Bei Ransomware handelt es sich um Schadsoftware, die Dateien verschlüsselt und verhindert, dass Benutzer auf Computersysteme zugreifen oder diese nutzen können. Zumeist geht ein Ransomware-Angriff mit einer Lösegeldforderung einher und legt infizierte Computer, Server und Dateien lahm. Angriffe sind häufig – laut dem Veeam Global Report 2023 on Ransomware Trends wurden 85 % der befragten Unternehmen in den vergangenen zwölf Monaten mindestens einmal Opfer eines Cyberangriffs. 80 % zahlten das Lösegeld, aber nur 75 % konnten ihre Daten wieder aufrufen und im Schnitt nur 66 % ihrer Daten wiederherstellen. In 75 % der Fälle hatten es Hacker gezielt auf Backup-Repositorys abgesehen.
16 % der angegriffenen Unternehmen konnten ihre Daten ohne Lösegeldzahlung wiederherstellen. Diese Organisationen verfügten über saubere, unveränderliche und zuverlässige Backups sowie eine integrierte Strategie zur Reaktion auf Ransomware, die wie beabsichtigt funktionierte. Das Fazit ist: Es ist möglich, sich von einem Ransomware-Angriff zu erholen, wenn Sie über einen zuverlässigen Plan zum Umgang mit Ransomware-Angriffen verfügen.
Wichtige Elemente eines Plans zum Umgang mit Ransomware
Da Angriffe häufig vorkommen, ist es wichtig zu wissen, wie nach einem Ransomware-Angriff schnell eine Wiederherstellung durchgeführt werden kann. Zu den wichtigsten Aspekten Ihres Plans für die Wiederherstellung nach Ransomware-Angriffen gehören die Absicherung von Systemen, strenge Präventionsmaßnahmen, die Erkennung von und die Reaktion auf Ransomware-Angriffe, Maßnahmen zur Wiederherstellung sowie Pläne zur Benachrichtigung der zuständigen Behörden und betroffener Parteien. Führen Sie nach einem Vorfall immer eine Analyse durch, um zukünftige Angriffe zu verhindern.
Schritt 1: Vorbeugende Maßnahmen
Um Ransomware-Angriffe zu verhindern und abzuwehren, können Sie verschiedene Maßnahmen ergreifen. Dazu gehören Mitarbeiterschulungen, Risikobewertungen, Hard- und Softwarelösungen zur Härtung, Netzwerksegmentierung und sichere Datensicherungen:
Schulen Sie Ihre Mitarbeiter: Ihre Mitarbeiter sind Ihre erste Verteidigungslinie bei Malware-Angriffen. Daher sollten Sie sie darin schulen, wie sie Angriffe erkennen können, und sie über Ransomware-Bedrohungen sowie darüber, wie sie Anzeichen für betroffene Systeme erkennen können, aufklären.
Führen Sie Risikobewertungen durch: Expertenteams führen Risikobewertungen durch, um Schwachstellen bei Ihrem Schutz gegen Malware und Ransomware zu identifizieren.
Sichern von Port- und Endgeräteeinstellungen: Deaktivieren Sie ungenutzte Remotedesktop-Ports (RDPs) und beschränken Sie RDP und andere Remotezugriffsprotokoll-Ports auf vertrauenswürdige Hosts. Auch Endpunkte müssen mit sicheren Konfigurationseinstellungen widerstandsfähig gemacht werden.
Segmentieren Sie Netzwerke und erzwingen Sie Zugriffskontrollen: Segmentieren Sie Netzwerke mithilfe von VPNs und physischen Tools. Trennen Sie kundenorientierte Teile des Netzwerks von nach innen gerichteten Bereichen. Gewähren Sie Zugriff nach dem Zero-Trust-Prinzip.
Implementieren Sie alle Software-Updates und Patches: Begrenzen Sie das Risiko eines Angriffs durch sorgfältige Implementierung von Updates und Sicherheitspatches.
Nutzen Sie Richtlinien für sichere Backups und Datenredundanz: Planen Sie Ihre Backup-Strategie sorgfältig, denn sie ist Ihr Rettungsanker. Führen Sie regelmäßige Backups durch, um sicherzustellen, dass Sie über unveränderliche Kopien verfügen, die nicht geändert werden können. Speichern Sie mindestens einen Satz von Backups vollständig offline. Überprüfen Sie die Integrität Ihrer Backups regelmäßig.
Schritt 2: Ermittlung und Reaktion
Bei einem Ransomware-Vorfall sind schnelle Reaktionen von größter Bedeutung. Mit den richtigen Monitoring-Tools ist es oft möglich, einen laufenden Angriff zu unterbinden. Dafür sollten Sie über 24/7-Abdeckung und Online-Tools zum Erkennen von Ransomware verfügen. Auf diese Weise mindern Sie den Schaden und können Ihre Systeme schneller reinigen, und zwar wie folgt:
Betroffene Systeme ermitteln: Ermitteln Sie, welche Systeme betroffen sind, und trennen Sie diese sofort vom übrigen Netzwerk. Wenn sich der Angriff auf mehrere Systeme ausgewirkt hat und sich das Ausmaß zunächst nicht feststellen lässt, nehmen Sie das Netzwerk offline. Wenn Sie Ihre Systeme nicht einfach offline schalten können, begrenzen Sie das Ausmaß der Infektion, indem Sie die Ethernet-Kabel abziehen und das WLAN deaktivieren.
Schalten Sie Geräte aus: Wenn es nicht möglich ist, Geräte vom Netzwerk zu trennen, schalten Sie die betroffenen Geräte aus. Beachten Sie, dass mit diesem Schritt Beweise, die sich in flüchtigen Speichern befinden, entfernt werden können.
Führen Sie für betroffene Systeme eine Triage durch: Identifizieren Sie die Systeme, die für das Unternehmen von kritischer Bedeutung sind, und listen Sie sie in der Reihenfolge ihrer Wichtigkeit für die Prioritäten des Unternehmens auf.
Untersuchen Sie Protokolle: Überprüfen Sie die Systemprotokolle, um Vorläufer zu identifizieren, wie Dropper-Malware, frühere Angriffen und kompromittierte Netzwerke.
Ermitteln Sie, was passiert ist: Ermitteln Sie die Abfolge der Ereignisse, die zum Angriff geführt haben, und wie der Akteur in Ihr Netzwerk eindringen konnte.
Finden Sie die Bedrohung: Identifizieren Sie die Ransomware, ihre Variante und weitere Malware im System.
Schritt 3: Kommunikation und Reports
Melden Sie den Vorfall und teilen Sie allen Betroffenen in transparenter Weise mit, was passiert ist. Eine zeitnahe Kommunikation trägt dazu bei, längerfristige Folgen wie Glaubwürdigkeitsverlust und Strafschadenersatz abzumildern. Zu den zu ergreifenden Maßnahmen gehören:
Interne Kommunikation: Informieren Sie sofort alle betroffenen Mitarbeiter und Funktionsbereiche, und benachrichtigen Sie diese über die Maßnahmen, die zur Eindämmung des Vorfalls ergriffen wurden. Geben Sie regelmäßige Updates heraus.
Benachrichtigen Sie die zuständigen Behörden: Melden Sie den Vorfall den lokalen oder nationalen Strafverfolgungsbehörden, wie es die örtlichen Verordnungen vorschreiben. Stellen Sie sicher, dass Sie alle rechtlichen Verpflichtungen in Bezug auf spezifische Datenschutzbestimmungen erfüllen.
Extern kommunizieren: Informieren Sie Kunden und Geschäftspartner über den Vorfall und geben Sie entsprechende Informationen über das Ausmaß des Schadens heraus. Es kommt häufig vor, dass Kriminelle mit der Veröffentlichung vertraulicher Informationen drohen, um die Opfer zur Lösegeldzahlung zu zwingen.
Seien Sie transparent: Während es für Unternehmen natürlich ist, schädliche Informationen verbergen zu wollen, dringen Nachrichten über Cyberangriffe unweigerlich nach außen. Transparenz minimiert Reputationsschäden, hilft Ermittlern und gibt Betroffenen die Möglichkeit, Maßnahmen zum Schutz sensibler Daten zu ergreifen.
Schritt 4: Strategien zur Eindämmung
Bevor Sie Maßnahmen zur Beseitigung von Ransomware auf Ihrem System ergreifen, sollten Sie Systemabbilder und flüchtige Speicherinhalte aller infizierten Geräte erfassen. Diese Informationen sind hilfreich bei forensischen Untersuchungen, um herauszufinden, was passiert ist und wie Ihre Systeme kompromittiert wurden. Es ist wichtig, flüchtige Daten im Systemspeicher, Sicherheitsprotokolle und Firewall-Protokollpuffer zu erhalten.
Wenden Sie sich an die Strafverfolgungsbehörden des Bundes, das Multi-State Information Sharing and Analysis Center (MS-ISAC) und Ihren Sicherheitsanbieter, um herauszufinden, ob Forscher Entschlüsselungstools entwickelt oder Verschlüsselungsfehler identifiziert haben, mit denen Sie Ihre Daten entschlüsseln können. Diese Ressourcen können auch zusätzliche Informationen zu den Schritten zur Identifizierung betroffener Systeme und zum Deaktivieren von Ransomware-Binärdateien enthalten. Weitere Schritte sind:
Identifizierung der beteiligten Systeme
Deaktivieren von VPNs, cloudbasierten und öffentlichen Endpunkten
Deaktivieren der serverseitigen Datenverschlüsselung
Identifizierung von internen und äußeren Persistenzmechanismen
Schritt 5: Strategien zur Beseitigung
Das Hauptziel Ihrer Beseitigungsstrategie besteht darin, alle Spuren von Ransomware und Malware von Ihren Systemen zu entfernen (getrennt von Daten). Es ist zwar manchmal möglich, Ihre Systeme zu bereinigen, aber im Allgemeinen ist es einfacher und viel sicherer, sie zu löschen und von Grund auf neu zu erstellen, indem Sie Vorlagen und saubere Bilder verwenden. Zu den Schritten gehören:
Bereinigung oder Desinfektion aller infizierten Systeme
Neuaufbau von Unternehmenssystemen, beginnend mit kritischen Systemen
Alle Passwörter zurücksetzen
Adressierung und Blockierung identifizierter Schwachstellen, Websites und Malware
Ausgabe einer Erklärung der zuständigen IT-Behörde dazu, dass der Ransom-Vorfall vorbei ist, sobald alle Spuren der Ransomware beseitigt und die Systeme wiederhergestellt wurden.
Schritt 6: Beseitigung der Folgen und Wiederherstellung
Jetzt können Sie Ihre Daten wiederherstellen und Ihre Arbeit fortsetzen. Außerdem profitieren Sie von der Weitsicht, die Sie dazu veranlasst hat, innovative Lösungen einzusetzen, um nach einem Ransomware-Angriff schnell Wiederherstellungsmaßnahmen durchzuführen. Veeam bietet verschiedene Lösungen an, unter anderem Backup-Replikate zur Erstellung einer virtuellen Maschine, die Sie schnell in Betrieb nehmen können. Zu den Wiederherstellungs- und Restaurierungsschritten gehören:
Sichere Backups zur Wiederherstellung von Systemen
Sicherstellen, dass Ihre Backups frei von Malware sind, damit sie Ihre sauberen Systeme bei der Wiederherstellung nicht erneut infizieren
Umsetzen der aus dem Angriff gewonnenen Erkenntnisse, um Ihre Sicherheitsmaßnahmen zu stärken
Bereitstellen fortlaufender Monitoring-Lösungen für Ransomware
Durchführen einer Evaluierung nach dem Vorfall
Best Practices für die Reaktion auf Ransomware-Vorfälle
Ransomware-Angriffe sind so häufig, dass Sie diese bei allen Ihren Business Continuity-Plänen berücksichtigen sollten. Dazu gehören Strategien für den Umgang mit Großereignissen, Naturkatastrophen und Disaster Recovery.
Ausgangspunkt für einen Plan zur Reaktion auf Ransomware-Vorfälle ist ein gründlich recherchierter und dokumentierter Wiederherstellungsplan. In der Regel umfasst dieser Plan alle Beteiligten, eine klare Beschreibung der Wiederherstellungsziele und Kommunikationsstrategien. Der Plan identifiziert die verantwortlichen Parteien und definiert klar die Maßnahmen, die zu ergreifen sind, wenn Sie von einem Ransomware-Angriff betroffen sind.
Zu den zu beachtenden Punkten gehören:
Reaktionsteam: Identifizieren Sie alle Mitglieder des Reaktionsteams mit ihren Verantwortlichkeiten und Funktionen. Ernennen Sie einen designierten Leiter, der für die Koordinierung der Aktivitäten verantwortlich ist.
Inventar: Erstellen Sie eine vollständige Liste aller physischen und Cloud-Hardware- und Softwareressourcen, zusammen mit Diagrammen zu deren Verbindungen untereinander, einschließlich spezieller Features wie VPNs, virtueller Private Clouds, WANs und APIs.
Kritische Funktionen: Dokumentieren und priorisieren Sie geschäftskritische Funktionen, Anwendungen, Datensätze und Backups.
Liste der Notfallkontakte: Beziehen Sie alle Mitarbeiter, Serviceprovider, Lieferanten und Kunden ein, die von einem Ransomware-Vorfall betroffen sein könnten.
Schulung: Schulen Sie Teammitglieder zu ihren Rollen und Verantwortlichkeiten, und simulieren Sie einen Vorfall mit einem Ransomware Prevention Kit, damit alle mit ihrer Rolle vollständig vertraut sind.
Ransomware-Aktionsplan: Erstellen Sie einen detaillierten Aktionsplan zur Reaktion auf Ransomware.
Gewonnene Erkenntnisse: Dokumentieren Sie die aus Schulungssimulationen und tatsächlichen Angriffen gewonnenen Erkenntnisse.
Die Formalisierung und Übernahme dieser Best Practices zum Schutz vor Ransomware helfen Ihrem Unternehmen dabei, schnell und effektiv auf Angriffe zu reagieren und sicherzustellen, dass Sie über saubere Backups zur Wiederherstellung und Wiederaufnahme der Verbindung zu Services verfügen.
Erste Schritte mit Veeam
Zwar lassen sich IT-Strukturen immer wieder neu erstellen, ein Unternehmen kann einen Ransomware-Angriff jedoch nicht überstehen, wenn es keinen Zugriff auf saubere Daten hat. Die Online-Backup-Lösung von Veeam löst dieses Problem. Veeam bietet eine Komplettlösung an, mit der Sie die volle Kontrolle über Ihre Wiederherstellung erhalten, mit Unveränderlichkeit auf mehreren Ebenen, umfassendem Monitoring und Automatisierung. Veeam funktioniert sowohl mit gängigen cloudbasierten Lösungen als auch mit lokalen Lösungen für Windows, Linux und Mac.
Sprechen Sie mit unserer Vertriebsabteilung, um mehr über unsere Lösungen zur Wiederherstellung nach Ransomware-Angriffen zu erfahren, oder laden Sie unser White Paper zum Thema Aufbau einer widerstandsfähigen Strategie für Datenwiederherstellungen für weitere Tipps zum Erreichen einer umfassenden Cyberresilienz.