Was tun, wenn Ihr Unternehmen von Ransomware getroffen wird?
Ransomware ist eine so profitable Form der Internetkriminalität, dass sie zu einer sich selbst tragenden Branche mit eigenen Veränderungen und Trends geworden ist. Vor einigen Jahren waren beispielsweise Ransomware-Entwickler und -Betreiber hauptsächlich an Heimanwendern interessiert. Das Angreifen von PCs war billig, und einige clevere Social-Engineering-Techniken stellten sicher, dass die Erfolgsquote nicht schlecht ist. In der Zwischenzeit war die Backup-Kultur der Leute nicht gerade großartig, was bedeutete, dass für viele die einzige Möglichkeit, ihre Daten wiederherzustellen, darin bestand, das Lösegeld zu zahlen. Dann begannen sich die Dinge zu ändern.
Table of Contents
Ransomware-Betreiber sind von Heimanwendern zu Unternehmen und großen Organisationen gewechselt
2017 kam es zu einigen massiven Ransomware-Ausbrüchen, WannaCry und NotPetya, die viel Bekanntheit erlangten. Sie richteten sich nicht speziell an Heimanwender, aber die Heimanwender sahen sie in den Nachrichten und wurden allmählich mit der Bedrohung vertraut. Sie erkannten, wie wichtig Backups sind, und waren besser auf Ransomware-Angriffe vorbereitet.
Fairerweise sind Cyberkriminelle nicht besonders daran interessiert, ihre Gewinn- und Verlustrechnungen zu teilen, aber die Tatsache, dass Ransomware-Infektionen auf Heim-PCs in den letzten Jahren rückläufig waren, deutet darauf hin, dass weniger Endbenutzer dazu neigen, sich den Hackern hinzugeben Forderungen. Dies bedeutet jedoch nicht, dass das Ransomware-Geschäft schrumpft.
Zu einem bestimmten Zeitpunkt erkannten die Ransomware-Betreiber, dass sich der zusätzliche Aufwand für den Angriff auf Organisationen und nicht auf einzelne Benutzer lohnen könnte. Seitdem waren an größeren Ransomware-Vorfällen hauptsächlich Unternehmen, Gesundheitsorganisationen und Regierungsinstitutionen beteiligt. Ein Ransomware-Ausbruch in einem privaten Unternehmen kann besonders schädlich sein, weshalb die Menschen lernen müssen, auf die Bedrohung nicht nur zu Hause, sondern auch im Büro zu reagieren.
Wie kann sich eine Ransomware-Infektion auf Ihr Unternehmen auswirken?
Aus rein technischer Sicht stellt ein Ransomware-Angriff ein Unternehmen vor zwei Hauptprobleme: Datenverlust und Ausfallzeiten.
Das offensichtlichere Problem besteht darin, dass Ihre Daten gesperrt sind. Eine erfolgreiche Ransomware-Infektion kann Geschäftsgeheimnisse, produktspezifische Informationen und Kundendaten verschlüsseln. Der Verlust dieser Art von Daten kann zum Niedergang Ihres Unternehmens führen, was bedeutet, dass Sie möglicherweise versucht sind, die Anforderungen der Hacker zu erfüllen und das Lösegeld zu zahlen. Selbst wenn Sie dies tun, können Sie nicht garantieren, dass alle Informationen in den Zustand vor der Infektion zurückversetzt werden. Dies ist jedoch nicht das einzige Problem.
Ransomware-Infektionen sind von Natur aus ziemlich laut. Wenn Sie sich jemals am falschen Ende eines Angriffs befinden, werden Sie darauf aufmerksam gemacht, was los ist, und Ihre Kunden werden schnell feststellen, dass auch etwas nicht stimmt. Eine Ransomware-Infektion kann den Betrieb eines Unternehmens vollständig stören und die Bedienung seiner Benutzer verhindern. Die Ursache des Problems wird unweigerlich bekannt gemacht, und Ihre Benutzer, die davon ausgehen, dass Ihr Unternehmen nicht besonders gut auf die Sicherheit ihrer Daten achtet, werden unsicher. Dies alles bedeutet, dass es äußerst wichtig ist, so schnell und effizient wie möglich mit der Situation umzugehen.
Wie sollte Ihr Unternehmen auf einen erfolgreichen Ransomware-Angriff reagieren?
Wie Sie sehen, müssen Sie vor allem Datenverluste vermeiden und Ausfallzeiten minimieren. Wenn Sie für ein Unternehmen arbeiten, das von Ransomware betroffen ist, müssen Sie sicherstellen, dass die Wiederherstellung nach dem Angriff so wenig Zeit wie möglich in Anspruch nimmt. Sie sollten jedoch auch sorgfältig prüfen, ob sich jede Datei dort befindet, wo sie sich befinden muss, bevor Sie sie ablegen das Unternehmen wieder in den Betriebsmodus. Es ist ein stressiger Prozess, der viel Konzentration und koordinierte Anstrengungen aller Verantwortlichen erfordert.
Wenn es Malware gelungen ist, Ihre Systeme zu infiltrieren, sollte die Eindämmung ihrer Verbreitung Ihre höchste Priorität haben. Unterschätzen Sie niemals Berichte über seltsames Verhalten von Mitarbeitern. Wenn Sie feststellen, dass nur ein Computer von Ransomware betroffen ist, stellen Sie sicher, dass an allen Teilen der IT-Infrastruktur Ihres Unternehmens, die möglicherweise damit verbunden sind, die Netzwerkkabel abgezogen wurden. Moderne Ransomware-Familien verfügen über wurmartige Komponenten, mit denen sich der Angriff schnell ausbreiten kann, und die Hacker möchten so viele Endpunkte wie möglich sperren, um ein höheres Lösegeld zu fordern. Je mehr verschlüsselte PCs vorhanden sind, desto mehr Zeit benötigen Sie, um alles wieder online zu schalten.
Wir haben bereits erwähnt, dass die Minimierung von Ausfallzeiten ganz oben auf Ihrer Prioritätenliste stehen sollte. Davon abgesehen sollten Sie den Prozess nicht beschleunigen. Bevor Sie alles einschalten, müssen Sie sicherstellen, dass alle Spuren der Ransomware entfernt wurden, und Sie sollten überprüfen, ob alles betriebsbereit ist. Weitere Verzögerungen werden Ihre Kunden nicht sehr glücklich machen, aber wenn Sie ihnen sagen, dass Sie wieder im Geschäft sind und sie mehr Probleme haben, können sie sich noch mehr aufregen als sie es bereits sind.
Apropos, wenn Sie wirklich möchten, dass sich Ihre Benutzer weniger schlecht fühlen, was passiert ist, versuchen Sie, so transparent wie möglich über den Angriff zu sein. Sagen Sie ihnen, wie die Hacker reingekommen sind, was Sie getan haben, um sie zu stoppen, und was Sie vorhaben, um zukünftige Angriffe zu verhindern. Teilen Sie Ihren Benutzern mit, wie sich der Angriff auf sie und die von ihnen bezahlten Dienste auswirkt, und halten Sie nichts zurück. Obwohl einige Unternehmen der Meinung zu sein scheinen, dass dies eine gute Strategie ist, schlägt das Herunterspielen des Problems normalerweise fehl und verursacht noch mehr Reputationsschaden als der Angriff selbst.
Es gibt viel zu überlegen, und selbst wenn Sie alles nach dem Buch machen, könnten die Konsequenzen immer noch ziemlich schrecklich sein. Im Juli 2018 wurde beispielsweise LabCorp, eines der weltweit größten Labornetzwerke, von der SamSam-Ransomware getroffen. Obwohl das IT-Team schnell vorging, um die Malware einzudämmen, gelang es SamSam dennoch, rund 7.000 Endpunkte und fast 2.000 Server zu infizieren.
In jüngerer Zeit wurde der Geldwechsel Travelex von der Ransomware Sodinokibi (auch bekannt als REvil) angegriffen, und die Mitarbeiter waren mehr als zwei Wochen lang gezwungen, Stifte und Zettel für ihre Arbeit zu verwenden.
Ein Ransomware-Angriff kann alle möglichen Probleme verursachen, insbesondere wenn er auf eine größere Organisation abzielt. Angesichts des Risikos, in die Klischeefalle zu geraten, sollten wir sagen, dass aktive Präventionsmaßnahmen die beste Strategie im Kampf gegen diese Art von Bedrohung sind.
Was können Sie tun, um einen erfolgreichen Ransomware-Angriff zu verhindern?
Es reicht nicht aus, ein Antivirenprogramm auf den Computern Ihrer Mitarbeiter zu installieren und deren Festplatten zu sichern. Wir sprechen wieder einmal von einem komplexen Prozess, der viele Fallstricke aufweist, und der gesunde Zustand des Ransomware-Geschäfts zeigt deutlich, dass Unternehmen ständig Fehler machen.
Ein einfaches Sicherheitsprodukt kann den Tag nicht retten, wenn Ihr gesamtes IT-System auf alter Software basiert, die keine Sicherheitspatches erhalten hat. Kein anderer als die Vereinten Nationen hat auf die harte Tour gelernt, wie wichtig Sicherheitsupdates sind. Wenn Sie für die Aufrechterhaltung des Netzwerks eines gesamten Unternehmens verantwortlich sind, haben Sie keine Entschuldigung dafür, Software auszuführen, bei der Sicherheitslücken bekannt sind.
Es gibt auch keine Entschuldigung für schlecht konfigurierte Netzwerke. Viele der Ransomware-Familien, die derzeit auf Organisationen abzielen, verbreiten sich über ungesicherte Netzwerkprotokolle, die von unachtsamen Systemadministratoren offen gelassen wurden. Standardkennwörter sind auch ein häufiger Höhepunkt einer Reihe von Berichten über Ransomware-Vorfälle, die zeigen, dass das Social Engineering in den Spam-E-Mails bei weitem nicht die einzige Waffe im Arsenal der Hacker ist. Trotzdem ist es immer eine gute Idee, Ihre Mitarbeiter darin zu schulen, nicht auf zufällige Links und Anhänge in unerwarteten Nachrichten zu klicken.
Wie Sie sehen, gibt es bereits viele Aufgaben zu erledigen, und wir haben noch nicht einmal die Frage der Datensicherung angesprochen.
Jedes Unternehmen sollte eine solide Backup-Strategie haben, und die Erstellung einer solchen Strategie ist nicht so einfach, wie es sich anhört. Abhängig davon, wie Sie Ihre Daten verwenden, müssen Sie darüber nachdenken, wie oft sie gesichert werden müssen. Vielleicht noch wichtiger ist jedoch, dass Sie über den tatsächlichen Mechanismus zum Erstellen von Sicherungen nachdenken müssen.
Im Idealfall befolgen Sie die 3-2-1-Regel, nach der Sie 3 Kopien Ihrer Daten an 2 verschiedenen Orten speichern sollten, von denen 1 außerhalb des Standorts liegt. Wenn Sie sich nicht an diese Strategie halten können, müssen Sie Ihre Backups regelmäßig testen, um sicherzustellen, dass sie funktionsfähig sind, und Sie müssen sie auch vom Rest Ihrer IT-Systeme getrennt halten. Auf diese Weise kann ein potenzieller Ransomware-Angriff die Kopien Ihrer Daten nicht beeinträchtigen.
Dies sind nur einige der Dinge, die Sie berücksichtigen müssen. Abhängig vom Geschäft des Unternehmens, für das Sie arbeiten, gibt es möglicherweise viele andere Faktoren, die Sie berücksichtigen müssen. Alles in allem ist der Versuch, ein Unternehmen vor einem Ransomware-Angriff zu schützen, wohl noch schmerzhafter, als das Chaos zu beseitigen, nachdem es bereits getroffen wurde. Angesichts der verheerenden Auswirkungen des Schadens lohnt sich der Aufwand jedoch.
