{"id":26263,"date":"2021-02-19T14:57:20","date_gmt":"2021-02-19T12:57:20","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26263"},"modified":"2021-02-19T18:16:56","modified_gmt":"2021-02-19T16:16:56","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ransomware-attack-what-to-do\/26263\/","title":{"rendered":"Ransomware: Was tun, bei verschl\u00fcsselten Unternehmensdaten?"},"content":{"rendered":"

Sie haben bereits unsere Tausendundeinen<\/a> Blogbeitrag dar\u00fcber gelesen, wie Sie Ihr Netzwerk vor s\u00e4mtlichen Bedrohungen auf der Welt sch\u00fctzen k\u00f6nnen. Es kann aber durchaus passieren, dass Ihre IT-Systeme trotz aller Sicherheitsma\u00dfnahmen infiziert werden. Wenn es so weit gekommen ist, ist es wichtig einen k\u00fchlen Kopf zu bewahren sowie entschlossen und schnell zu handeln. Wie Sie auf den Angriff reagieren, hat einen entscheidenden Einfluss darauf, ob der Angriff zu t\u00f6dlichen Kopfschmerzen f\u00fcr das Unternehmen wird oder ob Sie ruhmreich aus der Sache hervorgehen.<\/p>\n

Denken Sie daran, w\u00e4hrend des Wiederherstellungsvorgangs alle Schritte aufzuzeichnen. So gew\u00e4hrleisten Sie vollkommene Transparenz f\u00fcr Ihre Mitarbeiter und allgemein f\u00fcr die \u00f6ffentliche Meinung. Versuchen Sie auch jegliche Beweise der Ransomware aufzubewahren, um sp\u00e4ter zu versuchen weitere b\u00f6sartige Software ausfindig zu machen, die es auf Ihr IT-System abgesehen hat. Das bedeutet Protokolldateien und Spuren der Malware zu speichern, die f\u00fcr sp\u00e4tere Untersuchungen n\u00fctzlich sein k\u00f6nnen.<\/p>\n

1. Schritt: Ausfindig machen und isolieren<\/h2>\n

Zuerst sollten Sie sich ein klares Bild davon verschaffen, welche Reichweite der Angriff hat. Hat die Ransomware, bzw. Erpressungssoftware das ganze Netzwerk befallen? Sind wirklich alle B\u00fcros davon betroffen?<\/p>\n

Suchen Sie nach den infizierten Computern und Netzwerksegmenten innerhalb der IT-Infrastruktur Ihres Unternehmens und isolieren Sie diese sofort von dem restlichen Netzwerk, um der Kontaminierung so gut wie m\u00f6glich entgegenzuwirken.<\/p>\n

Arbeitet Ihr Unternehmen nur mit wenigen Computern, k\u00f6nnen Sie Ihre \u00dcberpr\u00fcfung direkt mit Folgendem beginnen: Virenscanner, Endger\u00e4teerkennung und Reaktion (EDR)<\/a>, Firewall<\/a> und Logdateien<\/a>. Bei einer geringen Computer-Anzahl k\u00f6nnen Sie von Rechner zu Rechner gehen und diese einzeln \u00fcberpr\u00fcfen.<\/p>\n

Ist genau das Gegenteil der Fall und Ihr Unternehmen arbeitet mit zahlreichen Computern, ist es sinnvoller die Prozesse und Logdateien mithilfe des SIEM-Systems<\/a> zu analysieren. Damit ist es nat\u00fcrlich l\u00e4ngst nicht getan, aber Sie verschaffen sich einen \u00dcberblick \u00fcber die Situation.<\/p>\n

Nachdem Sie die infizierten Ger\u00e4te vom Netzwerk getrennt haben, erstellen Sie Disk-Images und verwenden Sie die Ger\u00e4te m\u00f6glichst nicht mehr, bis die Untersuchung abgeschlossen ist. (Kann sich das Unternehmen keine l\u00e4ngeren PC-Ausfallzeiten leisten, erstellen Sie trotzdem die Disk-Images und verwahren Sie den Speicherauszug f\u00fcr die Untersuchung auf.)<\/p>\n

2. Schritt: Analysieren und handeln<\/h2>\n

Nach Beendigung der \u00dcberpr\u00fcfung Ihrer IT-Systeme verf\u00fcgen Sie jetzt \u00fcber eine Liste mit den Ger\u00e4ten, dessen Daten verschl\u00fcsselt wurden und Sie haben auch die Abbilder der entsprechenden Festplatten. Alle infizierten Ger\u00e4te sind bereits vom Netzwerk getrennt und stellen keine Gefahr mehr dar. Sie k\u00f6nnten<\/em> direkt mit der Wiederherstellung Ihrer Daten auf den verschl\u00fcsselten Festplatten beginnen, aber es ist ratsam vorher die Sicherheit des restlichen Netzwerkes zu \u00fcberpr\u00fcfen.<\/p>\n

Jetzt ist es an der Zeit, die Ransomware zu analysieren\u00a0\u2013\u00a0versuchen Sie herauszufinden, wie sich die Malware auf Ihren Computern installieren konnte und von welchen Verbrechergruppen diese Schadsoftware in der Regel verwendet wird. Kurz gefasst, beginnen Sie mit dem Prozess des Threat Huntings. Ransomware kommt nicht einfach so aus dem Nichts. Zur Installation ist ein Dropper<\/a>, ein Remote Access Tool (RAT)<\/a>, ein Trojaner-Loader<\/a> oder etwas \u00c4hnliches erforderlich. Es ist ausschlaggebend herauszufinden, was es genau war.<\/p>\n

Hier beginnen Sie mit einer internen Ermittlung. Durchst\u00f6bern Sie die Logdateien, um zu entdecken, welcher Rechner zuerst infiziert wurde und warum dieser Computer den Angriff nicht abgewehrt hat.<\/p>\n

Mit den Ergebnissen Ihrer Ermittlung in der Hand, befreien Sie das Netzwerk von verborgener Malware und falls m\u00f6glich setzen Sie die Gesch\u00e4ftst\u00e4tigkeiten wieder in Gang. Denken Sie dann dar\u00fcber nach, wie Sie den Angriff h\u00e4tten verhindern k\u00f6nnen. Welche Sicherheits-Software fehlt in Ihrem Unternehmen? Beheben Sie s\u00e4mtliche Sicherheitsl\u00fccken.<\/p>\n

Informieren Sie dann alle Mitarbeiter \u00fcber den Vorfall. Halten Sie ein kurzes Informationsgespr\u00e4ch oder geben Sie praktische Anleitungen dazu, wie diese Cyberfallen vermieden werden k\u00f6nnen und weisen Sie darauf hin, dass in K\u00fcrze ausf\u00fchrliche Schulungen rund um das Thema zur Verf\u00fcgung gestellt werden.<\/p>\n

Achten Sie ab jetzt immer darauf, alle Updates und Installationen von Patches rechtzeitig durchzuf\u00fchren. Update- und Patchmanagement ist eine der obersten Priorit\u00e4ten von IT-Administratoren, denn oft nutzt Malware Schwachstellen aus, um sich in Unternehmensnetzwerke einzuschleusen, f\u00fcr die bereits effektive Patches entwickelt wurden.<\/p>\n

3. Schritt: Desinfizieren und wiederherstellen<\/h2>\n

Zu diesem Zeitpunkt haben Sie die Bedrohung f\u00fcr das Unternehmensnetzwerk neutralisiert und die Sicherheitsl\u00fccke entfernt, die von der Malware ausgenutzt wurde. Es ist also an der Zeit, sich um die Computer zu k\u00fcmmern die au\u00dfer Betrieb sind. Wenn die Rechner nicht mehr f\u00fcr die Untersuchung erforderlich sind, k\u00f6nnen Sie jetzt die Festplatten formatieren und die Daten \u00fcber das letzte \u201esaubere\u201c Back-up wiederherstellen.<\/p>\n

Wenn Ihnen kein Back-up zur Verf\u00fcgung steht, bleibt Ihnen nichts anderes \u00fcbrig, als zu versuchen, die Daten auf den Festplatten zu entschl\u00fcsseln. Werfen Sie hierf\u00fcr zuerst einen Blick auf Kasperskys Website mit kostenlosen Ransomware Decryptoren<\/a>. Wenn Sie Gl\u00fcck haben, gibt es bereits ein Entschl\u00fcsselungstool f\u00fcr die Ransomware, die Ihr Unternehmen angegriffen hat. Sollten Sie keinen passenden Dekryptor auf der Seite finden, setzten Sie sich mit Ihrem Cybersicherheitsanbieter in Verbindung, um gemeinsam nach der besten L\u00f6sung zu suchen. Denken Sie daran, die verschl\u00fcsselten Dateien unter keinen Umst\u00e4nden zu l\u00f6schen. Von Zeit zu Zeit tauchen neue Dekryptoren auf und vielleicht ist dann auch der richtige f\u00fcr Sie dabei \u2013 es w\u00e4re auf jeden Fall nicht das erste Mal, dass so etwas geschieht.<\/p>\n

Und egal was passiert, zahlen Sie keinesfalls das geforderte L\u00f6segeld! Damit w\u00fcrden Sie die Kriminellen nur finanziell unterst\u00fctzen und m\u00f6glicherweise werden Ihre Daten nach der Zahlung nicht einmal entschl\u00fcsselt. Abgesehen von der Verschl\u00fcsselung, besteht auch die M\u00f6glichkeit, dass die Verbrecher Ihre Daten gestohlen<\/a> haben, um weitere Erpressungsgelder damit einzutreiben. Eine L\u00f6segeldzahlung an die habgierigen Verbrecher kann dazu f\u00fchren, dass noch mehr L\u00f6segeld gefordert wird. In manchen F\u00e4llen<\/a> klopften die Cyberkriminellen bereits nach wenigen Monaten erneut mit der Drohung an die T\u00fcr, die Daten zu ver\u00f6ffentlichen, um noch mehr Geld zu erpressen.<\/p>\n

Es ist sinnvoller sich damit abzufinden, dass die gestohlenen Daten an die \u00d6ffentlichkeit gelangen k\u00f6nnten und sich auf dieses m\u00f6gliche Datenleck vorzubereiten. Den Vorfall k\u00f6nnen Sie nicht ewig verheimlichen \u2013 fr\u00fcher oder sp\u00e4ter werden Sie mit Mitarbeitern, Aktion\u00e4ren, Beh\u00f6rden und h\u00f6chstwahrscheinlich auch Journalisten dar\u00fcber reden m\u00fcssen. Offenheit und Ehrlichkeit<\/a><\/u>\u00a0sind hier sehr wichtig und werden sehr gesch\u00e4tzt.<\/p>\n

4. Schritt: Ergreifen Sie pr\u00e4ventive Ma\u00dfnahmen<\/h2>\n

Cybervorf\u00e4lle bedeuten immer gro\u00dfen \u00c4rger und bekanntlich ist Vorbeugung die beste Medizin. Bereiten Sie sich im Voraus auf m\u00f6gliche Vorf\u00e4lle vor.<\/p>\n