So gehen KMUs gestärkt aus der Cyberattacke

Ransomware-Angriffe erfolgreich kontern

Ransomware-Angriffe, Ransomware-Attacken, Ransomware, Cybersicherheit

War ein Cyberangriff erfolgreich, sollten alle im Unternehmen sofort wissen, welche Maßnahmen konkret zu ergreifen sind. Das können Betriebe trainieren, indem sie Cyberstrike-Simulationen in ihre Trainings mit aufnehmen und Checklisten mit Handlungsmaßgaben vorbereiten.

Cyberangriffe gehören heute zu den größten Bedrohungen für Unternehmen aller Branchen und Größen. Über 800 Institutionen und Unternehmen zeigten im Jahr 2023 einen Ransomware-Angriff bei der Polizei an, wobei zusätzlich von zahlreichen nicht gemeldeten Vorfällen ausgegangen wird. Während dieses Zeitraums richteten Cyberkriminelle einen Schaden im Wert von mehr als 200 Milliarden Euro an, Tendenz steigend. Noch dazu registriert das Bundesamt für Sicherheit in der Informationstechnik jeden Tag 70 neue kritische Schwachstellen in Softwareprodukten.

Anzeige

Dabei fokussieren sich Kriminelle inzwischen zunehmend auch auf mobile Geräte, um an personen- und unternehmensbezogene Daten zu gelangen. Unternehmen müssen sich also zwangsläufig mit dem Thema ihrer Cybersicherheit auseinandersetzen – auch, aber nicht nur, weil gesetzliche Vorgaben wie NIS-2 und Compliance-Regelungen sie dazu zwingen, sich systematisch auf Krisenfälle wie eine Cyberattacke vorzubereiten.

Gute Vorbereitung sorgt für Sicherheit im Ernstfall

Für die systematische Vorbereitung auf Cyberangriffe gibt es verschiedene Ansatzpunkte, die technische, persönliche und organisatorische Maßnahmen umfassen. Einige dieser Maßnahmen dienen der Prävention, um Angriffe von vornherein zu verhindern, während andere die Vorbereitung auf den Ernstfall sicherstellen.

Technische Maßnahmen sind essenziell für die IT-Sicherheit. Unternehmen sollten regelmäßige Überprüfungen und Aktualisierungen ihrer Systeme sicherstellen. Die Nutzung von Zwei-Faktor-Authentifizierung, komplexen und individuellen Passwörtern sowie festen Richtlinien zur regelmäßigen Passwortänderung sind grundlegende Schutzmaßnahmen. Zudem sollten alle Systeme, einschließlich Peripheriegeräte wie Drucker und Router, stets auf dem neuesten Stand gehalten werden. Regelmäßige Backups aller wichtigen Daten und deren sichere externe Speicherung sind ebenso unverzichtbar.

Ebenso wichtig sind persönliche Maßnahmen, insbesondere die Schulung und Sensibilisierung der Mitarbeitenden. Regelmäßige IT-Sicherheitsschulungen helfen, das Bewusstsein für Gefahren wie Phishing-Mails und Social Engineering zu schärfen. Mitarbeitende lernen, sichere Passwörter zu erstellen und zu verwenden sowie mobile Geräte sicher zu nutzen. Notfallpläne und Cyberstrike-Simulationen bereiten das Personal auf den Ernstfall vor, sodass im Falle eines Angriffs jeder weiß, welche Schritte zu unternehmen sind.

Organisatorische Maßnahmen runden die Vorbereitung ab. Ein dediziertes Incident-Response-Team, das regelmäßig trainiert und über einen klar definierten Handlungsplan verfügt, kann im Ernstfall sofort reagieren. Ein gut durchdachter Kommunikationsplan legt fest, wie und wann Informationen intern und extern weitergegeben werden. Regelmäßige Audits und Überprüfungen durch externe Experten helfen, Schwachstellen frühzeitig zu erkennen und zu beheben.

Durch die Kombination dieser technischen, persönlichen und organisatorischen Maßnahmen können Unternehmen ihre Cybersicherheit erheblich verbessern. Eine umfassende Vorbereitung ist der Schlüssel, um im Fall eines Cyberangriffs schnell und effektiv reagieren zu können und so den Schaden zu minimieren.

„Sie wurden gehackt“ – Horrorszenario Ransomware-Attacke

Und was passiert, wenn es doch zum Ernstfall kommt? Ein einziger Klick auf einen infizierten Link oder das Öffnen eines gefährlichen E-Mail-Anhangs genügt, um Angreifern Zugriff auf das System und damit auf Unternehmensdaten zu gewähren. Innerhalb weniger Sekunden öffnet sich oft ein Pop-Up-Fenster mit der Nachricht „Sie wurden gehackt“. Die Angreifer sperren das System und entwenden sowie verschlüsseln die Unternehmensdaten, darunter Kundendaten, Gehaltsinformationen oder andere sensible Daten. Sie drohen, diese Daten zu veröffentlichen, sollte das Unternehmen das geforderte Lösegeld nicht zahlen.

Spätestens an diesem Punkt ist es elementar, den Krisen- und Notfallplan zu aktivieren. Mit einem digitalen Tool lässt sich mit einem einfachen Klick sowohl das Krisenmanagement initiieren als auch alle relevanten Personen über den Ransomware-Angriff informieren. Wenn dieses digitale Tool als Software-as-a-Service (SaaS) von einem externen Anbieter gehostet wird, können Informationen auch bei einem gehackten und gesperrten System sicher über mehrere Abteilungen hinweg kommuniziert werden. Dadurch bleiben Unternehmen auch beim Worstcase, dem Totalausfall aller eigenen IT-Systeme, handlungsfähig: Alle Mitarbeitenden können erreicht werden, der Zugriff auf Pläne und Konzepte sowie die digitale Zusammenarbeit bleibt jederzeit möglich.

Das ist zwingend notwendig, denn im Falle eines Ransomware-Angriffs müssen alle erforderlichen Rollen einberufen werden, um die Situation zu bewerten. Es gilt, Lösungsmöglichkeiten, Entscheidungsvorschläge, die Gründe für die Entscheidungen und eine Schlussfolgerung zu protokollieren. Dazu sollten immer zuerst alle W-Fragen geklärt werden (Was ist passiert? Wo ist es passiert? Wann ist es passiert? Warum ist es passiert und wie ist es passiert?). Zudem ist es wichtig, alle relevanten Stakeholder – darunter Medien, Investoren und Kunden – bei Bedarf zu informieren, um den Reputationsschaden möglichst gering zu halten.

Für das weitere Vorgehen gibt es im Wesentlichen drei Optionen: das Lösegeld direkt bezahlen, das Lösegeld nicht bezahlen oder verhandeln. Diese Entscheidung ist sowohl moralisch als auch finanziell von großer Bedeutung und sollte idealerweise bereits im Vorfeld diskutiert und festgelegt werden. Unternehmen müssen sich fragen, ob sie bereit sind, mit Kriminellen zu verhandeln, was auch ethische Implikationen hat. Gleichzeitig ist es eine finanzielle Entscheidung: Welche Kosten sind höher? Die Wiederherstellungskosten inklusive Lösegeldzahlung oder der Versuch, die Daten ohne die Entschlüsselungssoftware wiederherzustellen? Eine sorgfältige Abwägung dieser Faktoren kann im Ernstfall entscheidend sein, um die bestmögliche Vorgehensweise zu bestimmen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Verhandlungstipps für den Ernstfall

Unabhängig davon, für welche der drei Optionen sich das Unternehmen entscheidet, sollte es zunächst in Verhandlungen gehen und eine Bereitschaft zur Zahlung äußern, um wichtige Zeit zu gewinnen. Für die strategische Beratung und Begleitung solcher Verhandlungsgespräche gibt es spezialisierte Experten. Zu Beginn der Verhandlungen wird oft ein Tor Browser heruntergeladen, um auf den spezifischen Service der Angreifer zuzugreifen und von ihnen einen Proof of Data zu verlangen. Dadurch kann die IT-Abteilung gemeinsam mit den betroffenen Abteilungen den potenziellen Schaden sowie die Kosten für eine Wiederherstellung einschätzen und sicherstellen, dass die Angreifer tatsächlich die Daten besitzen.

Ob das Lösegeld gezahlt wird, hängt von weiteren Faktoren ab. Unternehmen müssen beachten, ob das Lösegeld aus juristischen Gründen gezahlt werden darf, insbesondere wenn das Land auf einer Sanktionsliste steht. Zudem definieren viele Unternehmen in ihrer Policy bereits Handlungsanweisungen für solche Fälle. Sind alle Informationen zusammengetragen, kann das Unternehmen die Verhandlung mit Unterstützung der Polizei intensivieren. Um das Lösegeld zu senken, ist es oft ratsam, ungerade Zahlen anzubieten, da dies seriöser wirkt und die Wahrscheinlichkeit erhöht, dass die Angreifer das Angebot akzeptieren.

Einigen sich beide Parteien, wird das Lösegeld meist in Bitcoin oder einer vergleichbaren Währung bezahlt. Vor der Zahlung sollte sich das Unternehmen jedoch garantieren lassen, dass die Angreifer die Daten nicht veröffentlichen und einen Decrypter zur Verfügung stellen, um die Daten wiederherzustellen. Dies minimiert das Risiko, dass das Unternehmen bezahlt, ohne die Daten zurückzubekommen, was die Wiederherstellung der Daten sonst sehr zeit- und kostenintensiv machen würde.

Nicht zu verachten: Die Nachbereitung

Im Anschluss eines Ransomware-Angriffs muss die gehackte IT-Infrastruktur neu aufgebaut werden. Im besten Fall nach den skizzierten Kriterien. Die Protokollierung aller Schritte mithilfe eines digitalen Tools unterstützt Unternehmen zusätzlich dabei, Fehlerquellen zu identifizieren und ihre Not- und Krisenpläne zu optimieren. Denkbar ist hier auch, das Szenario der Verhandlung mit den Angreifern zu simulieren, denn auch die Übung einer solchen Situation sorgt bei den Teilnehmenden, auch wenn sie im Ernstfall nicht zu den Verhandlungsführenden gehören würden, dafür, dass sich eine wichtige Erfahrungs- und Wissenslücke schließt und sie ein besseres Gespür dafür bekommen, was ein Cyberangriff wirklich bedeutet.

Unterstützung bringt Sie weiter

Die effektive Bewältigung einer Cyberkrise erfordert eine klare Kommunikation, die frühzeitig eingeleitet werden muss, sowie eine klare Zuweisung von Verantwortlichkeiten und Entscheidungsbefugnissen. Gerade mit digitalen Tools können Unternehmen schon in der Anfangsphase schnell in den „Krisenmodus“ schalten und untereinander sicher kommunizieren. Durch umfassende Vorbereitung und regelmäßige Schulungen können Unternehmen zusätzlich besser auf Cyberangriffe reagieren und potenzielle Schäden minimieren.

Dabei lohnt es sich, die Unterstützung von Experten in Anspruch zu nehmen, denn gerade hier sind oft Spezialkenntnisse gefragt. Für eine erste Annäherung an das Thema gibt es Handbücher, die über die grundlegenden Fragen und Maßnahmen aufklären. Die Auseinandersetzung mit ihnen kostet Zeit, ist aber ein Investment in die Resilienzfähigkeit des eigenen Betriebes und lohnt sich daher immer.

Markus

Epner

Head of Academy

F24

Markus Epner ist ausgewiesener Krisenexperte mit einer mehr als 20-jährigen Erfahrung im Sicherheits- und Krisenmanagement, u.a. bei der Deutschen Lufthansa und Boehringer Ingelheim.
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.