Ransomware-Angriff? Was Sie tun können, anstatt das Lösegeld zu bezahlen
Ransomware ist eine anhaltende Bedrohung, mit der sich Unternehmen heute konfrontiert sehen. Aber selbst bei den verheerendsten Angriffen gibt es mehrere wichtige Gründe, warum die Zahlung des Lösegelds eine schlechte Idee ist. Und in einigen Fällen könnte dies Ihr Unternehmen sogar in rechtliche Schwierigkeiten mit den Behörden bringen.
In diesem Beitrag sehen wir uns die Schritte an, die Sie unmittelbar nach einer Infektion unternehmen können, um den Angriff zu entschärfen und Ihre Daten zurückzubekommen, ohne den Hackern einen Cent zu geben.
Warum sollten Sie das Lösegeld nicht bezahlen?
Es kann für ein Unternehmen verlockend sein, das Lösegeld zu zahlen, in der Hoffnung, den Betrieb wiederherstellen zu können, da eine längere Unterbrechung weitaus kostspieliger sein könnte. Aber hier ist eine kurze Erinnerung, warum dies NICHT empfohlen wird:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Unternehmen, nicht zu zahlen.
Es gibt keine Garantie, dass die Bedrohungsakteure die Daten zurückgeben, selbst wenn das Lösegeld gezahlt wird, oder dass sie Ihr Unternehmen in Zukunft nicht wieder angreifen.
Abgesehen von der Möglichkeit, keine Entschlüsselungsschlüssel zu erhalten, können die Daten auch dann beschädigt werden, wenn sie bereitgestellt werden.
Die Zahlung von Lösegeld bestärkt Cyberkriminelle darin, dass ihre Taktik richtig ist, und unterstützt somit die Ransomware-Industrie.
Ihr Unternehmen könnte für die Zahlung der Hacker bestraft werden, wenn es sich um bekannte Gegner der Regierung handelt, wie z. B. terroristische Gruppen.
Die Kosten für die Cyber-Versicherung könnten sich erhöhen, wenn das Lösegeld gezahlt wird.
Der beste Weg, um zu vermeiden, ein Opfer zu werden und sich in die wachsende Ransomware-Statistik einzureihen, ist zu lernen, wie man eine Infektion vermeidet und ein zuverlässiges Datensicherungssystem zu haben. Doch selbst wenn Sie infiziert sind und anschließend erpresst werden, sollten Sie wissen, welche Schritte Ihr Unternehmen unternehmen kann, bevor es sich der Forderung der Cyberkriminellen nach einer Zahlung beugt.
Hier sind einige mögliche Schritte, die Sie zuerst ausprobieren können.
Daten aus der Sicherung wiederherstellen
Einer der ersten Schritte ist der Versuch, Daten aus einem Backup wiederherzustellen. Die Durchführung von Routine-Backups ist ein wichtiger Bestandteil eines guten Geschäftskontinuitäts-Plans. Und im Falle eines Ransomware-Angriffs kann es die Frage, ob das Lösegeld gezahlt werden muss, vollständig ausschließen. Durch ein Rollback auf saubere Daten aus der Zeit vor dem Angriff werden die Daten effektiv wiederhergestellt und die Infektion wird entfernt.
Isolieren Sie infizierte Computer/Server
Dies ist ein weiterer wichtiger Schritt, den Sie sofort nach Bekanntwerden einer Infektion durchführen sollten.
Die Isolierung des infizierten Computers oder Servers von allen Netzwerken ist entscheidend, um die Ausbreitung der Ransomware zu verhindern. Stellen Sie in diesem Schritt sicher, dass die Netzwerk-, WLAN-, Bluetooth- und alle anderen Kommunikationsfunktionen des infizierten Geräts deaktiviert sind. Alle freigegebenen und vernetzten Laufwerke sollten ebenfalls getrennt werden, auch die kabelgebundenen.
Wenn mehrere Systeme oder Subnetze betroffen zu sein scheinen, schalten Sie das Netzwerk auf der Switch-Ebene offline, um den Schaden schnell zu begrenzen. Wenn jedoch nur ein oder zwei Computer betroffen zu sein scheinen, ist es einfacher, diese so schnell wie möglich zu isolieren.
Indem Sie die Ausbreitung der Infektion begrenzen, können Sie die Menge der betroffenen Daten stark reduzieren und im Idealfall verhindern, dass das Lösegeld gezahlt werden muss.
Fahren Sie Ihre Computer herunter
Das Ausschalten von vernetzten Computern (sowohl infizierten als auch nicht infizierten) kann dazu beitragen, die Ausbreitung der Infektion zu verhindern. Sobald diese Geräte heruntergefahren und getrennt sind, bringen Sie sie an einen Ort, an dem sie eindeutig gekennzeichnet werden können. Experten können möglicherweise teilweise verschlüsselte Dateien extrahieren, aber so oder so hilft es, die Ausbreitung zu verhindern.
Wenn die Systeme schließlich wieder in Betrieb genommen werden, sollte jeder Rechner einzeln diagnostiziert werden, um sicherzustellen, dass die Infektion nicht vorhanden ist, und/oder ein Re-Image des Geräts durchgeführt werden. Denken Sie daran, dass Sie, sobald Sie ein infiziertes Gerät neu sichern, möglicherweise Beweise verlieren, die von den Behörden bei einer Untersuchung verwendet werden könnten. Dazu gehören wiederhergestellte ausführbare Dateien, Live-RAM-Aufzeichnungen, Protokolldateien, Malware-Muster, PowerShell-Skripte und verschlüsselte Dateimuster.
Zahlen Sie das Lösegeld nicht. Kontaktieren Sie die zuständigen Behörden
Benutzer, die zum ersten Mal von einem Ransomware-Angriff erfahren, sollten die IT-Teams des Unternehmens über den Vorfall informieren, um das Ausmaß des Vorfalls zu bestimmen und die richtigen Wiederherstellungsprotokolle einzuleiten. Unabhängig von der Schwere des Angriffs wird Unternehmen jedoch empfohlen, so schnell wie möglich die Behörden einzuschalten. Dadurch wird sichergestellt, dass Vorfälle ordnungsgemäß gemeldet werden, aber auch, dass die Behörden manchmal die Möglichkeit haben, infizierte Dateien zu entschlüsseln oder die Angreifer zu identifizieren. Machen Sie eine Anzeige bei der Polizei.
Präventive Schritte zur Vermeidung von durch Ransomware verursachten Verlusten
Im Falle eines Ransomware-Angriffs ist es wichtig, schnell zu handeln, aber auch vor einem Angriff zu handeln – oder eine Wiederholung in der Zukunft zu verhindern – ist ein entscheidender Schritt für die Zukunft.
Erstellen Sie einen Geschäftskontinuitätsplan und halten Sie ihn auf dem neuesten Stand. Die Zusammenarbeit mit einem Geschäftskontinuitäts -Experten kann bei der Planung helfen und die technischen Anforderungen übernehmen, um das Risiko einer kostspieligen Unterbrechung durch Ransomware zu minimieren.
Die Zusammenarbeit mit einem Geschäftskontinuitäts -Experten kann bei der Planung helfen und die technischen Anforderungen übernehmen, um das Risiko einer kostspieligen Unterbrechung durch Ransomware zu minimieren. Führen Sie routinemäßige Backups durch . Verwenden Sie ein robustes BC/DR-System, das häufige Backups und schnelle Wiederherstellungsmethoden ermöglicht.
. Verwenden Sie ein robustes BC/DR-System, das häufige Backups und schnelle Wiederherstellungsmethoden ermöglicht. Schulen Sie Mitarbeiter. Alle Mitarbeiter auf allen Ebenen sollten über Ransomware aufgeklärt werden, worauf sie achten müssen und welche Protokolle sie im Falle eines vermuteten Problems befolgen sollten. Schlechte Benutzerpraktiken sind einer der Hauptgründe, warum Angriffe erfolgreich sind.
Alle Mitarbeiter auf allen Ebenen sollten über Ransomware aufgeklärt werden, worauf sie achten müssen und welche Protokolle sie im Falle eines vermuteten Problems befolgen sollten. Schlechte Benutzerpraktiken sind einer der Hauptgründe, warum Angriffe erfolgreich sind. Schulen Sie alle Teams. Richten Sie obligatorische Cyber-Sicherheits-Schulungen ein, die einen Abschnitt speziell über Ransomware enthalten. Betonen Sie, dass die Mitarbeiter niemals auf Links klicken oder Anhänge in unaufgeforderten E-Mails öffnen sollten. Phishing ist die Hauptursache für Malware-Infektionen.
Richten Sie obligatorische Cyber-Sicherheits-Schulungen ein, die einen Abschnitt speziell über Ransomware enthalten. Betonen Sie, dass die Mitarbeiter niemals auf Links klicken oder Anhänge in unaufgeforderten E-Mails öffnen sollten. Phishing ist die Hauptursache für Malware-Infektionen. Aktualisieren Sie Software und Betriebssysteme. Bedrohungsakteure haben es oft auf veraltete Anwendungen und Betriebssysteme abgesehen. Verzögern Sie die Aktualisierung auf die neuesten Patches nicht.
Bedrohungsakteure haben es oft auf veraltete Anwendungen und Betriebssysteme abgesehen. Verzögern Sie die Aktualisierung auf die neuesten Patches nicht. Verwenden Sie starke Antiviren- und Anti-Malware-Lösungen. Stellen Sie sie nach der Installation so ein, dass sie automatisch aktualisiert und routinemäßig gescannt werden.
Stellen Sie sie nach der Installation so ein, dass sie automatisch aktualisiert und routinemäßig gescannt werden. Schränken Sie die Benutzerberechtigungen ein . Erteilen Sie Mitarbeitern nur bei Bedarf Berechtigungen und geben Sie ihnen die niedrigste Zugriffsstufe, die für die Ausführung ihrer Aufgaben erforderlich ist. Im Falle eines erfolgreichen Angriffs kann dies die Ausbreitung von Malware in Ihrem Netzwerk verhindern.
. Erteilen Sie Mitarbeitern nur bei Bedarf Berechtigungen und geben Sie ihnen die niedrigste Zugriffsstufe, die für die Ausführung ihrer Aufgaben erforderlich ist. Im Falle eines erfolgreichen Angriffs kann dies die Ausbreitung von Malware in Ihrem Netzwerk verhindern. Richten Sie starke Spam-Filter ein. Dies wird die Anzahl der Phishing-E-Mails, die den Posteingang der Mitarbeiter erreichen, erheblich einschränken und den Empfang von E-Mails aus Spoofing-Versuchen vermindern.
Dies wird die Anzahl der Phishing-E-Mails, die den Posteingang der Mitarbeiter erreichen, erheblich einschränken und den Empfang von E-Mails aus Spoofing-Versuchen vermindern. Konfigurieren Sie Firewalls. Blockieren Sie den Zugriff auf bekannte bösartige IP-Adressen, damit diese nicht in Ihr Netzwerk eindringen können.
Die Zusammenarbeit mit einem Drittanbieter kann Ihnen dabei helfen, all diese präventiven Schritte durchzuführen, insbesondere wenn Ihre eigenen Ressourcen und Budgets begrenzt sind. Diese Experten verfügen über die aktuellste Ausrüstung, das Wissen und die Fähigkeiten, um Ihre Organisation dabei zu unterstützen, einen Angriff zu verhindern und die Auswirkungen zu mindern, falls ein Angriff stattfindet.
Die Kosten, die mit Ransomware-Angriffen einhergehen, gehen weit über Auszahlungen und die mit einer Untersuchung verbundenen Ausgaben hinaus. Zu den Kosten gehören auch die Beschädigung und Zerstörung von Daten, Produktivitätsverlust, Unterbrechung des Geschäftsbetriebs, Wiederherstellung des Betriebs und Schädigung des Markenrufs. Viele Unternehmen können diese Kosten einfach nicht verkraften und finden es schwierig, sich davon zu erholen, wenn sie es überhaupt tun.
Bezahlen Sie nicht das Lösegeld. Holen Sie sich den Schutz, den Ihr Unternehmen braucht
Unternehmen jeder Größe sind dem Risiko von Ransomware-Angriffen ausgesetzt. Statistisch gesehen erleiden KMUs oft die größten Verluste, weil sie entweder nicht daran denken, zu planen, oder, falls sie es doch tun, nicht über die IT-Abteilungen verfügen, um den Planungsprozess durchzuführen und die entsprechenden technologischen Präventivmaßnahmen zu ergreifen. Hier kann die Zusammenarbeit mit Experten Ihrem Unternehmen helfen, in eine umfassende Kontinuitätsstrategie zu investieren, um sicherzustellen, dass Sie einen guten Plan zu einem erschwinglichen Preis haben.
Wenn Sie mehr über effektive Geschäftskontinuitäts- und Notfall-Wiederherstellung-Strategien erfahren möchten, wenden Sie sich an unsere Experten.
Microsoft 365 vor Ransomware schützen — m365einführung.de
Viele argumentieren, dass die Zahlung eines Lösegelds Cyberkriminelle noch mehr ermutigen könnte. Es ist jedoch schwierig, diese Angreifer zu verfolgen, da Lösegeld in Form von Kryptowährung gezahlt wird und es bekanntermaßen schwierig ist, die Identitäten von Personen durch Kryptowährungstransaktionen zu verfolgen. Wenn ein Ransomware-Angriff auftritt, gibt es Vermittler, die Unternehmen dabei helfen, mit diesen Cyberkriminellen umzugehen, indem sie Lösegeld zahlen. Allerdings gibt es keine solide Lösung, um Ransomware-Angriffe zu verhindern und Unternehmen zu helfen, Lösegeldzahlungen von vornherein zu vermeiden.
Doch selbstverständlich ist es vorzuziehen, Ransomware-Angriffe so weit wie möglich zu verhindern. In jeder Organisation bilden die Mitarbeitenden die erste Verteidigungslinie. Unabhängig von ihrer Rolle im Unternehmen ist es daher entscheidend, ihnen die unterschiedlichen Arten von Ransomware-Attacken beizubringen; denn schließlich kann jede Person, die einen mit dem Internet verbundenen Computer nutzt, einer solchen Attacke zum Opfer fallen. Im Folgenden finden Sie einige Möglichkeiten, wie Sie Ihre Anfälligkeit für Ransomware-Angriffe minimieren können.
1. Führen Sie regelmäßige Updates durch
Aktualisieren Sie Ihre Software und Ihre Betriebssysteme regelmäßig mit den neuesten verfügbaren Patches. Dadurch minimieren Sie das Risiko von Ransomware-Angriffen, da mögliche Sicherheitslücken in den Systemen in der Regel durch diese Updates geschlossen werden.
2. Halten Sie Ihre Nutzer auf dem Laufenden
Führen Sie Schulungen für Mitarbeiter durch, in denen sie über die sich entwickelnden Cybersecurity-Bedrohungen und den Schutz vor solchen Bedrohungen aufgeklärt werden. Diese Schulungen leisten einen unentbehrlichen Beitrag zur Minimierung ihres Sicherheitsrisikos. Wie bereits erwähnt: Ihre Nutzer sind stets die erste Verteidigungslinie gegen Cyberangriffe. Daher ist es wichtig, obligatorische (und kostenlose) Sicherheitsschulungen über Learning Management Systems (LMS) durchzuführen, um sicherzustellen, dass alle Mitarbeiter geschult sind. Die meisten Ransomware-Angriffe erfolgen über Phishing-E-Mails, daher können solche Awareness-Schulungen den Mitarbeitern helfen, mögliche bösartige E-Mail-Inhalte zu erkennen.
3. Erstellen Sie regelmäßige Backups Ihrer Daten
Indem Sie wichtige Dateien auf einem separaten Gerät oder in der Cloud speichern, kann die Geschäftskontinuität auch im Falle eines Angriffs sichergestellt werden. Reputationsschäden können allerdings nicht rückgängig gemacht werden. Sie sollten sich also auch auf die Prävention konzentrieren.
4. Fördern Sie Best Practices bei der Internetnutzung
Allgemeine Grundsätze wie der regelmäßige Passwortwechsel, die Verwendung komplexer Passwörter und das Nicht-Klicken auf verdächtige Links oder des Besuchs verdächtiger Websites sind einfach zu vermittelnde Alltagsregeln, die das selbstverschuldete Risiko von Ransomware-Angriffen minimieren können.
5. Überprüfen und testen Sie Ihren Incident Response Plan regelmäßig
Da die Mitarbeiter die erste Verteidigungslinie bei jedem Sicherheitsangriff sind, ist es wichtig, eine unternehmensweite Richtlinie für die Reaktion auf Vorfälle zu implementieren, bei der sie direkt mit der IT-Abteilung kommunizieren. Darüber hinaus sollten Sie versuchen, alle über sich weiterentwickelnde Sicherheitsbedrohungen auf dem Laufenden zu halten und die Reaktionspläne regelmäßig aktualisieren, um proaktiv auf diese Bedrohungen reagieren zu können.
6. Halten Sie sich über Ransomware-Fälle in der Branche auf dem Laufenden und lernen Sie daraus
Da Ransomware-Angriffe immer häufiger auftreten, kann es sehr hilfreich sein, proaktiv zu handeln und sich durch zuverlässige Nachrichtenquellen über derartige Vorfälle auf dem Laufenden zu halten, um das daraus Gelernte in Form einer Informationssicherheitsrichtlinie umsetzen.
7. Implementieren Sie Multi-Faktor-Authentifizierung
Dies ist eine neuere (aber sehr effektive) Möglichkeit, den unbefugten Zugriff auf sensible Daten einzuschränken oder zu verhindern. Durch Implementierung einer Multi-Faktor-Authentifizierung beim Zugriff auf kritische Daten, Geräte und Software kann bei der Prävention von Ransomware-Angriffen erheblich geholfen werden. Ebenso kann die regelmäßige Überprüfung des Zustands von Geräten dazu beitragen, Schwachstellen zu identifizieren und diese proaktiv zu beheben, bevor ein Angriff erfolgt.
Ransomware: Bedrohung erkennen und minimieren
Bei einem erfolgreichen Ransomware-Angriff drohen nicht nur Datenverlust und Lösegeldzahlung. Systeme können für lange Zeit ausfallen, wodurch gegebenenfalls der Geschäftsbetrieb zum Erliegen kommt. In Summe droht durch Verschlüsselungstrojaner ein kostspieliger Schaden, weshalb es umso wichtiger ist, Daten und Systeme abzusichern.
Alleine in Deutschland sind jährlich tausende Unternehmen betroffen. Experten gehen von einer hohen Dunkelziffer aus, weshalb die tatsächliche Anzahl der Ransomware-Opfer vermutlich viel höher liegt.
Angreifer, die deutsche Unternehmen ins Visier nehmen, haben es vor allem auf den Mittelstand abgesehen. Im Vergleich zu Großunternehmen ist deren IT oft weniger gut abgesichert. Zugleich haben die Opfer genügend Finanzkraft, um von ihnen hohe Beträge erpressen zu können.
Was ist Ransomware?
Ransomware fällt in den Bereich der Malware, auch Schadsoftware genannt. Sie wird in die Systeme der Opfer eingeschleust, um sich dort zu verbreiten und Schäden anzurichten. Hat sich ein Trojaner im Unternehmensnetzwerk ausgebreitet, sind oft alle angebundenen Endgeräte befallen. Die zwei häufigsten Schadensarten sind:
Verschlüsselung von Daten: Auf den Systemen befindliche Dateien werden verschlüsselt und sind dadurch nicht mehr nutzbar. Sperrung von Zugängen: Benutzer können ihre eigenen Systeme nicht mehr verwenden, um beispielsweise auf Daten zuzugreifen oder Anwendungssoftware zu nutzen.
Ransomware-Angriffe sollen dem Opfer nicht einfach das Leben erschweren. Ziel der Angreifer ist die Erpressung eines Lösegelds. Dem Opfer wird in Aussicht gestellt, dass nach Zahlungseingang eine Entschlüsselung und damit Freigabe der Daten erfolgt. Ob dies wirklich geschieht, ist jedoch nicht gewiss.
Was sind die Risiken und Folgen eines erfolgreichen Angriffs?
Kein Zugriff auf Daten : Die auf den Systemen befindlichen Daten sind nicht mehr verfügbar.
: Die auf den Systemen befindlichen Daten sind nicht mehr verfügbar. Dauerhafter Verlust : Eine Entschlüsselung der Daten ist nicht gewährleistet, im schlimmsten Fall sind die Daten für immer verloren.
: Eine Entschlüsselung der Daten ist nicht gewährleistet, im schlimmsten Fall sind die Daten für immer verloren. Verringerung der Produktivität : Server, Computer und andere Endgeräte sind nur eingeschränkt nutzbar. Es kann Wochen oder noch länger dauern, bis die Systeme wieder reibungslos laufen und produktives Arbeiten möglich ist.
: Server, Computer und andere Endgeräte sind nur eingeschränkt nutzbar. Es kann Wochen oder noch länger dauern, bis die Systeme wieder reibungslos laufen und produktives Arbeiten möglich ist. Folgekosten : Ob Lösegeldzahlung oder das Einschalten von IT-Forensikern und anderen Spezialisten – die Rückkehr zum Normalbetrieb ist erfahrungsgemäß sehr kostspielig.
: Ob Lösegeldzahlung oder das Einschalten von IT-Forensikern und anderen Spezialisten – die Rückkehr zum Normalbetrieb ist erfahrungsgemäß sehr kostspielig. Angeschlagene Reputation: Wird ein Ransomware-Angriff öffentlich, droht dem Unternehmen ein Imageschaden.
Wie Sie die IT Ihres Unternehmens vor Malware schützen
Für den besten Schutz vor Ransomware ist es notwendig zu wissen, wie es zu erfolgreichen Angriffen kommt.
Zahlreiche Angriffe gehen auf fehlerhaftes Nutzerverhalten zurück, indem schädliche E-Mail-Anhänge geöffnet und ausgeführt werden. Daneben existieren weitere Wege, über die sich Malware in die Unternehmens-IT einschleichen kann. Typische Schwachstellen sind schlecht abgesicherte oder falsch konfigurierte Systeme. Zudem setzen Angreifer vermehrt auf Social Engineering, um Zugangsdaten mittels Täuschung in Erfahrung zu bringen.
Unter Berücksichtigung der Risiken empfehlen sich zur Absicherung folgende Maßnahmen:
Gründliche Konfiguration : Systeme und Anwendungen müssen vollständig und angemessen konfiguriert sein. Nahezu alle Angriffe, bei denen sich Schadsoftware in E-Mail-Anhängen versteckt, lassen sich so unterbinden.
: Systeme und Anwendungen müssen vollständig und angemessen konfiguriert sein. Nahezu alle Angriffe, bei denen sich Schadsoftware in E-Mail-Anhängen versteckt, lassen sich so unterbinden. Einspielen von Sicherheits-Updates : Neu entdeckte Sicherheitslücken werden konsequent geschlossen.
: Neu entdeckte Sicherheitslücken werden konsequent geschlossen. Schutzprogramme : Antivirenprogramme, Firewalls und VPN tragen zur Absicherung der Systeme bei.
: Antivirenprogramme, Firewalls und VPN tragen zur Absicherung der Systeme bei. Security-Awareness-Schulungen : Die meisten erfolgreichen Ransomware-Angriffe gehen auf Fehler der eigenen Mitarbeiter zurück. Schulungen helfen, Gefahren zu erkennen und nicht in die Falle zu tappen.
: Die meisten erfolgreichen Ransomware-Angriffe gehen auf Fehler der eigenen Mitarbeiter zurück. Schulungen helfen, Gefahren zu erkennen und nicht in die Falle zu tappen. Backup-Strategie: Sicherheitskopien können das Unheil zwar nicht verhindern, jedoch die Auswirkungen verringern. Entscheidend ist, das die Backup-Dateien vor einer Verschlüsselung durch Ransomware geschützt sind und das Einspielen gelingt.
Know-how ist beim Schutz vor Ransomware entscheidend
Die Umsetzung von Maßnahmen zum Schutz vor Cyberangriffen erfordert tiefgreifendes Fachwissen, insbesondere wenn es um die Konfiguration der Systeme geht. In vielen IT-Abteilungen ist dieses Wissen nicht vorhanden, zumindest nicht in vollem Umfang. Deshalb kann empfehlenswert sein, sich Unterstützung von externen Spezialisten zu holen.
Fazit
Ein falscher Klick genügt, um die IT eines Unternehmens für lange Zeit auszuschalten und enorme Kosten zu verursachen. Doch soweit muss es nicht kommen, Unternehmen können ihre Systeme wirksam absichern. Allerdings ist dies keine Aufgabe, die sich nebenbei erledigen lässt. Es bedarf umfassender Kenntnisse, um ein hohes Schutzniveau zu erreichen.
Fragen & Antworten zum Thema
