Reaktionsmaßnahmen nach Ransomware-Angriffen

Veröffentlicht: 09. März 2022 aus Steuern & Wirtschaft aktuell

Als Ransomware werden verbrecherisch in IT-Systeme eingeschleuste Schadprogramme bezeichnet, mit der EDV-Systeme gesperrt oder Daten verschlüsselt werden. Die Freigabe dieser Ressourcen erfolgt nur gegen Zahlung von Lösegeld. Für Unternehmen, die von einem Ransomware-Angriff betroffen sind, bietet das Notfalldokument „Erste Hilfe bei einem schweren IT-Sicherheitsvorfall“ des Bundesamtes für Sicherheit in der Informationstechnik Hilfestellungen, um keine Fehler in der Anfangsphase zu begehen, die später dazu führen, dass der Angriff nicht bereinigt oder aufgeklärt werden kann.

Mittlerweile gibt es „Ransomware-as-a-Service“. Hierbei nutzen Ransomware-Entwickler ähnliche Geschäftsmodelle, wie seriöse Software-Anbieter. Entsprechende Services sind im Dark-Web leicht zu finden. Wer einen erpresserischen Ransomwareangriff plant, kann sich dort einfach bei einem entsprechenden Portal anmelden. Die anonyme Zahlung erfolgt mit Kryptowährungen (wie z.B. Bitcoins oder Monere) über gängige Social Trading Apps (wie z.B. eToro, Binance oder Nuri) mit dem Smartphone oder über die entsprechende Web-Variante. Nach Auswahl der gewünschten Schadsoftware können Ransomware-Angriffe dann auch von Anwendern ohne umfangreiche technische Kenntnisse direkt gestartet werden. Wegen dieser einfachen Verfügbarkeit und leichten Anwendung von Schadprogrammen steigt für Unternehmen das Risiko, Opfer eines Angriffs zu werden.

Wenn es trotz Präventionsmaßnahmen zu einem Sicherheitsvorfall mit Ransomware kommt, sind u.a. folgende 4 Maßnahmen zu beachten:

1. Lösegeldforderung

Da es sich bei Ransomware um eine Lösegelderpressung durch die Organisierte Kriminalität handelt, rät das Bundesamt für Sicherheit in der Informationstechnik nachdrücklich, angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückgreifen und nicht zu zahlen. Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer, weiter zu machen. Lösegeldzahlungen finanzieren die Weiterentwicklung der Schadsoftware und fördern deren Verbreitung. Erneute Angriffe sind nicht ausgeschlossen.

2. Strafanzeige erstatten

Ein wichtiger Punkt ist es, Strafanzeige zu erstatten. Polizeiliche Ermittlungen ermöglichen weitergehende Erkenntnisse, wie z.B. zum Fluss der gezahlten Lösegelder, die Informationsgewinnung durch Überwachungen von Command & Control Servern (zentrale Internetcomputer, die Befehle an sog. Botnets absetzen) und die Verfolgung der häufig aus dem Ausland agierenden Täter.

3. Incident Response

Zur Begrenzung des möglichen Schadens sollten infizierte Systeme zunächst umgehend vom Netz getrennt werden. Am schnellsten geht dies durch die Trennung des Netzwerkkabels vom Computer und die Abschaltung etwaiger WLAN-Adapter.

4. Externe Expertise

Falls betroffene Unternehmen kein eigenes IT-Security Team oder Computer Emergency Response Team haben, welches den Vorfall bewältigen kann, wird empfohlen, sich rechtzeitig externe Unterstützung durch eine Fachfirma einzukaufen. Teilweise kann hierbei auch eine bestehende Cyber-Versicherung helfen.

Weitere Hinweise und Präventionsmaßnahmen finden sich im Dokument „Ransomware – Bedrohungslage, Prävention & Reaktion“ des Bundesamts für Sicherheit in der Informationstechnik.

Hinweis:

Wichtigste Schutzmaßnahmen vor Angriffen auf die eigene IT sind ein gutes Datensicherungskonzept, E-Mail-Filterung, Mitarbeitersensibilisierung, Netzwerksegmentierung, Absicherung von Remote-Zugängen und ein sicherer Umgang mit Administrator Accounts.