Ransomware-Ratgeber für Unternehmen: 8 wichtige Maßnahmen nach einem Angriff

  • 17. September 2020
  • 10 min Lesezeit
Fresh start: How to prevent malware infections in 2021

Wie sagte schon Benjamin Franklin: „Wer bei der Vorbereitung versagt, bereitet sich auf sein Versagen vor.“

Im Falle eines Ransomware-Angriffs kann ein wirkungsvoller Notfallplan entscheidend sein, damit keine Panik aufkommt. Von ihm kann es abhängen, ob sich die Infektion im gesamten Unternehmen ausbreitet oder ein sich in Grenzen haltender Einzelfall bleibt und damit, ob er sich leicht beheben lässt oder das Ende des Unternehmens bedeutet.

In diesem Ratgeber erläutern wir ausführlich, wie Unternehmen auf einen Ransomware-Angriff reagieren sollten. Außerdem stellen wir Vorsichtsmaßnahmen vor, mit denen sich das Infektionsrisiko minimieren lässt.

Empfohlene Reaktion auf einen Ransomware-Angriff

Falls Vorsichtsmaßnahmen versagen, sollten Unternehmen direkt nach dem Erkennen der Ransomware-Infektion die folgenden Schritte durchführen.

1. Betroffene Systeme isolieren

Die Isolation hat höchste Priorität. Die meisten Ransomware-Versionen scannen das Netzwerk, um auch über das Netzwerk freigegebene Dateien zu verschlüsseln und sich auf andere Systeme zu übertragen. Um die Infektion einzudämmen und eine Verbreitung des Schädlings zu verhindern, müssen infizierte Systeme so schnell wie möglich vom Netzwerk getrennt werden.

2. Sicherungen schützen

Sicherungen spielen für die Wiederherstellung eine wichtige Rolle. Dabei darf jedoch nicht vergessen werden, dass auch sie nicht vor Ransomware immun sind. Um eine Wiederherstellung zu verhindern, haben es viele Ransomware-Varianten besonders darauf abgesehen, auch die Sicherungen eines Unternehmens zu verschlüsseln, zu überschreiben oder zu löschen.

Im Falle eines Ransomware-Angriffs muss das Unternehmen die Sicherungen schützen, indem es sie vom Netzwerk trennt und den Zugriff darauf sperrt, bis die Infektion behoben wurde.

In dieser Anleitung erhalten Sie weitere Tipps, wie Sie vor Ransomware geschützte Sicherungen anlegen und verwalten können.

3. Wartungsaufgaben deaktivieren

Außerdem sollten Unternehmen sofort auf den betroffenen Systemen automatisierte Wartungsaufgaben zum Löschen temporärer Dateien oder für Protokollwechsel deaktivieren. Diese könnten anderenfalls Dateien beeinträchtigen, die möglicherweise von Untersuchungs- und Forensikteams benötigt werden.

Dateiprotokolle können beispielsweise wichtige Hinweise auf den Ausgangspunkt einer Infektion liefern. Es gibt auch einige schlecht programmierte Ransomware-Varianten, die wichtige Informationen wie die Verschlüsselungsschlüssel in temporären Dateien speichern.

4. Sicherungen der infizierten Systeme anlegen

Nachdem die infizierten Systeme von Netzwerk getrennt wurden, sollte eine Sicherung oder ein Abbild von ihnen erstellt werden. Dafür gibt es zwei wesentliche Gründe:

Datenverlust verhindern

Einige Ransomware-Decrypter enthalten Fehler, die Daten beschädigen könnten. Der Decrypter der namhaften Ransomware-Familie Ryuk hat beispielsweise beim Verschlüsseln die Dateien gekürzt, indem diese um jeweils ein Byte beschnitten wurden. Bei einigen Formaten hatte dies keine großen Auswirkungen. Andere Dateitypen (z. B. virtuelle Festplattenformate wie VHD/VHDX sowie viele Oracle- und MySQL-Datenbankdateien) speichern jedoch wichtige Informationen in diesem letzten Byte und wären daher nach dem Entschlüsseln beschädigt.

Eine Sicherung des infizierten Systems gewährt Datenintegrität. Sollte beim Entschlüsseln etwas schief laufen, können Opfer Ihr System zurücksetzen und das Entschlüsseln wiederholen oder sich an einen Spezialisten zur Ransomware-Wiederherstellung wenden, um eine zuverlässige individuell entwickelte Entschlüsselungslösung zu erhalten.

Kostenlose Entschlüsselung könnte möglich werden

Falls die verschlüsselten Daten nicht unternehmenskritisch sind und daher nicht dringend wieder benötigt werden, sollten sie gesichert und gut geschützt aufbewahrt werden, da es durchaus möglich sein kann, dass diese in der Zukunft entschlüsselt werden können.

Es ist bereits vorgekommen, dass Strafverfolgungsbehörden Ransomware-Programmierer und Steuerserver ausfindig gemacht haben, woraufhin Entschlüsselungsschlüssel veröffentlicht werden und die Opfer Ihre Daten kostenlos entschlüsseln konnten. Es gibt auch eine Reihe von Ransomware-Gruppen, wie beispielsweise Shade, TeslaCrypt oder CrySis, die ihre Schlüssel freiwillig veröffentlicht haben, nachdem sie ihre Aktivitäten eingestellt hatten.

5. Malware in Quarantäne verschieben

Opfer sollten niemals infizierte Systeme bereinigen, löschen, neu formatieren oder ein Abbild aufspielen, sofern sie nicht ausdrücklich von einem Ransomware-Wiederherstellungsspezialisten dazu aufgefordert wurden. Stattdessen sollte die Malware die Quarantäne verschoben werden, sodass Infektion analysiert und die genaue Ransomware-Variante bestimmt werden kann, die Dateien verschlüsselt hat. Wird die Infektion entfernt, wird es für Wiederherstellungsteams extrem schwierig, die bei dem Angriff verwendete Ransomware-Version zu identifizieren.

Wird die Malware noch ausgeführt, sollte vor dem Verschieben in Quarantäne ein Speicherabbild erstellt werden, um nachvollziehen zu können, welche schädlichen Prozesse laufen. In dem Speicherabbild könnten wichtige Informationen verzeichnet werden, dass zum Verschlüsseln der Dateien verwendet wurde. Dieses lässt sich möglicherweise extrahieren und dafür einzusetzen, die Dateien des Opfers ohne Zahlung des Lösegeldes wieder zu entschlüsseln.

6. Ausgangspunkt ausfindig machen und untersuchen

Den Ausgangspunkt ausfindig zu machen (also das Gerät, bei dem die Infektion zuerst auftat), ist unerlässlich, um zu verstehen, wie sich die Angreifer Zugriff auf das System verschaffen konnten, welche weiteren Aktionen sie möglicherweise im Netzwerk durchgeführt haben und wie umfangreich die Infektion ist. Das Aufspüren des Ausgangspunktes der Infektion ist also nicht nur nützlich, um den aktuellen Vorfall aufzuklären, sondern kann Unternehmen auch dabei helfen, Schwachstellen ausfindig zu machen und das Risiko zukünftiger Beeinträchtigungen zu senken.

Da die Angreifer möglicherweise bereits Wochen oder sogar Monate im System unterwegs sind, bevor sie die Ransomware bereitstellen, kann es überaus schwierig werden, den Ausgangspunkt der Kompromittierung zu finden. Unternehmen, denen das Personal oder Fachwissen für eine gründliche digitale Untersuchung fehlt, sollten einen professionellen IT-Forensik-Anbieter in Anspruch nehmen.

7. Die Ransomware-Variante identifizieren

Unternehmen können kostenlose Dienste wie das Online-Tool zur Ransomware-Identifikation von Emsisoft oder ID Ransomware nutzen, um herauszufinden, welcher Ransomware-Version sie zum Opfer gefallen sind.

Bei diesen Tools können die Benutzer die Lösegeldforderung, eine verschlüsselte Beispieldatei und die Kontaktdaten des Angreifers hochladen und analysieren lassen, um ihre Ransomware-Variante zu identifizieren. Sollte es bereits ein kostenloses Entschlüsselungstool dafür geben, werden sie dorthin weiterverwiesen.

8. Zahlung des Lösegeldes abwägen

Sollten Sicherungen beschädigt sein und es noch kein kostenloses Entschlüsselungstool geben, könnten Unternehmen die Zahlung des Lösegeldes in Betracht ziehen, um ihre Dateien wiederherzustellen.

Auf diese Weise können zwar möglicherweise die allgemeine Betriebsunterbrechung und deren Kosten geringer ausfallen, allerdings sollte diese Entscheidung nicht leichtfertig getroffen werden. Unternehmen sollten die Zahlung des Lösegeldes nur in Betracht ziehen, wenn alle anderen Möglichkeiten erschöpft sind und ein Datenverlust eine Geschäftsaufgabe zur Folge hätte.

Dabei sind folgende Faktoren zu beachten:

Zu vermeidende Reaktion auf einen Ransomware-Angriff

Ein falscher Umgang mit einem Ransomware-Vorfall kann die Wiederherstellung beeinträchtigen, die Daten gefährden und zu einer unnötigen Zahlung des Lösegelds führen. Unternehmen sollten daher nach einem Ransomware-Angriff folgende Fehler vermeiden:

1. Betroffene Geräte neu starten

Unternehmen sollten unbedingt vermeiden, dass von einer Ransomware beeinträchtigte Geräte neu gestartet werden. Viele Ransomware-Versionen erkennen den Neustartversuch und bestrafen die Opfer durch Beschädigung der Windows-Installation, sodass sich das Gerät gar nicht mehr starten lässt. Andere wiederum löschen nach und nach in zufälliger Abfolge die verschlüsselten Dateien. Die im Jahr 2016 vorherrschende berühmt-berüchtigte Jigsaw-Ransomware löschte bei jedem Geräteneustart zufällig 1000 verschlüsselte Dateien.

Ein Neustart kann auch forensische Bemühungen behindern, da dabei der Speicher des Geräts gelöscht wird, in dem jedoch wie bereits erwähnt für die Techniker nützliche Hinweise enthalten sein könnten. Die Systeme sollten stattdessen in den Ruhemodus versetzt werden, wodurch alle Speicherdaten in eine Referenzdatei auf der Festplatte des Gerätes geschrieben werden. Diese kann dann zur weiteren Analyse eingesetzt werden.

2. Externe Speichergeräte an das infizierte System anschließen

Viele Ransomware-Familien zielen auch auf externe Speichergeräte und Sicherungssysteme ab. Folglich dürfen diese nicht mit den infizierten Systemen (physisch oder über das Netzwerk) verbunden werden, bis die Infektion vollständig entfernt wurde

Es ist nicht immer offen ersichtlich, dass eine Ransomware ausgeführt wird. Leider gibt es viele Fälle, bei denen Unternehmen mit einer Wiederherstellung begonnen haben, ohne zu bemerken, dass die Ransomware immer noch auf dem System vorhanden ist. Dies ermöglichte es dem Schädling, auch die Sicherungssysteme und Speichergeräte zu verschlüsseln.

3. Sofortige Zahlung des Lösegelds

Auch wenn Ausfallzeiten und eine mögliche Schädigung des guten Namens beunruhigen sind, sollten Unternehmen niemals sofort ein Lösegeld zahlen. Es sollten immer zunächst alle anderen verfügbaren Möglichkeiten umfassend geprüft werden, bevor diese Entscheidung als letzter Ausweg getroffen wird.

4. Über das betroffene Netzwerk kommunizieren

Während der Wiederherstellung sollten Opfer davon ausgehen, dass die Angreifer weiterhin Zugriff auf das betroffene Netzwerk haben und daher jegliche darüber gesendete oder empfangene Kommunikation abfangen können. Unternehmen sollten sichere Out-of-Band-Kommunikationskanäle (also außerhalb des Netzwerks) einrichten und Anwendern die Kommunikation über das kompromittiert Netzwerk untersagen, bis das Problem behoben und Angreifer aus dem Netzwerk entfernt wurden.

5. Dateien löschen

Es sollten keine Dateien von dem verschlüsselten System gelöscht werden, sofern nicht ein Ransomware-Wiederherstellungsspezialist dazu aufgefordert hat. Verschlüsseln der Dateien sind nicht nur für die Untersuchungen nützlich, sondern können bei einigen Ransomware Familien auch Verschlüsselungsschlüssel enthalten. Werden diese gelöscht, funktioniert Decrypter nicht mehr.

Auch Lösegeldforderungen sollten niemals gelöscht werden. Einige Ransomware-Versionen wie DoppelPaymer und BitPaymer erstellen für jede verschlüsselte Datei eine Forderung, die den für das Entschlüsseln erforderlichen verschlüsselten Schlüssel enthält. Wird die Lösegeldforderung gelöscht, kann die zugehörige Datei nicht mehr entschlüsselt werden.

6. Ransomware-Programmierern vertrauen

Zwar versuchen Ransomware-Programmierer zunehmend, sich eine professionelle Fassade zuzulegen, allerdings sind und bleiben sie Kriminelle, die sich keinerlei Vereinbarungen oder Verhaltenskodexen verpflichtet fühlen. Unternehmen sollten niemals den von Ransomware-Gruppen bereitgestellten Informationen Glauben schenken (nicht einmal der in der Lösegeldforderung angegebenen Ransomware-Version) und auch nicht darauf vertrauen, dass eine Zahlung des Lösegeldes tatsächlich zum Entschlüsseln der Daten führt.

Zum Identifizieren der verwendeten Familie sollten immer vertrauenswürdige Dienste wie das Online-Tool zur Ransomware-Identifikation von Emsisoft oder ID Ransomware verwendet werden. Die Opfer sollten sich auch bewusst sein, dass die Angreifer nach der Zahlung möglicherweise keine Decrypter bereitstellen oder dass diese fehlerhaft sein und/oder die verschlüsselten Daten sogar beschädigen könnten.

So minimieren Sie das Risiko einer Ransomware-Infektion

Indem sie aktiv Sicherheitsvorkehrungen treffen, können Sie das Risiko eines Ransomware-Vorfalls senken. Unternehmen sollten unabhängig von ihrer Größe folgende Vorsichtsmaßnahmen umsetzen und deren Einhaltung und Wirksamkeit regelmäßig überprüfen:

Darüber hinaus sollten Notfallpläne ausgearbeitet und regelmäßig getestet werden, um sicherzustellen, dass die Mitarbeiter mit den Sicherheitsvorkehrungen vertraut sind und genau wissen, was im Falle einer Infektion zu tun ist. Durch die Tests können Unternehmen zudem Sicherheitslücken bei den Notfallmaßnahmen erkennen und schließen. Am ungünstigsten für ein Unternehmen wird es, wenn es erst bei einem tatsächlichen Angriff herausfinden muss, was bei einem Ransomware-Angriffs zu tun ist. In dieser Warnung des FBI erhalten Sie weitere Informationen zum Erkennen und Beseitigen bösartiger Aktivitäten.

Fazit

Verfolgen Unternehmen eine aktive Herangehensweise zum Vorbeugen von Ransomware, können Sie Ihr Infektionsrisiko erheblich senken. Im Falle eines Angriffs müssen Unternehmen außerdem über wirkungsvolle Notfallmaßnahmen verfügen, um den Vorfall einzudämmen, einen Datenverlust zu vermeiden und einen sicheren Wiederherstellungsprozess einzuleiten.

Mit den in diesem Artikel beschriebenen Maßnahmen können Unternehmen jeder Größe die Auswirkungen eines Ransomware-Angriffs mildern. Es handelt sich dabei jedoch um allgemeine Empfehlungen, die keinen Anspruch auf Vollständigkeit erheben. Sicherheitsanforderungen können extrem unterschiedlich sein und Sicherheitssysteme sollten daher immer an die jeweiligen Branchen, gesetzlichen Vorgaben und individuellen Sicherheitsanforderungen des Unternehmens angepasst werden.

 

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel