Das Risiko einer Malware-Infektion ist niemals gleich Null. Egal, wie streng Ihre Sicherheitspolitik ist, in welche Technologien Sie investieren oder wie groß Ihr Unternehmen ist, es besteht immer die Möglichkeit, dass ein Schädling durch die Maschen Ihres Verteidigungsnetzes schlüpft.
Wenn – und es sollte immer von einem Wenn und niemals von einem Falls ausgegangen werden – es dazu kommt, müssen Sie wissen, wie Sie richtig reagieren. Es ist daher unerlässlich, über einen eindeutigen Notfallplan zum Eindämmen und Beheben der Infektion zu verfügen. Nur so lässt sich vermeiden, dass eine bereits schwierige Situation noch schlimmer wird.
Sie wissen nicht, wo Sie am besten anfangen sollen? Dann ist dieser Artikel für Sie genau der richtige. Wir erläutern acht wichtige Schritte, wie Sie nach einem Malware-Fund in Ihrem System vorgehen sollten.
1. Infizierte Hosts identifizieren
Zunächst erst einmal müssen Sie sicherstellen, ob es sich tatsächlich um eine Malware-Infektion handelt. In einigen Fällen, etwa bei einem unternehmensweiten Ransomware-Angriff, ist das überflüssig, da offensichtlich eine Infektion vorliegt.
Infektionen sind aber nicht immer so eindeutig festzustellen. In einigen Fällen müssen die Quellen des Fundes näher beleuchtet werden, um die Natur des Vorfalls besser verstehen zu können. Forensische Daten aus der Antivirus-Software, Inhaltsfiltern sowie IPS- oder SIEM-Technologien können in der Regel einen guten Einblick liefern, um welche Art von Malware es sich handelt und wie Ihr System kompromittiert werden konnte. Darauf basierend lassen sich dann auch angemessene Gegenmaßnahmen ergreifen. Protokolldaten sollten mindestens ein Jahr lang aufgehoben werden, um nach einem Vorfall gründliche Untersuchungen anstellen zu können.
Analyse-Tools wie Emsisoft EDR können überaus nützlich sein, um Vorfälle in Echtzeit zu untersuchen. Sie verschaffen IT-Teams ein besseres Verständnis, wie die Bedrohung ihren Anfang nahm, welche Systeme betroffen sind und wie sich am besten auf den Vorfall reagieren lässt.
2. Die Infektion eindämmen
Nachdem Sie sich gründlich über den Vorfall informiert haben, gilt es, diesen einzudämmen. Die Eindämmung einer Infektion verfolgt zwei Ziele: Zum einen wird die Malware daran gehindert, sich auf andere Geräte im Netzwerk auszubreiten, und zum anderen wird vermieden, dass bereits kontaminierte Geräte weiteren Schaden erleiden.
Idealerweise werden alle betroffenen Netzwerke während der Bereinigung offline geschaltet. Dies ist jedoch nicht immer möglich. Ein vorübergehend blockierter Netzwerkzugriff ist beispielsweise nützlich, um die weitere Ausbreitung der Malware zu verhindern. Allerdings können die dadurch entstandenen Schäden größer sein als die Sicherheitsrisiken, wenn die betroffenen Netzwerke nicht isoliert würden. Ist dies der Fall, sollten nur die infizierten Hosts vom Netzwerk getrennt werden, während alle anderen, nicht betroffenen Geräte auf Anzeichen von bösartigen Aktivitäten zu überwachen sind.
3. Sicherungen von kompromittierten Hosts erstellen
Bei einigen Malwarearten und -familien kann durch die Gegenmaßnahmen die Datenintegrität gefährdet werden. Um dieses Risiko zu minimieren, sollten Sie immer vor der Bereinigung eine Sicherung der mit Ransomware infizierten Systeme anlegen. Falls dann etwas beim Entschlüsseln schief gehen, können Sie das System (auf seinen verschlüsselten, nicht nutzbaren Zustand) wiederherstellen und einen weiteren Entschlüsselungsversuch unternehmen.
In diesem Blogartikel erhalten Sie weitere Informationen, wie Sie am besten auf einen Ransomware-Angriff reagieren.
4. Kompromittierte Zugangsdaten zurücksetzen
Es besteht auch immer ein hohes Risiko, dass zwischen der Infektion und ihrer Entdeckung Zugangsdaten gestohlen und an die Angreifer übertragen wurden. Sie sollten daher jegliche Zugangsdaten zurücksetzen, die bei dem Vorfall möglicherweise beeinträchtigt wurden. Dabei ist es sinnvoll, sich an bewährte Praktiken zum Erstellen und Verwalten neuer Kennwörter zu halten. Achten Sie beim Zurücksetzen der Zugangsdaten darauf, dass Sie sich nicht aus Systemen oder Diensten ausloggen, die Sie während der Wiederherstellung benötigen.
5. Die Malware entfernen
Das Vorgehen beim Entfernen der Malware von den betroffenen Geräten hängt vom Ausmaß der Infektion ab. Für eine gewöhnliche Infektion reicht in der Regel eine gute Antivirus-Lösung. In diesem Fall sollte die Malware allerdings nicht gelöscht, sondern in Quarantäne verschoben werden, damit sie später bei Bedarf weiter analysiert werden kann.
Bei komplexeren Bedrohungen kann es sinnvoller sein, das Gerät komplett zu bereinigen und das Betriebssystem neu aufzusetzen, insbesondere wenn:
- Ransomware zum Einsatz kam.
- das Gerät für eine unbekannte Zeit infiziert war.
- das Gerät mit Hintertüren, Rootkits oder anderen komplexen Malware-Arten infiziert war.
- es nicht sicher ist, ob weitere schädliche Aktivitäten auf dem infizierten Gerät ausgeführt wurden.
Bei den oben aufgeführten Beispielen ist es für ein Unternehmen am sichersten, dass kompromittierte Gerät komplett neu aufzusetzen, um sicherzustellen, dass die Infektion vollständig entfernt wurde.
6. Aus Backups wiederherstellen
Wenn Sie Ihr System von Backups wiederherstellen, müssen Sie sich absolut sicher sein, dass diese keine Malware enthalten, um es nicht erneut zu infizieren. Sobald das Gerät wiederhergestellt wurde, kann es mit einem sauberen Netzwerk verbunden werden, um Updates für das Betriebssystem und andere Anwendungen herunterzuladen und zu installieren.
7. Erneut mit Netzwerk verbinden
Grundsätzlich besteht die Behebung eines Malware-Vorfalls darin, die betroffenen Geräte vorübergehend abzuriegeln und deren Funktionalität wiederherzustellen. Nachdem Sie die Malware nun durch Desinfektion oder Wiederherstellung entfernt haben, besteht der letzte Schritt darin, die vorübergehende Abriegelung zu beenden.
Wenn Sie sich sicher sind, dass das betroffene Netzwerk sauber ist, verbinden Sie das wiederhergestellte Gerät wieder damit und aktivieren Sie jegliche Dienste, die Sie zuvor eventuell deaktiviert haben. Achten Sie in den nun folgenden Stunden, Tagen und Wochen genau darauf, ob in dem Netzwerk erneut verdächtige Aktivitäten auftreten, die auf eine mögliche Infektion hindeuten könnten.
8. Aus dem Vorfall lernen
Sehen Sie jeden Malware-Vorfall als eine Gelegenheit zum Lernen. Das klingt zwar etwas abgedroschen, aber indem Sie sich rückblickend noch einmal kritisch mit dem Vorfall auseinandersetzen, können Sie besser verstehen, wie es zu der Infektion kam, wie gut Sie darauf vorbereitet waren und wo eventuell noch Verbesserungspotenzial bei Ihrem Notfallplan besteht.
Nachträgliche Lernübungen können helfen, Schwachstellen auszumachen und zu beheben und folglich das Risiko einer Wiederholung zu minimieren. Mögliche Verbesserungsmaßnahmen sind dann beispielsweise, die Sicherheitspolitik des Unternehmens zu ändern, die Software- und Betriebssystemeinstellungen zu korrigieren, Sicherheitsanwendungen besser zu konfigurieren, in neue Cybersecurity-Tools zu investieren oder formelle Notfallverfahren anzupassen.
Fazit
Indem Sie wissen, wie Sie wirkungsvoll auf eine Malware-Infektion reagieren, können Sie verhindern, dass der Vorfall zu einem noch größeren, kostspieligeren und störenderen Problem wird.
Dieser Artikel beschreibt einige allgemeine empfohlene Vorgehensweisen bei einem Malware-Vorfall. Dabei muss jedoch beachtet werden, dass sich Malware-Varianten stark hinsichtlich ihrer Funktionalität, Komplexität und Hartnäckigkeit unterscheiden, weshalb Gegenmaßnahmen immer an die einzigartigen Anforderungen des betroffenen Unternehmens angepasst werden müssen.
Übersetzung: Doreen Schäfer