Image
bitdefender_ransomware_angriff.jpeg
Foto: zephyr_p - stock.adobe.com
Nutzer verzweifeln zunehmend an Erpressersoftware. Auf einen Ransomware-Angriff schnell und mit den richtigen Maßnahmen zu reagieren, wird daher immer wichtiger.

IT-Sicherheit

Diese Maßnahmen helfen nach einem Ransomware-Angriff

Daniel Clayton von Bitdefender erläutert sieben Maßnahmen, die Opfer während oder nach einem erfolgreichen Ransomware-Angriff ergreifen sollten.

Auf einen Ransomware-Angriff schnell und mit den richtigen Maßnahmen zu reagieren, wird immer wichtiger, den Angriffswellen mit Erpressersoftware schwappen unverändert über Unternehmen und Behörden hinweg. Die Frage scheint nur noch zu sein: Wann und wie erwischt es einen selbst? Ratgeber, wie man seine Cyberabwehr gegen Ransomware verteidigen kann, oder Technologien, die eine erfolgreiche Abwehr versprechen, gibt es viele. Doch wenn es dann tatsächlich so weit ist, es ist nützlich zu wissen, was man als erstes tun sollte. Panik ist in jedem Fall ein schlechter Ratgeber. Genauso wie der Griff zum Geldbeutel, um das Lösegeld zu zahlen.

Erste Priorität ist es natürlich, die Daten und Systeme schnellstmöglich wieder verfügbar zu bekommen. Damit dies funktioniert und damit man die richtigen Lehren aus einem erfolgreichen Angriff ziehen kann, sollte man einige Maßnahmen befolgen:

  1. Geräte schnell isolieren: Eine Ransomware sollte sich nicht weiter ausbreiten können, als bereits geschehen. Daher sollten Administratoren betroffene Systeme so schnell wie möglich vom Netzwerk isolieren. Vor allem bei den Aufräumarbeiten nach der Ransomware-Attacke hilft es zu verhindern, dass sich die erpresserische Malware weiter ausbreitet.
  2. Den Angriffsvektor verstehen: Sind die betroffenen Geräte isoliert, ist es wichtig zu verstehen, wie es zu dem Vorfall kommen konnte. Das hilft zum einem, den Vorfall zu bewältigen. Zudem liefert es wertvolle Lektionen für die Zukunft. Es gilt also herauszufinden: Wer war Patient Zero im Netzwerk?
  3. Backups sichern und überprüfen: Applikationen und Server lassen sich wieder einrichten, Daten sind aber unersetzlich. Ohne Backups ist es nicht mehr möglich, sie sicherzustellen. Deshalb gilt als Maßnahme, sie erst einmal vom Netz zu nehmen. Angreifer suchen als Teil ihres Angriffs gezielt nach Backups. Sind diese weiter online, besteht die Gefahr, dass sie in den Angriff einbezogen werden. Noch besser ist es natürlich, von vorneherein Offline-Backups an einem physikalisch getrennten Ort vorzuhalten. Die 3-2-1-Regel des Backups ist gerade für das Sichern von Daten gegen erpresserische Angriffe eine Selbstverständlichkeit. Damit läuft eine Lösegeldforderung unter Umständen  -zumindest was den Datenbestand trifft - ins Leere. IT-Administratoren können sich stattdessen darum kümmern, die Systeme wieder aufzubauen.
  4. Projekte und geplante Aufgaben stoppen: Eine Ransomware-Attacke ist ein Notfall und erfordert das Bündeln aller Ressourcen. Ein Umbau der der IT-Architektur, wie Migrationen auf neue Umgebungen,  oder das Installieren neuer Applikationen und Server sollten sofort gestoppt werden. Solche Projekte könnten der Malware helfen, sich weiter auszubreiten. Ebenso wichtig ist es, terminierte Aufgaben, zum Beispiel Backups, zu stoppen. Denn in deren Verlauf kann sich die erpresserische Malware weiter ausbreiten.
  5. Potenziell kompromittierte Bereiche unter Quarantäne stellen: Generell sollte man direkt nach einem Angriff keine Möglichkeit ausschließen und alle potenziell betroffenen Teile der Infrastruktur unter Quarantäne stellen. Das heißt, alles erst einmal vom Netz nehmen und einzeln untersuchen, bevor es wieder zum Einsatz kommen kann.
  6. Nach dem Angriff ist vor dem Angriff: Passwörter ändern: Vorsicht ist besser als Nachsicht. Zu Beginn eines Vorfall ist oft noch nicht komplett klar, wie es dazu kommen konnte. War es lediglich eine einfacher Angriff? Oder handelte es sich um eine komplexe Attacke, die möglich war, weil der Angreifer Authentifikationsdaten erbeutet hatte? Wen dem so war, kann er immer wieder den nächsten Versuch starten. Es ist daher auf jeden Fall sinnvoll, die Passwörter systemkritischer Nutzerkonten zu ändern.
  7. Keine Panik - Kritische Sicherheitssituationen planen und üben: Die IT-Administration wird im Fall des Falles unter hohen Druck stehen – und damit besteht die Gefahr, dass in dieser Drucksituation falsch entschieden wird. Um dies möglichst zu verhindern, sollten sich IT-Abteilungen auf den Ernstfall vorbereiten. Im Idealfall haben die Sicherheitsverantwortlichen Prozesse definiert. Denn gerade im Ernstfall benötigen Unternehmen eine Blaupause, um keine sinnvollen Maßnahmen zu vergessen. Diese Prozesse sollten außerdem regelmäßig geübt werden, so im Rahmen von simuliertem „Red and Blue Team Testing“. Wissen Mitarbeiter, dass es einen Plan gibt, der im Ernstfall greift, und dass dieser Plan geübt wurde, wird das Risiko unter Druck falsch zu handeln, minimiert.

Bundeslagebild Cybercrime und IT-Sicherheit

Im Bundeslagebild Cybercrime des Bundeskriminalamts (BKA) werden die Angriffe auf die IT-Sicherheit erfasst und analysiert.
Artikel lesen

Auch klassische Vorsichtmaßnahmen verringern das Risiko von Ransomware-Angriffen

„Im Idealfall haben Organisationen genug in Präventionsmaßnahmen wie eine XDR-Lösung investiert, um nicht Opfer eines Ransomware-Angriffes zu werden“, fasst Daniel Clayton, Vice President of Global Services and Support bei Bitdefender, zusammen. „Neben technologischen Abwehrmaßnahmen zählen in der Prävention die klassischen Vorsichtmaßnahmen und Aufgaben der IT: Systeme updaten, verteilte Backups sichern und auf Ihre Funktionsweise überprüfen. Doch ebenso wichtig ist das permanente Beobachten des Geschehens im Netzwerk durch eigene oder externe Experten, wie etwa im Rahmen eines MDR-Dienstes. Diese bringen viel Routine mit sich und unter Umständen die notwendige Distanz um gerade das zu verhindern, was auf jeden Fall zu vermeiden ist: Panik und die Folgefehler. Wie viele Angriffe ein Managed-Detection & Response (MDR)-Dienst oder ein Security Operation Center abgewehrt hat, lässt sich natürlich nicht sagen. Wir hoffen auf eine hohe Dunkelziffer.”

Foto: Winkhaus

Zutrittsorganisation bei der Feuerwehr

Helfern helfen

Fast 100 Einsätze jährlich beschäftigen die Feuerwehr in Oberaudorf zu jeder Tages- und Nachtzeit. Gut strukturierte und reibungslose Abläufe sind daher wichtig und können Leben retten. Hierbei hilft eine elektronische Zutrittsorganisation.

Foto: Fotolia.de/Peter Atkins

Brandschutz in Pflege-/ Betreuungseinrichtungen

„Sprinkleranlagen würden helfen“

Die Deutschen werden älter und leben länger, damit steigt auch die Anzahl der Pflege- und Betreuungseinrichtungen. Und mit den Problemen, die auch für Feuerwehren erwachsen, befasst sich der Amtsleiter der Feuerwehr Bonn, Jochen Stein. Auf dem diesjährigen Symposium „Baurecht und Brandschutz“ des Bureau Veritas legte er dazu Überlegungen für neue und angemessenere Schutzkonzepte vor. PROTECTOR sprach mit ihm nach dem Symposium über das komplexe Thema.

Bereits seit Ende Januar 2020 werden Dahuas Thermalkameras an tausenden Standorten in China zur Eindämmung von Epidemien eingesetzt.
Foto: Dahua

IP-Kameras

Wie Thermalkameras bei der Eindämmung von Epidemien helfen

Die Folgen der Corona-Krise für die Weltwirtschaft sind momentan schwer abzusehen. Sicher ist, dass Thermalkameras dabei helfen können, Epidemien zu verlangsamen.

Image
Axis-Smart-Cities-Mobilitaet_Studie-2021.jpeg
Foto: Axis

Videosicherheit

Netzwerk-Kameras helfen Autofahrern bei Parkplatzsuche

Mithilfe von KI-Analyse und maschinellem Lernen können Parkmanagement-Lösungen Autofahrer zu freien Plätzen lotsen.