ProLion Team, September 2023

Ransomware Response Plan: Was sollten Sie nach einem Angriff tun?

Newsletter

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Nach einem Ransomware-Angriff zählt jede Sekunde. Ein gut vorbereiteter Reaktionsplan kann den Unterschied zwischen einer schnellen Erholung und monatelanger Störung ausmachen. Dieser Artikel skizziert die wichtigsten Schritte, die nach einem Ransomware-Angriff zu unternehmen sind, damit Ihre Organisation den Schaden minimieren, Daten schützen und so schnell wie möglich wieder zum Normalbetrieb zurückkehren kann.

Was ist ein Ransomware-Reaktionsplan?
Ein Ransomware-Reaktionsplan ist ein vorab festgelegter Satz von Verfahren und Maßnahmen, die eine Organisation durch die unmittelbare Nachwirkung eines Ransomware-Angriffs leiten sollen. Ziel ist es, den Schaden zu minimieren, Beweise zu sichern und eine schnelle Erholung zu ermöglichen.

Wichtige Bestandteile eines Ransomware-Reaktionsplans umfassen:

  • Vorfallserkennung und Alarme: Werkzeuge und Prozesse, um einen Ransomware-Angriff schnell zu identifizieren und das IT-Team zu informieren
  • Sofortige Eindämmungsmaßnahmen: Schnelle Maßnahmen zur Isolierung infizierter Systeme und zur Verhinderung der weiteren Verbreitung der Ransomware
  • Datenbackup- und Wiederherstellungsverfahren: Schritte, um auf saubere, aktuelle Backups Ihrer wichtigen Daten und Systeme zuzugreifen und diese wiederherzustellen
  • Kommunikationsprotokolle: Richtlinien, wie Sie Ihr Team, Stakeholder, Kunden und die Behörden informieren
  • Rechtliche und regulatorische Compliance-Schritte: Meldung von Datenverletzungen und Cybervorfällen
  • Verhandlungsstrategie: Umgang mit Lösegeldforderungen
  • Systemwiederherstellungs- und Geschäftskontinuitätsverfahren: Wie Sie betroffene Systeme bereinigen und wiederherstellen und Ihr Geschäft während der Wiederherstellung am Laufen halten
  • Nachvorfallüberprüfung und Planaktualisierungsprozess: Rückblick auf das Geschehene, daraus lernen und den Reaktionsplan für das nächste Mal verbessern

Die beste Zeit, einen Ransomware-Reaktionsplan zu erstellen, ist vor dem Angriff. Je besser Sie vorbereitet sind, desto besser wird Ihre Reaktion auf Ransomware ausfallen.

Nun werfen wir einen Blick auf die fünf Dinge, die Sie unmittelbar nach einem Angriff tun sollten.

5 Schritte, die Organisationen nach einem Ransomware-Angriff unternehmen sollten

Schritt 1: Von der Quelle trennen

Wenn Sie feststellen können, welches kompromittierte Gerät oder welcher Server mit Ransomware infiziert ist, trennen Sie es sofort von Ihren anderen Systemen, Geräten und Ihrem Netzwerk. Dies kann verhindern, dass sich die Ransomware auf Ihre anderen Geräte ausbreitet und Ihr gesamtes Netzwerk infiziert.

Durch die Isolierung der infizierten Geräte oder Systeme verhindern Sie, dass der Angriff Ihr Netzwerk vollständig kompromittiert. Sie können sogar verhindern, dass die Malware Ihre wichtigsten und sensibelsten Vermögenswerte erreicht, was eine Geschäftsunterbrechung oder ein Downtime-Szenario verhindert. Dies wird auch alle nächsten Schritte, die Sie unternehmen, viel effektiver machen.

Schritt 2: Die Situation bewerten

Sobald die Ransomware eingedämmt ist, ist es entscheidend, die Ransomware zu identifizieren, die in Ihr Netzwerk eingedrungen ist. Unterschiedliche Arten von Ransomware haben einzigartige Merkmale und können eine einfachere Wiederherstellung bedeuten als andere.

Je nach Art können möglicherweise Decryptor-Tools verfügbar sein, die gesperrte Dateien leicht wiederherstellen können. Wenn kein bekanntes Decryptor-Tool verfügbar ist, ist die Art dennoch wichtig zu wissen, da es zusätzliche Notfallmaßnahmen geben kann, die eine Organisation ergreifen kann, um Schäden zu minimieren

Schritt 3: Kommunikation mit der Führungsebene

Sobald der Angriff in ausreichendem Maße eingedämmt ist, ist es Zeit, als Organisation in Bewegung zu kommen. Sie sollten einen Plan haben, der festlegt, welche Abteilungen, Interessenvertreter und Führungskräfte Teil der Incident-Response-Strategie sind. Falls nicht, ist dies ein guter Ausgangspunkt, um darüber nachzudenken.

Kontaktieren Sie alle betroffenen Abteilungsleiter und arbeiten Sie mit der Rechtsabteilung, der PR-Abteilung und möglicherweise auch der Personalabteilung zusammen, um effektive interne und externe Kommunikations- und Reaktionspläne zu entwickeln. Indem alle bereit sind, in proaktiver Weise zu handeln, wird Ihre Organisation für eine schnelle Reaktion mobilisiert, was letztendlich die Auswirkungen und Kosten des Ransomware-Angriffs verringert.

Schritt 4: Reaktionsstrategie festlegen

Oft ist die erste Entscheidung, die bei einem Ransomware-Angriff getroffen werden muss, ob das Lösegeld gezahlt werden soll oder nicht. Auch wenn die Entscheidung letztendlich bei der Führungsebene liegt und von Faktoren wie der Art der betroffenen Daten, der Branche und dem Ausmaß der Beeinträchtigung Ihrer Organisation abhängt, wird sehr empfohlen, das Lösegeld nicht zu zahlen und andere Wiederherstellungsmöglichkeiten zu finden.

Das Zahlen eines Lösegelds kann den Angreifer ermutigen, weitere Angriffe durchzuführen (möglicherweise erneut gegen Ihre Organisation). Außerdem gibt es leider keine Garantie, dass das Zahlen eines Lösegelds Ihre Daten zurückbringt.

Über diese Entscheidung hinaus sollte Ihr Ransomware-Reaktionsplan alle relevanten Interessengruppen, Abteilungen und möglichen Drittanbieter (wie forensische Ermittler und/oder Incident-Response-Beauftragte) einschließen. Dies wird Ihnen helfen, die Bedrohung vollständig zu beseitigen, herauszufinden, welcher Risikovektor ausgenutzt wurde, Prozesse und/oder Richtlinien zur Entfernung des Risikovektors (sofern möglich) einzuführen und sicherzustellen, dass Ihre Mitarbeiter und eventuell betroffene externe Parteien über das Geschehene informiert sind.

Schritt 5: Daten wiederherstellen und Schwachstellen beheben

Nachdem Sie die Bedrohung aus Ihrem Netzwerk entfernt haben, können Sie daran arbeiten, alle betroffenen Daten wiederherzustellen, Sicherungskopien zu verwenden und die Analyse nach dem Vorfall durchzuführen.

Dies umfasst die genaue Untersuchung, wie die Ransomware in Ihre Organisation gelangt ist, die Identifizierung der Sicherheitslücken, die zu der Kompromittierung geführt haben könnten, die Bewertung, wie die Schwachstelle gepatcht oder behoben werden kann, und eine Überprüfung mithilfe von Penetration Tests, ob die Behebung tatsächlich ausreichend ist.

Es gibt verschiedene Möglichkeiten, wie Ransomware in Ihr System gelangen kann. Es kann über Drittanbieter erfolgen, durch einen Mitarbeiter, der auf eine Phishing-E-Mail klickt oder durch Ausnutzen einer Geräte- oder Software-Schwachstelle. Die genaue Kenntnis darüber, wie Ihr Netzwerk kompromittiert wurde, hilft, zukünftige Angriffe zu verhindern. 67% der Organisationen, die von einem Data Breach betroffen waren, werden innerhalb von 12 Monaten Oper eines weiteren. Der Grund dafür ist hauptsächlich, weil die gleiche Schwachstelle, die zu dem Angriff geführt hat, nicht behoben wurde. Eine geeignete Reaktionsstrategie kann dazu beitragen, einen erneuten Angriff zu verhindern.

Verbessern Sie Ihre Ransomware-Reaktion mit CryptoSpike

Die Auswahl der richtigen Tools its wichtig, um sicherzustellen, dass Sie über die Fähigkeiten verfügen, einen Ransomware-Angriff richtig abzuwehren, zu erkennen und zu beseitigen.

CryptoSpike von ProLion wurde entwickelt, um Unternehmen bei einem Ransomware-Angriff auf das Speichersystem die letzte Chance zu geben, ihre Dateien und Daten wiederherzustellen. Das Tool erkennt ungewöhnliche Aktivitäten in Ihrem Dateisystem in Echtzeit und blockiert Ransomware-Angriffe, während es die Wiederherstellung einzelner Dateien ermöglicht. Diese sind zuverlässiger als herkömmliche Backups und helfen dabei, genau festzustellen, welche Daten wiederhergestellt werden müssen, so dass eine schnelle und zügige Wiederherstellung möglich ist.

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihr Unternehmen vor einem Ransomware-Angriff schützen können, laden Sie hier unser White Paper herunter.

Über ProLion

ProLion bietet leistungsstarke Schutzlösungen für kritische Storage- und Backupdaten, on-premise oder in der Cloud. Vom Ransomware-Schutz, der Bedrohungen in Echtzeit erkennt, bis hin zur Datenzugriffstransparenz. Unsere branchenführenden Technologien sorgen dafür, dass Ihre Storage Systeme sicher, compliant, verwaltbar und rund um die Uhr zugänglich bleibt.