Sechs-Punkte-Plan für die Zeit während einer Datenpanne

Ohne Prävention geht es nicht, aber nur mit Prävention geht es auf keinen Fall. So – oder so ähnlich – lassen sich die jüngsten Erfahrungen vieler Unternehmen mit der Bedrohung durch Ransomware-Attacken zusammenfassen.

Pure Storage erläutert in der Folge den Verlauf eines Angriffs und welche kritischen Entscheidungen Unternehmen treffen müssen, an wen sie sich zuerst wenden sollten und welche weiteren wichtigen Schritte sie bei der Reaktion tätigen müssen. Ziel ist es, den Notfallplan in die Tat umzusetzen und Schritte zur Schadensminimierung vorzunehmen.

Was passiert während eines Cyberangriffs?

Was passiert, wenn die Alarmglocken läuten und Unternehmen von einem Cyberangriff oder einer Sicherheitsverletzung betroffen sind, also genau in dieser Phase?

• Nachdem sie eine Kampagne gestartet haben, nisten sich die Angreifer in der Zielumgebung ein. Sie können sensible Dateien exfiltrieren, um sie in einem zweiten Angriff zu verwenden, wenn die Verschlüsselungskampagne nicht erfolgreich ist oder um mehr Geld zu fordern.
   
• Angreifer können Exploit-Toolkits verwenden, um sich erweiterten Zugriff (d. h. Administratorzugriff) auf die Umgebung zu verschaffen.
   
• Sobald sie in der Zielumgebung sind, werden sie wichtige Systeme identifizieren, darunter kritische Infrastrukturen wie Active Directory, DNS, Backup- und primäre Speichersysteme.
   
• Angreifer können Zugangsdaten ändern, um legitime Benutzer von den Systemen auszuschließen.
   
• Ebenso können sie Backups löschen oder beschädigen. Sie könnten auch Front-End-Sicherungsserver verschlüsseln, um Kataloge unbrauchbar zu machen.
   
• Anschließend könnten die Angreifer die primären Benutzerdatendateien auf den Host-Systemen angreifen und verschlüsseln.

Schlüsselaspekte der Reaktion und Wiederherstellung in den frühen Stadien eines Angriffs

Zu wissen, was Ransomware-Angreifer oder Hacker vorhaben, ist der erste Schritt. Jetzt ist es an der Zeit, in Aktion zu treten. Der genaue Wiederherstellungsplan hängt vom Unternehmen und der Sicherheitsverletzung ab, aber dieser Leitfaden der FTC ist ein guter Anfang. Zudem gibt es nationale Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen einhalten müssen. Der Leitfaden von Pure Storage hilft, um einige wichtige Gespräche mit dem CISO zu führen.

Pure Storage nennt sieben Schritte, die Unternehmen während eines Angriffs umsetzen sollten, um den Schaden zu minimieren und die Wiederherstellung zu beschleunigen.

1. Den Angriff begrenzen und die Umgebung abriegeln

Bei den ersten Anzeichen eines Angriffs gilt es die betroffenen Systeme im Netzwerk zu isolieren, indem sie vollständig abgeschaltet oder in einer privaten Netzwerk-Enklave unter Quarantäne gestellt werden. So lässt sich die Ausbreitung stoppen und der Schaden minimieren.

Systeme gilt es niemals vollständig herunterzufahren oder die Stromversorgung auszuschalten. Dadurch wird die Möglichkeit, diese Geräte später forensisch zu analysieren, stark eingeschränkt oder ganz unterbunden. Dann folgt das Aktualisieren der Zugangsdaten und Passwörter auf sauberen Rechnern. Falls Informationen auf der Website veröffentlicht wurden, müssen Unternehmen diese entfernen und sich an Suchmaschinen wenden, um den Cache zu löschen.

2. Ausführung des Backup-Kommunikationsplans, falls die E-Mail-Systeme ausfallen

Unternehmen sollten bereits einen gut definierten Kommunikationsplan aufgestellt haben, und jetzt ist es an der Zeit, ihn anzuwenden. Jetzt gilt es die Führungskräfte und interne Stakeholder über den Angriff zu informieren, sei es über ein Mobiltelefon oder eine alternative E-Mail-Adresse, und so schnell wie möglich IT- und Sicherheitsteams, leitende Angestellte und externe Sicherheitsberater einzuschalten.

3. Mobilisierung des Notfallteams

Das Notfallteam sollte sich aus einigen wichtigen Akteuren zusammensetzen. Je nach Unternehmen kann dies Forensik-Experten, Rechtsberater, InfoSec, IT, Investor Relations, Unternehmenskommunikation und Management umfassen.

Alle Mitglieder des Teams sollten klare Anweisungen erhalten, ebenso wie die an der Wiederherstellung beteiligten Personen. Im E-Book „Hacker’s Guide to Ransomware Mitigation and Recovery“ weist der ehemalige Hacker Hector Monsegur darauf hin, dass dies besonders wichtig ist: „Andernfalls sind Netzwerk- und Systemadministratoren auf ihr eigenes Urteilsvermögen angewiesen, um die Bedrohung zu neutralisieren, was meiner Erfahrung nach in der Regel ineffektiv oder sogar katastrophal ist“, schreibt er.