche Lücken eventuell im Notfallplan noch zu schließen sind. Laut einem Bericht von Veritas haben über die Hälfte (57 Prozent) der Unternehmen ihren Notfallplan innerhalb der letzten zwei Monate nicht getestet.
3. Forensische Untersuchungsverfahren
Bevor das System wiederhergestellt werden kann, muss das betroffene Unternehmen ausführlich untersuchen, auf welche Art dieses beeinträchtigt wurde und wie umfangreich der Angriff war.
Die Angriffskette könnte schon vor Wochen oder sogar Monaten begonnen haben. Daher ist eine gründliche Analyse eventuell sehr zeitaufwendig und es ist möglicherweise externe Unterstützung von digitalen Forensikspezialisten erforderlich, was die Wiederherstellung weiter verzögert.
4. Schlechte Funktionsweise des Decrypters
Die Wiederherstellung kann auch durch die schlechte Leistung der Decrypter beeinträchtigt werden. Unternehmen sollten sich bewusst sein, dass die von den Angreifern bereitgestellten Decrypter oftmals nicht so funktionieren wie behauptet. Die tatsächliche Zeit zur Entschlüsselung kann also erheblich länger ausfallen. Es kommt auch vor, dass Decrypter Bugs enthalten, die die Daten beim Entschlüsseln unwiederbringlich beschädigen.
5. Kommunikation
Während die Wiederherstellungsmaßnahmen großteils technischer Natur sind, muss doch auch viel kommuniziert werden, sowohl mit internem Personal als auch externen Dienstleistern, die möglicherweise zur Unterstützung herangezogen wurden:
- Rechtliches: Unternehmen müssen sich höchstwahrscheinlich mit ihrer Rechtsabteilung bezüglich Meldepflichten, möglicher rechtlicher Folgen und der Rechtmäßigkeit einer Lösegeldzahlung absprechen.
- Versicherung: Während der Wiederherstellung wird auch ein ständiger Dialog mit den Versicherern des Unternehmens erforderlich sein. Hier gilt es Deckungen, erwartete Ausfallzeiten, Wiederherstellungskosten, Selbstbeteiligungen und ähnliche Themen zu besprechen.
- Kunden: Das betroffene Unternehmen möchte eventuell auch seine Kunden über den Vorfall informieren. Eine klare Kommunikation ist unerlässlich, um Transparenz zu demonstrieren und den Reputationsschaden so gering wie möglich zu halten. Sollte das interne Kommunikationsteam des Unternehmens keine Erfahrung mit schwerwiegenden Cybersecurity-Ereignissen haben, sollte ein auf Krisenkommunikation spezialisierter Anbieter beauftragt werden.
- Angreifer: Je nach Situation entscheiden sich einige Unternehmen mitunter auch für eine Kommunikation mit den Angreifern, etwa um einen Decrypter zu erhalten und/oder die Höhe des Lösegeldes auszuhandeln. Es gibt auch Organisationen, die im Namen der Opfer die Verhandlungen führen.
6. Neuaufbau und Stärkung des Systems
Rein technisch gesehen ist die Wiederherstellung abgeschlossen, wenn das betroffene System wiederhergestellt wurde und das Unternehmen seinen Betrieb wieder aufnehmen konnte.
„Betriebsfähig“ ist jedoch nicht dasselbe wie „sicher“. Damit es in Zukunft nicht zu ähnlichen Vorfällen kommt, müssen Unternehmen auch viel Zeit in die Stärkung ihrer Sicherheitsprozesse stecken. Basierend auf den Ergebnissen der forensischen Analyse gilt es, Schwachstellen zu beheben und Gegenmaßnahmen zu verbessern.
Indem Unternehmen in eine bewährte Antivirus-Lösung wie Emsisoft Business Security investieren, können sie zuverlässig Ransomware-Bedrohungen erkennen und aufhalten, bevor es zu einer Verschlüsselung kommt.
1 Ransomware Payments Fall as Fewer Companies Pay Data Exfiltration Extortion Demands – Coveware
Übersetzung: Doreen Schäfer