Es gibt Situationen, auf die man nicht vorbereitet ist und in denen man trotzdem schnell und richtig handeln muss. So eine Situation ist ein Cyberangriff mit einem Verschlüsselungstrojaner – auch Ransomware-Angriff genannt. Davon war im letzten Jahr jedes dritte Unternehmen betroffen. Lesen Sie hier, was dann zu tun ist. 3 Minuten Lektüre die sich auszahlen, um Ihren Ransomware-Verteidigungsplan aufzustellen.
1. Wurde ich von einem Verschlüsselungstrojaner angegriffen?
Sie sind morgens der Erste im Büro, holen sich einen Kaffee, fahren Ihren Computer hoch und erleben eine Überraschung. Statt Zugriff auf Ihre Server bekommen Sie eine Nachricht.
„your personal files are encrypted – pay for unlock”.
Es ist nicht der erste April und die Kollegen können ebenfalls nicht auf die Server zugreifen. Sie sind gerade Opfer eines sogenannten Ransomware-Angriffs geworden. Hackern ist es also gelungen, in Ihr Unternehmensnetz einzudringen und dort eine Schadsoftware zu installieren, die Ihre gesamten Daten verschlüsselt und Ihre IT so als virtuelle Geisel nimmt. Die Hacker bieten dann an, Ihre Daten wieder zu entschlüsseln, wenn Sie ein Lösegeld dafür bezahlen. Typischerweise wird dafür Zahlung in einer Kryptowährung verlangt. Varianten dieses Vorgehens sind zusätzlich zu drohen, die Daten zu veröffentlichen, wenn Sie nicht zahlen oder den geforderten Betrag in großen Schritten zu erhöhen, wenn Sie nicht innerhalb einer bestimmten Frist bezahlen.
Wie konnte es dazu nur kommen? Vielleicht haben Sie eine Phishing-E-Mail geöffnet, vielleicht hat ein Kollege sein Passwort unbedacht weitergegeben oder es gibt eine Sicherheitslücke in einer von Ihnen verwendeten Software. Sie werden es vielleicht herausfinden, vielleicht aber auch nicht. In jedem Fall sollten Sie diese Frage erst einmal hintenanstellen, denn die Antwort hilft Ihnen im Moment nicht. Konzentrieren Sie sich auf die Themen, die Sie in der Hand haben und die Ihnen weiterhelfen.
2. Ihr Ransomware-Verteidigungsplan
Der Angriff auf Ihr Unternehmen hat zum Ausfall Ihrer IT oder relevanter Teile davon geführt. Das kann in unserer digitalisierten Wirtschaftswellt schnell zur existenziellen Bedrohung werden. Sie müssen schnell und richtig handeln, um sich Ihre IT und damit Ihr Unternehmen schnell wieder zurück zu holen. Dieser Ransomware-Verteidigungsplan enthält die wichtigen Aspekte, die dabei zu bedenken sind.
2.1. Organisation und Teamaufstellung
In dieser vielleicht größten Krise Ihres Unternehmens brauchen Sie jede Hilfe, die Sie bekommen können.
- Sie haben eine Cyberversicherung abgeschlossen? Kontaktieren Sie diese direkt. Die meisten Policen beinhalten Unterstützungen im Krisenfall. Diese sollten Sie unbedingt nutzen.
Ob mit oder ohne Versicherung, stellen Sie umgehend Ihr Krisenteam zusammen, mit dem Sie möglichst viele der zu erwartenden Herausforderungen meistern können. Denken Sie vor allem an diese Bereiche:
- IT und IT-Sicherheit
- Datenschutz, IT-Recht und Haftungsfragen
- Interne und externe Kommunikation
Holen Sie die intern verfügbaren Kollegen für diese Bereich in Ihr Krisenteam. Typische Mitglieder eines Krisenteams sind die Geschäftsleitung, die IT, Datenschutz und Rechtsabteilung. Können Sie einen oder mehrere dieser Bereiche nicht abbilden, zögern Sie nicht externe Hilfe zu rufen. Vielleicht haben Sie einen Krisenplan mit externen Ansprechpartnern oder kennen persönlich die richtigen Berater. Wenn nicht, fragen Sie in Ihrem Netzwerk. Von Ransomware-Angriffen sind mehr Unternehmen betroffen, als man glaubt. Die Chancen auf eine Empfehlung stehen gut.
2.2. IT-Verteidigung und Wiederherstellung
Ihr Team steht? Beginnen Sie mit der Verteidigung gegen den Angriff und der Wiederherstellung Ihrer IT. Ihr Ziel muss natürlich sein, möglichst schnell wieder den sicheren IT-Betrieb herzustellen. Idealerweise haben Sie jetzt bereits Experten an Ihrer Seite, die wissen was zu tun ist. Wenn nicht, ist diese Checkliste Ihr Fahrplan, bis die Experten an Bord sind. Entscheidend, damit der Betrieb sicher wiederhergestellt werden kann ist, dass die Ransomware aus Ihren IT-Systemen entfernt oder so isoliert ist, dass ausgeschlossen ist, dass es zu einer erneuten Infektion kommen kann. Das ist die höchste Priorität und sollte bei jedem der nachfolgend beschriebenen Schritte beachtet werden.
- Schnelle Lösung in Sicht? Auf der Website des Europol-Projekts NOMORERANSOM (Link) gibt es neben Tipps zum Umgang mit Ransomware-Angriffen ein Tool zum Entschlüsseln von Daten. Das könnte schon die Rettung sein. Einen Versuch ist es auf jeden Fall wert.
- Retten was zu retten ist. Treffen Sie Maßnahmen, um zu verhindern, dass es zu weiteren Infektionen kommt. Trennen Sie Ihre Netzwerkverbindungen. Identifizieren und isolieren Sie betroffene Systeme.
- Analysieren Sie den Schaden und stellen Sie die Arbeitsfähigkeit wieder her. Erst provisorisch, dann dauerhaft, aber auf jeden Fall sicher. Schalten Sie Ihre IT-Systeme immer erst wieder live, wenn Sie sicher sind, dass es sicher ist.
- Bauen Sie Ihre IT wieder auf. Auch dabei gilt: Safety first. Betroffene IT-Komponenten sollten erst wieder live gehen, wenn Sie sicher sind, dass es sicher ist.
- Lessons learned? Analysieren Sie den Angriff und Schwachstellen, die Ihre IT hatte und die den Ransomware-Angriff möglich gemacht haben. Es ist schlimm genug, dass Sie einmal angegriffen wurden. Es darf aber auf keinen Fall erneut auf die gleiche Weise passieren.
Parallel zu den beschriebenen Schritten macht es Sinn Beweise für eine spätere Auswertung und ggf. Übergabe an Ermittlungsbehörden zu sichern.
2.3. Rechtliche Verteidigung und Absicherung
Aus einem Ransomware-Angriff können sich zahlreiche rechtliche Pflichten ergeben. Falsches Verhalten kann sogar dazu führen, dass Sie hohe Bußgelder oder Kompensationszahlungen an die Betroffenen leisten müssen. Sobald Ihre IT-Verteidigung steht, sollten Sie sich daher um die rechtliche Absicherung kümmern. Denken Sie insbesondere an diese Themen:
- Datenschutz und Meldepflichten. Ein Ransomware-Angriff ist in vielen Fällen ein Datenschutzvorfall und muss innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden. In der Regel hatten die Angreifer nämlich die Möglichkeit des Zugriffs auf personenbezogene Daten. Können Sie dies und Risiken für die Betroffenen nicht ausschließen, besteht eine Meldepflicht bei Ihrer Datenschutzbehörde und ggf. eine Pflicht zur Information der Betroffenen. Die Datenschutzbehörden haben dafür Meldeformulare. Diese und viele hilfreiche Informationen zur Meldung von Datenschutzverletzungen finden Sie hier.
- KRITIS und Meldepflichten. Wenn Sie Betreiber kritischer Infrastrukturen sind (eine Übersicht über die betroffenen Sektoren finden hier) und die Schwellenwerte der BSI-Kritisverordnung überschreiten, müssen Sie den Vorfall unverzüglich an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) melden. Hier geht’s zu den FAQs des BSI und dem Link zum Meldeportal.
- Anzeige bei der Polizei? Ransomware-Angriffe sind Straftaten und können bei der Polizei zur Anzeige gebracht werden. Eine Liste der zuständigen Stellen der Landeskriminalämter finden Sie hier.
- Cyber-Versicherung. Wenn Sie eine Cyber-Versicherung haben, melden Sie dieser den Angriff sofort.
- Geschäftspartner und Kunden. Gibt es Geschäftspartner oder Kunden, mit deren IT-Systemen Sie verbunden sind und deren IT-Systeme durch den Angriff in Gefahr sind oder die aus anderen Gründen von Ihnen abhängen, etwa weil diese dringend auf Ihre Produkte oder Dienste angewiesen sind? Sie sollten diese informieren und bei der Abwehr von Schäden unterstützen. Sie könnten sonst dafür haftbar gemacht werden.
2.4. Die Gretchenfrage: Lösegeld bezahlen?
Die Angreifer wollen von Ihnen ein Lösegeld erpressen. Wenn Sie das bezahlen wird alles gut – so das Versprechen. Tatsächlich werden in etwa 2/3 der Fälle die Daten „frei gelassen“, wenn das Lösegeld gezahlt wird, so die Ergebnisse einer Studie eines britischen Sicherheitssoftware-Unternehmens. Die Polizei rät – wenig überraschend – dringend davon ab, das Lösegeld zu bezahlen. Grund dafür dürfte auch sein, dass der Markt für Ransomware-Angriffe möglichst wenig attraktiv sein soll. Das ist für Sie natürlich kein zwingendes Argument. Ob Sie das Lösegeld bezahlen, müssen Sie selbst entscheiden. Diese Entscheidung kann Ihnen keiner abnehmen. Allgemein gilt: Wenn es Ihnen nicht oder nur sehr eingeschränkt gelingt, die IT wiederherzustellen und Sie insbesondere über kein ausreichendes Backup verfügen, werden Sie eher geneigt sein, ein Lösegeld zu zahlen. Je besser und schneller Sie Ihre IT wieder betriebsbereit haben und je vollständiger Ihr Backup ist, desto leichter wird es Ihnen fallen, die Zahlung des Lösegeldes als Handlungsoption auszuschließen.
2.5. Kommunikation
Der Angriff auf Ihre IT wird sich nicht dauerhaft verbergen lassen. Ihre Beschäftigten werden bemerken, dass Ihre IT nicht mehr funktioniert, Geschäftspartner, dass Sie Ihre Leistungen nicht mehr erbringen oder nicht mehr mit Ihnen kommunizieren können. Steht Ihr Unternehmen in der Öffentlichkeit, könnte der Angriff schon bald Thema in den Medien sein. Das sollten Sie für Ihren Ransomware-Verteidigungsplan bedenken. Zum guten Ton des Krisenmanagements gehört es, die eigenen Beschäftigten und Geschäftspartner auf dem aktuellen Stand zu halten und mit den für deren Situation wichtigen Informationen zu versorgen. Ob und in welchem Umfang Sie darüber hinaus das Bild Ihres Unternehmens in der Öffentlichkeit beeinflussen wollen und können ist eine Frage der Wahrnehmung Ihres Unternehmens in der Öffentlichkeit und des individuellen Krisenmanagements. Mit anderen Worten: Das müssen Sie selbst entscheiden – ein klares Richtig oder Falsch gibt es hier nicht.
3. Fazit
Wenn Sie Opfer eines Ransomware-Angriffs geworden sind, hoffen wir, dass dieser Beitrag Ihnen hilft, die ersten Schritte zur Bewältigung einzuleiten. Wir wünschen Ihnen, dass Sie diesen Beitrag und den Ransomware-Verteidigungsplan niemals brauchen.