Ransomware-Angriff? Was Sie tun können, anstatt das Lösegeld zu bezahlen

Ransomware ist eine anhaltende Bedrohung, mit der sich Unternehmen heute konfrontiert sehen. Aber selbst bei den verheerendsten Angriffen gibt es mehrere wichtige Gründe, warum die Zahlung des Lösegelds eine schlechte Idee ist. Und in einigen Fällen könnte dies Ihr Unternehmen sogar in rechtliche Schwierigkeiten mit den Behörden bringen.

In diesem Beitrag sehen wir uns die Schritte an, die Sie unmittelbar nach einer Infektion unternehmen können, um den Angriff zu entschärfen und Ihre Daten zurückzubekommen, ohne den Hackern einen Cent zu geben.

Warum sollten Sie das Lösegeld nicht bezahlen?

Es kann für ein Unternehmen verlockend sein, das Lösegeld zu zahlen, in der Hoffnung, den Betrieb wiederherstellen zu können, da eine längere Unterbrechung weitaus kostspieliger sein könnte. Aber hier ist eine kurze Erinnerung, warum dies NICHT empfohlen wird:

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Unternehmen, nicht zu zahlen.
  • Es gibt keine Garantie, dass die Bedrohungsakteure die Daten zurückgeben, selbst wenn das Lösegeld gezahlt wird, oder dass sie Ihr Unternehmen in Zukunft nicht wieder angreifen.
  • Abgesehen von der Möglichkeit, keine Entschlüsselungsschlüssel zu erhalten, können die Daten auch dann beschädigt werden, wenn sie bereitgestellt werden.
  • Die Zahlung von Lösegeld bestärkt Cyberkriminelle darin, dass ihre Taktik richtig ist, und unterstützt somit die Ransomware-Industrie.
  • Ihr Unternehmen könnte für die Zahlung der Hacker bestraft werden, wenn es sich um bekannte Gegner der Regierung handelt, wie z. B. terroristische Gruppen.
  • Die Kosten für die Cyber-Versicherung könnten sich erhöhen, wenn das Lösegeld gezahlt wird.

Der beste Weg, um zu vermeiden, ein Opfer zu werden und sich in die wachsende Ransomware-Statistik einzureihen, ist zu lernen, wie man eine Infektion vermeidet und ein zuverlässiges Datensicherungssystem zu haben. Doch selbst wenn Sie infiziert sind und anschließend erpresst werden, sollten Sie wissen, welche Schritte Ihr Unternehmen unternehmen kann, bevor es sich der Forderung der Cyberkriminellen nach einer Zahlung beugt.

Hier sind einige mögliche Schritte, die Sie zuerst ausprobieren können.

Daten aus der Sicherung wiederherstellen
Einer der ersten Schritte ist der Versuch, Daten aus einem Backup wiederherzustellen. Die Durchführung von Routine-Backups ist ein wichtiger Bestandteil eines guten Geschäftskontinuitäts-Plans. Und im Falle eines Ransomware-Angriffs kann es die Frage, ob das Lösegeld gezahlt werden muss, vollständig ausschließen. Durch ein Rollback auf saubere Daten aus der Zeit vor dem Angriff werden die Daten effektiv wiederhergestellt und die Infektion wird entfernt.

Isolieren Sie infizierte Computer/Server
Dies ist ein weiterer wichtiger Schritt, den Sie sofort nach Bekanntwerden einer Infektion durchführen sollten.

Die Isolierung des infizierten Computers oder Servers von allen Netzwerken ist entscheidend, um die Ausbreitung der Ransomware zu verhindern. Stellen Sie in diesem Schritt sicher, dass die Netzwerk-, WLAN-, Bluetooth- und alle anderen Kommunikationsfunktionen des infizierten Geräts deaktiviert sind. Alle freigegebenen und vernetzten Laufwerke sollten ebenfalls getrennt werden, auch die kabelgebundenen.

Wenn mehrere Systeme oder Subnetze betroffen zu sein scheinen, schalten Sie das Netzwerk auf der Switch-Ebene offline, um den Schaden schnell zu begrenzen. Wenn jedoch nur ein oder zwei Computer betroffen zu sein scheinen, ist es einfacher, diese so schnell wie möglich zu isolieren.

Indem Sie die Ausbreitung der Infektion begrenzen, können Sie die Menge der betroffenen Daten stark reduzieren und im Idealfall verhindern, dass das Lösegeld gezahlt werden muss.

Fahren Sie Ihre Computer herunter
Das Ausschalten von vernetzten Computern (sowohl infizierten als auch nicht infizierten) kann dazu beitragen, die Ausbreitung der Infektion zu verhindern. Sobald diese Geräte heruntergefahren und getrennt sind, bringen Sie sie an einen Ort, an dem sie eindeutig gekennzeichnet werden können. Experten können möglicherweise teilweise verschlüsselte Dateien extrahieren, aber so oder so hilft es, die Ausbreitung zu verhindern.

Wenn die Systeme schließlich wieder in Betrieb genommen werden, sollte jeder Rechner einzeln diagnostiziert werden, um sicherzustellen, dass die Infektion nicht vorhanden ist, und/oder ein Re-Image des Geräts durchgeführt werden. Denken Sie daran, dass Sie, sobald Sie ein infiziertes Gerät neu sichern, möglicherweise Beweise verlieren, die von den Behörden bei einer Untersuchung verwendet werden könnten. Dazu gehören wiederhergestellte ausführbare Dateien, Live-RAM-Aufzeichnungen, Protokolldateien, Malware-Muster, PowerShell-Skripte und verschlüsselte Dateimuster.

Zahlen Sie das Lösegeld nicht. Kontaktieren Sie die zuständigen Behörden
Benutzer, die zum ersten Mal von einem Ransomware-Angriff erfahren, sollten die IT-Teams des Unternehmens über den Vorfall informieren, um das Ausmaß des Vorfalls zu bestimmen und die richtigen Wiederherstellungsprotokolle einzuleiten. Unabhängig von der Schwere des Angriffs wird Unternehmen jedoch empfohlen, so schnell wie möglich die Behörden einzuschalten. Dadurch wird sichergestellt, dass Vorfälle ordnungsgemäß gemeldet werden, aber auch, dass die Behörden manchmal die Möglichkeit haben, infizierte Dateien zu entschlüsseln oder die Angreifer zu identifizieren. Machen Sie eine Anzeige bei der Polizei.

Präventive Schritte zur Vermeidung von durch Ransomware verursachten Verlusten

Im Falle eines Ransomware-Angriffs ist es wichtig, schnell zu handeln, aber auch vor einem Angriff zu handeln – oder eine Wiederholung in der Zukunft zu verhindern – ist ein entscheidender Schritt für die Zukunft.

  • Erstellen Sie einen Geschäftskontinuitätsplan und halten Sie ihn auf dem neuesten Stand. Die Zusammenarbeit mit einem Geschäftskontinuitäts -Experten kann bei der Planung helfen und die technischen Anforderungen übernehmen, um das Risiko einer kostspieligen Unterbrechung durch Ransomware zu minimieren.
  • Führen Sie routinemäßige Backups durch. Verwenden Sie ein robustes BC/DR-System, das häufige Backups und schnelle Wiederherstellungsmethoden ermöglicht.
  • Schulen Sie Mitarbeiter. Alle Mitarbeiter auf allen Ebenen sollten über Ransomware aufgeklärt werden, worauf sie achten müssen und welche Protokolle sie im Falle eines vermuteten Problems befolgen sollten. Schlechte Benutzerpraktiken sind einer der Hauptgründe, warum Angriffe erfolgreich sind.
  • Schulen Sie alle Teams. Richten Sie obligatorische Cyber-Sicherheits-Schulungen ein, die einen Abschnitt speziell über Ransomware enthalten. Betonen Sie, dass die Mitarbeiter niemals auf Links klicken oder Anhänge in unaufgeforderten E-Mails öffnen sollten. Phishing ist die Hauptursache für Malware-Infektionen.
  • Aktualisieren Sie Software und Betriebssysteme. Bedrohungsakteure haben es oft auf veraltete Anwendungen und Betriebssysteme abgesehen. Verzögern Sie die Aktualisierung auf die neuesten Patches nicht.
  • Verwenden Sie starke Antiviren- und Anti-Malware-Lösungen. Stellen Sie sie nach der Installation so ein, dass sie automatisch aktualisiert und routinemäßig gescannt werden.
  • Schränken Sie die Benutzerberechtigungen ein. Erteilen Sie Mitarbeitern nur bei Bedarf Berechtigungen und geben Sie ihnen die niedrigste Zugriffsstufe, die für die Ausführung ihrer Aufgaben erforderlich ist. Im Falle eines erfolgreichen Angriffs kann dies die Ausbreitung von Malware in Ihrem Netzwerk verhindern.
  • Richten Sie starke Spam-Filter ein. Dies wird die Anzahl der Phishing-E-Mails, die den Posteingang der Mitarbeiter erreichen, erheblich einschränken und den Empfang von E-Mails aus Spoofing-Versuchen vermindern.
  • Konfigurieren Sie Firewalls. Blockieren Sie den Zugriff auf bekannte bösartige IP-Adressen, damit diese nicht in Ihr Netzwerk eindringen können.

Die Zusammenarbeit mit einem Drittanbieter kann Ihnen dabei helfen, all diese präventiven Schritte durchzuführen, insbesondere wenn Ihre eigenen Ressourcen und Budgets begrenzt sind. Diese Experten verfügen über die aktuellste Ausrüstung, das Wissen und die Fähigkeiten, um Ihre Organisation dabei zu unterstützen, einen Angriff zu verhindern und die Auswirkungen zu mindern, falls ein Angriff stattfindet.

Die Kosten, die mit Ransomware-Angriffen einhergehen, gehen weit über Auszahlungen und die mit einer Untersuchung verbundenen Ausgaben hinaus. Zu den Kosten gehören auch die Beschädigung und Zerstörung von Daten, Produktivitätsverlust, Unterbrechung des Geschäftsbetriebs, Wiederherstellung des Betriebs und Schädigung des Markenrufs. Viele Unternehmen können diese Kosten einfach nicht verkraften und finden es schwierig, sich davon zu erholen, wenn sie es überhaupt tun.

Bezahlen Sie nicht das Lösegeld. Holen Sie sich den Schutz, den Ihr Unternehmen braucht

Unternehmen jeder Größe sind dem Risiko von Ransomware-Angriffen ausgesetzt. Statistisch gesehen erleiden KMUs oft die größten Verluste, weil sie entweder nicht daran denken, zu planen, oder, falls sie es doch tun, nicht über die IT-Abteilungen verfügen, um den Planungsprozess durchzuführen und die entsprechenden technologischen Präventivmaßnahmen zu ergreifen. Hier kann die Zusammenarbeit mit Experten Ihrem Unternehmen helfen, in eine umfassende Kontinuitätsstrategie zu investieren, um sicherzustellen, dass Sie einen guten Plan zu einem erschwinglichen Preis haben.
Wenn Sie mehr über effektive Geschäftskontinuitäts- und Notfall-Wiederherstellung-Strategien erfahren möchten, wenden Sie sich an unsere Experten.

Jens Hagel
Folge mir

Der Artikel hat Ihnen gefallen?

Abonnieren Sie unseren Newsletter für IT-Entscheider!

Kommentarbereich geschlossen.