Tags
Storage

Wie man mit einem Ransomware-Angriff umgeht

Grafische Darstellung eines Daumenabdrucks, der Zugang zu einem digitalen System gewährt

Das ist die Nachricht, die kein Unternehmen hören möchte – Sie sind Opfer eines Ransomware-Angriffs geworden und fragen sich, was Sie jetzt tun sollen. 

Als Erstes sollten Sie im Hinterkopf behalten, dass Sie damit nicht allein sind. Über 17 Prozent aller Cyberangriffe betreffen Ransomware – eine Art von Malware, die die Daten oder das Gerät eines Opfers sperrt, bis das Opfer dem Hacker ein Lösegeld zahlt. Von den 1.350 in einer aktuellen Studie befragten Unternehmen waren 78 Prozent Opfer eines erfolgreichen Ransomware-Angriffs.

Ransomware-Angriffe nutzen verschiedene Methoden oder Vektoren, um Netzwerke oder Geräte zu infizieren, darunter das Täuschen von Personen, die bösartige Links mit Phishing-E-Mails anklicken, sowie das Ausnutzen von Schwachstellen in Software und Betriebssystemen, wie zum Beispiel Remote-Zugriff. Cyberkriminelle verlangen typischerweise Lösegeldzahlungen in Bitcoin und anderen schwer nachzuverfolgenden Kryptowährungen und stellen den Opfern Entschlüsselungsschlüssel zur Verfügung, um ihre Geräte freizuschalten.

Die gute Nachricht ist, dass es im Falle eines Ransomware-Angriffs grundlegende Schritte gibt, die jedes Unternehmen befolgen kann, um den Angriff einzudämmen, sensible Informationen zu schützen und die Geschäftskontinuität durch Minimierung von Ausfallzeiten sicherzustellen.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Erste Reaktion

Betroffene Systeme isolieren 

Da die häufigsten Ransomware-Varianten Netzwerke nach Schwachstellen scannen, um sich seitlich auszubreiten, ist es kritisch, dass betroffene Systeme so schnell wie möglich isoliert werden. Trennen Sie die Ethernet-Verbindung und deaktivieren Sie WiFi, Bluetooth und alle anderen Netzwerkfunktionen für alle infizierten oder potenziell infizierten Geräte.

Zwei weitere zu berücksichtigende Schritte: 

  • Wartungsaufgaben deaktivieren. Automatische Aufgaben wie das Löschen temporärer Dateien oder das Rotieren von Protokolldateien sollten auf den betroffenen Systemen umgehend deaktiviert werden. Diese Aufgaben könnten Dateien beeinträchtigen und die Ermittlung und Wiederherstellung von Ransomware erschweren. 
  • Backups trennen. Da viele neue Arten von Ransomware auf Daten-Backups abzielen, um eine Wiederherstellung zu erschweren, sollten Sie Daten-Backups offline halten. Beschränken Sie den Zugriff auf Backup-Systeme, bis Sie die Infektion entfernt haben.

Fotografieren Sie die Lösegeldforderung

Bevor Sie mit anderen Maßnahmen fortfahren, machen Sie ein Foto der Lösegeldforderung – am besten, indem Sie den Bildschirm des betroffenen Geräts mit einem anderen Gerät, z. B. einem Smartphone oder einer Kamera, fotografieren. Das Foto wird den Wiederherstellungsprozess beschleunigen und Ihnen bei der Erstattung einer Anzeige bei der Polizei oder der Geltendmachung eines möglichen Anspruchs bei Ihrer Versicherung helfen.

Das Sicherheitsteam benachrichtigen

Sobald Sie die betroffenen Systeme getrennt haben, informieren Sie Ihr IT-Sicherheitsteam über den Angriff. In den meisten Fällen können IT-Sicherheitsexperten Sie zu den Nächsten Schritten beraten und den Notfallplan Ihres Unternehmens aktivieren, d. h. die Prozesse und Technologien Ihres Unternehmens zur Erkennung und Abwehr von Cyberangriffen.

Betroffene Geräte nicht neu starten

Wenn Sie mit Ransomware zu tun haben, vermeiden Sie einen Neustart der infizierten Geräte. Hacker wissen, dass dies Ihr erster Instinkt sein könnte, und einige Arten von Ransomware bemerken Neustartversuche und verursachen zusätzlichen Schaden, wie die Beschädigung von Windows oder das Löschen verschlüsselter Dateien. Ein Neustart kann auch die Untersuchung von Ransomware-Angriffen erschweren – wertvolle Hinweise werden im Arbeitsspeicher des Computers gespeichert, der beim Neustart gelöscht wird. 

Versetzen Sie stattdessen die betroffenen Systeme in den Ruhezustand. Dadurch werden alle im Speicher befindlichen Daten in einer Referenzdatei auf der Festplatte des Geräts gespeichert und somit für zukünftige Analysen erhalten.

Mixture of Experts | 28. August, Folge 70

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Die neuesten Podcast-Folgen ansehen

Beseitigung

Nachdem Sie nun die betroffenen Geräte identifiziert haben, möchten Sie Ihre Geräte wahrscheinlich so schnell wie möglich freischalten und Ihre Daten wiederherstellen. Die Beseitigung von Ransomware-Infektionen kann kompliziert sein, insbesondere bei fortgeschritteneren Varianten. Die folgenden Schritte können Ihnen jedoch den Weg zur Wiederherstellung ebnen. 

Bestimmung der Angriffsvariante

Mehrere kostenlose Tools können dabei helfen, die Art der Ransomware zu identifizieren, die Ihre Geräte infiziert hat. Wenn Sie die spezifische Variante kennen, können Sie mehrere wichtige Faktoren besser verstehen, darunter, wie er sich verbreitet, welche Dateien er sperrt und wie Sie ihn entfernen könnten. Laden Sie einfach eine Probe der verschlüsselten Datei und, falls vorhanden, eine Lösegeldforderung und die Kontaktinformationen des Angreifers hoch. 

Die beiden häufigsten Arten von Ransomware sind Bildschirmsperren und Verschlüsselungsprogramme. Bildschirmsperren sperren Ihr System, sichern aber Ihre Dateien, bis Sie zahlen. Verschlüsselungsprogramme hingegen sind schwieriger zu handhaben, da sie alle Ihre sensiblen Daten finden und verschlüsseln und sie erst nach der Lösegeldzahlung entschlüsseln. 

Suche nach Entschlüsselungstools

Sobald Sie die Ransomware-Variante identifiziert haben, sollten Sie nach Entschlüsselungstools suchen. Es gibt auch kostenlose Hilfsmittel für diesen Schritt, darunter Seiten wie No More Ransom. Geben Sie einfach den Namen der Ransomware-Variante ein und suchen Sie nach der passenden Entschlüsselung. 

Wiederherstellung

Wenn Sie das Glück hatten, die Ransomware-Infektion zu entfernen, ist es an der Zeit, den Wiederherstellungsprozess zu starten.

Beginnen Sie damit, Ihre Systempasswörter zu aktualisieren und dann Ihre Daten aus Backups wiederherzustellen. Sie sollten stets darauf achten, drei Kopien Ihrer Daten in zwei verschiedenen Formaten zu haben, wobei eine Kopie extern gespeichert werden sollte. Mit diesem Ansatz, der als 3-2-1-Regel bekannt ist, können Sie Ihre Daten schnell wiederherstellen und Lösegeldzahlungen vermeiden. 

Nach dem Angriff sollten Sie auch eine Sicherheitsprüfung durchführen und alle Systeme aktualisieren. Wenn Sie Ihre Systeme auf dem neuesten Stand halten, können Sie verhindern, dass Hacker Schwachstellen in älterer Software ausnutzen. Regelmäßige Patches halten Ihre Rechner auf dem neuesten Stand, stabil und resistent gegen Malware-Bedrohungen. Vielleicht möchten Sie auch Ihren Notfallplan mit den daraus gewonnenen Erkenntnissen optimieren und sicherstellen, dass Sie den Vorfall ausreichend an alle notwendigen Beteiligten kommuniziert haben. 

Benachrichtigung der Behörden

Da Ransomware Erpressung und ein Verbrechen ist, sollten Sie Ransomware-Angriffe immer den Strafverfolgungsbehörden oder dem FBI melden. 

Die Behörden könnten Ihnen möglicherweise bei der Entschlüsselung Ihrer Dateien helfen, falls Ihre Wiederherstellungsversuche fehlschlagen. Aber selbst wenn sie Ihre Daten nicht retten können, ist es kritisch, dass sie Aktivitäten Cyberkrimineller katalogisieren und hoffentlich anderen helfen, ein ähnliches Schicksal zu vermeiden. 

Einige Opfer von Ransomware-Angriffen sind möglicherweise auch gesetzlich verpflichtet, Ransomware-Infektionen zu melden. Zum Beispiel verlangt die HIPAA-Compliance im Allgemeinen, dass Gesundheitseinrichtungen jede Datenschutzverletzung, einschließlich Ransomware-Angriffen, dem Department of Health and Human Services melden.

Die Entscheidung, ob man bezahlen soll

Die Entscheidung, ob man ein Lösegeld zahlt, ist eine komplexe Angelegenheit. Die meisten Experten empfehlen, nur dann zu zahlen, wenn Sie alle anderen Optionen ausprobiert haben und der Datenverlust deutlich schädlicher wäre als die Zahlung.

Unabhängig von Ihrer Entscheidung sollten Sie sich vor weiteren Schritten stets mit Strafverfolgungsbehörden und Cybersicherheitsexperten beraten.

Die Zahlung eines Lösegelds ist keine Garantie dafür, dass Sie wieder Zugriff auf Ihre Daten erhalten oder dass die Angreifer ihre Versprechen einhalten – oft zahlen die Opfer das Lösegeld, erhalten aber nie den Entschlüsselungsschlüssel. Darüber hinaus fördert die Zahlung von Lösegeld die Aktivitäten von Cyberkriminellen und kann so Cyberkriminalität weiter finanzieren.

Verhinderung künftiger Ransomware-Angriffe

E-Mail-Sicherheitstools sowie Anti-Malware- und Antivirensoftware sind entscheidende erste Verteidigungslinien gegen Ransomware-Angriffe.

Unternehmen verlassen sich außerdem auf fortschrittliche Endpoint-Security-Tools wie Firewalls, VPNs und Multi-Faktor-Authentifizierung als Teil einer umfassenderen Datenschutzstrategie zur Abwehr von Datenschutzverletzungen.

Kein Cybersicherheitssystem ist jedoch vollständig ohne hochmoderne Funktionen zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle, um Cyberkriminelle in Echtzeit zu fassen und die Auswirkungen erfolgreicher Cyberangriffe zu mindern.

Tools wie Security Information and Event Management (SIEM) Systeme können maschinelles Lernen und Benutzerverhaltensanalysen (UBA) auf den Netzwerkverkehr anwenden, zusammen mit traditionellen Protokollen, um eine intelligentere Bedrohungserkennung und schnellere Sanierung zu gewährleisten.

 

Autor

Annie Badman

Staff Writer

IBM Think
Weiterführende Lösungen
Threat Management Services

Prognostizieren, verhindern und reagieren Sie auf moderne Bedrohungen und erhöhen Sie so die Resilienz Ihres Unternehmens.

 

 Mehr über Threat Management Services erfahren
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen (Mobile Threat Defense, MTD)

Schützen Sie Ihre mobile Umgebung mit den umfassenden Lösungen von IBM MaaS360 zur Abwehr von mobilen Sicherheitsbedrohungen.

 Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen kennenlernen
Machen Sie den nächsten Schritt

Profitieren Sie von umfassenden Lösungen für das Bedrohungsmanagement, die Ihr Unternehmen fachkundig vor Cyberangriffen schützen.

 Mehr über Threat Management Services erfahren Bedrohungsorientiertes Briefing buchen