Cyberangriff durch Ransomware professionell meistern
Verwaltung

Cyberangriff durch Ransomware professionell meistern

Auch wenn es keinen kompletten Schutz gegen Ransomware gibt, ist es dennoch hilfreich, wenn sich Unternehmen mit einem Notfallplan für den Ernstfall rüsten.

Cyberangriffe wie Ransomware-Attacken von Kriminellen sind auf dem Vormarsch und werden immer ausgeklügelter. So sind Cyberkriminelle heute global vernetzt und fokussieren sich neben Unternehmen immer häufiger auf öffentliche Einrichtungen, Behörden, Kommunen oder das Gesundheitswesen. Dabei sollten Verantwortliche sich bewusst sein, dass es lediglich eine Frage der Zeit ist, bis man selbst zum Ziel eines oft gut geplanten Cyberangriffes wird.

Wer steckt hinter den Angriffen

Oft handelt es sich um gut ausgebildete und hervorragend organisierte & hierarchisch strukturierte Gruppierungen, welche nicht nur technologisch hervorragend ausgestattet sind, sondern auch oft von bestimmten Staaten aktiv unterstützt oder zumindest toleriert und geduldet werden. Da verwundert es nicht, dass man heute davon ausgeht, dass die bekanntesten Cyberkriminellen-Kollektive in Ländern wie Russland, China oder Nordkorea vermutet werden.

Was ist das Ziel der Angreifer

Sicherlich ist im Jahr 2022 noch Geld der hauptsächliche Motivationsgrund von Cyberkriminellen. Durch eine perfide Vorgehensweise optimieren die illegal Agierenden ihre Einnahmemöglichkeiten.  Zum einen werden alle Daten sicher verschlüsselt, so dass man ohne den für die Entsperrung der Daten benötigten Zugangscode keinen Zugriff mehr auf seine Daten erhält. In der Regel vorhandene Sicherungskopien, sogenannte Backups, werden von dem Angreifer so zerstört, dass die Daten unbrauchbar werden.  Zum anderen stehlen die Kriminellen oft Daten und drohen den betroffenen Organisationen bei Nicht-Bezahlung der geforderten Lösegelder für den benötigten Entschlüsselungs-Code auch mit der Veröffentlichung der entwendeten Daten. Auch zeigt die Erfahrung, dass nie ausgeschlossen werden kann, dass besonders schützenswerte oder wertvolle Daten z.B. aus der Forschungs- und Entwicklungsabteilungen so in die Hände von Mitbewerbern oder Regierungen gelangen.

Wie läuft ein Angriff ab

Eines Tages finden einige Mitarbeiter in ihrem E-Maileingang eine offiziell wirkende Mitteilung zu einer wirklich durchgeführten und über die Medien öffentlich kommunizierten, neuen Organisationsanpassung, z.B. einer Behörde. Das E-Mail wurde von der eingesetzten Sicherheitssoftware nicht als besonders gefährlich eingestuft. Der Textinhalt verweist auf das angehängte offizielle & inhaltlich korrekte, aber unbemerkt mit einer Schadsoftware infizierte PDF und erklärt, dass alle wichtigen Informationen darin zu finden seien. Das E-Mail wurde von einigen Mitarbeitern gelesen. Einige haben das PDF geöffnet und damit den Cyberkriminellen unbemerkt Zugang zum IT-Netzwerk ermöglicht. Die Cyberkriminellen sammeln nun über Monate unbemerkt Informationen, und bereiten sich so minutiös auf den finalen Ransomware-Angriff vor. Plötzlich funktioniert der Grossteil der IT-Infrastruktur nicht mehr. Interne und externe IT-Spezialisten beginnen mit der Problemanalyse – schnell steht fest, Kriminelle haben einen Grossteil hoch sensibler, teils personenbezogenen Daten verschiedener Abteilungen verschlüsselt und wohl auch gestohlen. Nun verlangen die Kriminellen eine stolze Summe, damit Sie den Schlüssel zum Freigeben dieser Daten herausrücken und zudem die Daten nicht z.B. im Darknet veröffentlichen.   

Doch wie kommt man nun an die vermissten Daten?

Vorbereitung ist alles

Ob und wie professionell die Verantwortlichen nun mit der oben beschriebenen Situation umgehen, hängt im Wesentlichen davon ab, wie gut man sich auf ein solches Szenario im Vorfeld vorbereitet hat. Wer vorbildlich organisiert ist, hat seine Infrastruktur frühzeitig einer Sicherheitsanalyse unterzogen und darauf basierend eine Risikobewertung samt notwendiger Infrastrukturanpassungen gemacht. Mitarbeiter werden regelmässig auf mögliche Gefahren und korrektes Verhalten in der digitalen Welt sensibilisiert und geschult. Umfangreiche, Szenario basierte Notfallpläne wurden erstellt und stehen in mehrfacher Ausführung - auch in gedruckter, physikalisch greifbarer Form zur Verfügung. Dies ist besonders wichtig, wenn kein Zugriff mehr auf die digitalen Daten möglich ist. Da nach einem Cyberangriff unbedingt schnell reagiert werden sollte, sind frühzeitig geschlossene Rahmenverträge mit spezialisierten Unternehmen wie z.B. externe IT-Dienstleister, auf Cybervorfälle spezialisierte Incident Response Dienstleister sowie einem professionellen Datenrettungs-Spezialisten, unerlässlich. Denn nur so garantieren sie, dass im Notfall die benötigten Ressourcen & Fachkräfte zeitnah bereitgestellt werden können. Unabhängig davon lohnt es sich regelmässig, die durch bestehende Versicherungen gedeckten Risiken zu überprüfen und notwendige Anpassungen zu vollziehen.

Mögliche Reaktionen

Wird ein Ransomware-Angriff in einer Organisation erkannt, muss rasch reagiert werden. Betroffene Systeme sollten sofort vom Netz genommen werden. Aktivieren Sie den Notfallplan und kontaktieren und involvieren Sie ausgewiesene Fachexperten.

Bezahlen

Der Lösegeldforderung der Cyberkriminellen nachzukommen der vermeintlich einfachste Weg, mit dem Problem umzugehen. Doch es besteht keine Garantie, dass man den Entschlüsselungscode wirklich erhält oder dass dieser – nach einem Erhalt – auch wirklich funktioniert und damit alle Daten wieder korrekt entschlüsselt werden können. Gleichzeitig wird die zahlende Organisation innerhalb des Cyberkriminellen-Netzwerkes als leichtes Ziel bekannt. Dadurch erhöht sich die Gefahr eines weiteren Angriffs. Abgesehen davon fördern man mit der Zahlung des Lösegelds kriminelle Geschäftsmodelle.

Das Nationale Zentrum für Cybersicherheit (NCSC) in Bern sowie die meisten Fach-Spezialisten wie auch KLDiscovery Ontrack raten von Ransomware- Lösegeldzahlung ab. Zum Glück gibt es oft alternative Möglichkeiten, um Erpressungen und Reputationsschäden zu verhindern.

Entschlüsselung

Aktuell sind die Entschlüsselungscodes für rund 130 unterschiedliche Ransomware-Arten bekannt. Dadurch kann in seltenen Fällen unter gewissen Voraussetzungen eine Entschlüsselung der Daten durchgeführt werden.  Da sowohl die Entschlüsselung als auch die restlose Entfernung der Ransomware gewisse Risiken beinhalten, lohnt es sich, diese Tätigkeiten einen ausgewiesenen Spezialisten zu übergeben.

MicrosoftTeams-image (1).jpeg

Systemwiederherstellung (Backup):

Cyberkriminelle wissen, dass Backups den Erpressungserfolg mindern können. Deshalb werden Backups oft kontaminiert oder beschädigt, so dass die Backupsoftware vorhandene Backup-Daten nicht mehr interpretieren und wieder herstellen kann. Sollte ein Backup vermeintlich unbeeinträchtigt sein und funktionieren, lohnt es sich, den Restore mit äusserster Vorsicht und in einem gesicherten Umfeld unter Beizug von Spezialisten durchzuführen, da dieses trotz der Funktionalität durch die Ransomware kontaminierte Daten enthalten kann.

Datenrettung – die Lösung!

Oft können die IT-Spezialisten die Systeme & Applikationen rasch funktionsfähig bereitstellen, doch die Daten bleiben ganz oder teilweise unzugänglich.  In diesen Fällen lohnt es sich frühzeitig die Expertise eines auf Ransomware spezialisierten Datenrettungs-Spezialisten wie KLDiscovery Ontrack einzuholen.  Jeder Ransomware Angriff ist ein individuelles einzigartiges Szenario   - kein Fall gleicht dem anderen, und deshalb gibt es auch keine standardisierten Lösungen, die helfen, das Problem zu lösen. Auf Cybervorfälle spezialisierte Datenrettungsdienstleister sind in der vorteilhaften Lage, durch selbst entwickelte proprietäre Lösungen & Technologien auch in aussichtslos erscheinenden Fällen verloren geglaubte Daten in den meisten Fällen zuverlässig und in einer gut verwendbaren Form wieder verfügbar zu machen.

Professionell kommunizieren

Die meisten Cyberangriffe werden früher oder später publik. Deshalb ist es besonders ratsam, dass man die professionelle Kommunikation nicht vernachlässigt. Besonderes Augenmerk sollte auf eine zeitnahe, transparente und umfassende Kommunikation gelegt werden. Insbesondere, wenn die Cyberkriminellen Zugriff auf sensible oder personenbezogene Daten hatten. Hier gilt es aus den personenbezogenen Daten die entsprechenden betroffenen Personen zu identifizieren und zuverlässig zu analysieren, welche individuellen den einzelnen Personen zuordenbare Informationen wie z.B. Pass-ID, Bankdaten, Kreditkartennummer, E-Mail etc. den Kriminellen zugänglich waren. Diese Analyse erlaubt es der angegriffenen Organisation, betroffenen Personen wie z.B. Mitarbeiter, Einwohner, Steuerzahler, Lieferanten usw. einzeln und individuell zu informieren, welche der über sie gespeicherten Daten durch den Cybervorfall gefährdet sind. Dadurch können die Betroffenen notwendige Vorkehrungen treffen und allfällige Folgeschäden abwenden.  Eine professionelle Aufbereitung der durch Cybervorfälle betroffenen, oft komplexen Datenbestände sollte durch einen auf Cyber-Incident-Response und erfahrenen Dienstleister, wie z.B.  KLDiscovery Ontrack erfolgen. Die professionelle Datenanalyse samt Aufbereitung und Auswertung ermöglicht nicht nur eine professionelle Kommunikation. Sie bietet auch die Grundlage zur Einhaltung von gesetzlichen Meldepflichten und unterstützt die Rechtsverantwortlichen bei der Behandlung von möglichen Schadenersatzforderungen.

Auch interessant

AdobeStock

Ein neues ­Verständnis für die Sorgen und Nöte der ­Menschen

Verwaltungen sehen sich mit Herausforderungen auf vielen Ebenen konfrontiert. Die offensichtlichste: die Digitalisierung der Schweiz. Der demografische Wandel, die Vereinfachung der Strukturen und eine grössere Nähe zu den Menschen setzen ein neues Verständnis für die Aufgaben der Verwaltung vor, die letztlich das Verhältnis zum Staat bestimmt.

AdobeStock

Die künstliche Gemeindeverwaltung

Die sogenannte «künstliche Intelligenz» hält auch in der digitalen Schweiz Einzug. Sie gestaltet die Beziehungen zu den Menschen in der Gemeinde und im föderalen System neu. Eine Einführung in die neue Welt der grossen Sprachmodelle.

Fokusthema Supply Chain-Angriffe

Fokusthema Supply Chain-Angriffe

Der aktuelle Halbjahresbericht des NCSC befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2021 in der Schweiz und international. Die Angriffe auf die Supply Chain von IT-Produkten bilden das Schwerpunktthema.