Ransomware

So bereiten Sie sich auf den Angriff vor

Wenn Unternehmen von einer Ransomware-Attacke kalt erwischt werden, reagieren sie oft mit einer Schockstarre, in der wertvolle Zeit verrinnt. Entscheidend ist eine gute Vorbereitung.
Von  und Eric Waltert
CSO | 08. Februar 2022 06:01 Uhr
Wenn der Ransomware-Angriff da ist, sollten Unternehmen besonnen reagieren und schnellstmöglich alle Systeme abschalten.
Wenn der Ransomware-Angriff da ist, sollten Unternehmen besonnen reagieren und schnellstmöglich alle Systeme abschalten.
Foto: guruXOX - shutterstock.com

"Es ist alles weg, wir kommen auf kein System mehr!" Mit dieser Schreckensnachricht wurde Martin Kelterborn, ehemals CEO der Offix AG, an einem Freitagmorgen konfrontiert - ausgerechnet an dem Tag, an dem sein Sohn die Firmung erhalten sollte. Angreifer hatten alle Server mit Erpressersoftware verschlüsselt. Kelterborn musste in den folgenden drei Wochen erkennen, wie unzureichend sein Betrieb auf diesen Fall vorbereitet war.

Inzwischen haben wir uns an die Ransomware-Schlagzeilen gewöhnt. Es vergeht kaum eine Woche, in der nicht über einen weiteren erfolgreichen Cyber-Angriff berichtet würde. Die Dunkelziffer dürfte noch weitaus höher sein. Die Wahrscheinlichkeit, Opfer eines Hackerangriffs zu werden, hat sich in den letzten Monaten stark erhöht, sagen Sicherheitsforscher.

Zu den Lehren die der ehemalige Offix-Chef gezogen hat, gehört, dass er heute alle Systeme viel schneller abschalten würde, um den Ist-Zustand zu konservieren. Das ist ein radikaler Schritt, zu dem wohl die wenigsten sofort bereit wären. Doch so, wie Menschen bei einem verletzungsbedingten Trauma oft in ein künstliches Koma versetzt werden, um Zeit zu gewinnen und den Patienten stabil zu halten, so sollte auch mit der IT-Infrastruktur verfahren werden.

Lesetipp: Zero Trust - Nach Ransomware wieder vertrauen in die IT gewinnen

Vom Digitalen zurück zum Analogen

Tritt der Ernstfall eines Ransomware-Angriffs ein, funktionieren die meisten Systeme ohnehin nicht mehr. Ihr Abschalten kann den Zustand des Gesamtbetriebs kaum noch verschlechtern. Im Fall der Offix AG halfen Kelterborn Erfahrungen, die er während seiner Militärlaufbahn als Schweizer Offizier in Stresssituationen gesammelt hatte. Sofort, nachdem der Angriff bekannt wurde, berief er einen Krisenstab ein. Kelterborn sah die Ransomware-Attacke als einen digitalen Angriff gegen sein Unternehmen.

Jedes Unternehmen sollte ein Einsatzkommando vorhalten, um für solch einen Angriff gewappnet zu sein. Die Zusammensetzung hängt von der Branche und Firmengröße ab, allerdings lassen sich für alle Betriebe Gemeinsamkeiten finden: Neben der IT-Leitung und der Geschäftsführung sollten Personen aus dem Facility Management, der Personalabteilung, dem Betriebsrat, dem Legal- sowie dem PR- und Marketing-Team vertreten sein.

Während der ersten Zusammenkünfte sollte der Krisenstab eine klare und eindeutige Strategie festlegen: Was benötigt jedes Mitglied, wenn alle digitalen Funktionen und Informationen nicht mehr verfügbar sind? Wer das Buch "Blackout" von Marc Elsberg gelesen hat, kann sich vorstellen, was es bedeutet, wenn wegen eines Stromausfalls sämtliche elektronischen Geräte und ihre Dienste ausfallen.

Bei einer erfolgreichen Attacke merken die Betroffenen als erstes, dass die Kontaktdaten von Kunden, Mitarbeitern, Zulieferern und Partnern meist nur in digitaler Form und auf verschiedenen Endgeräten vorliegen. Deswegen sollten die wichtigsten Kontaktdaten - so schwer es fällt - auch in physischer Form ausgedruckt zugreifbar sein. Dasselbe gilt für Netzpläne, Lizenz-Keys, Zugangspläne und andere elementare Informationen.

Kunden und Partner informieren

Im Krisenstab muss jedes Mitglied begreifen, dass im Ernstfall die gesamte Infrastruktur lahmgelegt ist und das Unternehmen wirklich auf die Stunde null zurückgeworfen wurde. Aufgabe des Marketing- und Kommunikationsteams ist es, alle wichtigen Kunden und Partner darüber zu informieren, dass die Firma für eine gewisse Zeit offline sein wird. Diese Nachricht muss vorbereitet und mit dem Legal-Team abgestimmt sein.

Hier stellt sich die Frage, wie denn eigentlich mit den Kunden Kontakt aufgenommen werden kann, wenn E-Mail, Webseite und das Unified-Communication-System ausgefallen sind? Wer die Rufnummern auf dem Papier vorliegen oder im Handy gespeichert hat, kann zumindest eine gewisse Anzahl von Mitarbeitern zu einem Call-Center-Team formieren und sie bitten, die Listen mobil durchzutelefonieren.

Für das HR-Team geht es darum, alle Mitarbeiter zeitnah zu informieren. Zudem sollten die Personalverantwortlichen zusammen mit dem Krisenstab und dem Betriebsrat eine Regelung für den Notfall treffen. Es muss geklärt sein, dass Mitarbeitende auch flexibel eingesetzt werden können, um beispielsweise mit Kunden, Lieferanten und Partnern zu telefonieren. Zudem muss sich jemand um die Zugangskontrollen kümmern, da sämtliche Badge-Lese- und Zugriffs-Systeme bei einer Ransomware-Attacke ausgefallen sein können. Auch in diesem Fall braucht es physisch vorliegende Informationen darüber, ob eine Person autorisiert ist, ein Gebäude zu betreten.

Einer unserer Kunden bei Veritas hat eine besonders ungewöhnliche Maßnahme ergriffen: Er hat als erstes eine Leiter gekauft. So konnte ein Mitarbeiter auf das Dach klettern, das Dachfenster einschlagen und in das Rechenzentrum gelangen, da alle physischen Zugangssysteme ausgefallen waren.

Weitere Fragen, auf die sich Unternehmen vorbereiten können, sind: Wie können Mitarbeitende im Home-Office erreicht werden? Wie werden die Arbeitszeiten in der Krise geregelt? Und welche Aufgaben können weiter erledigt werden, wenn die Systeme ausgefallen sind?

Die Personaler und der Betriebsrat sollten sich auch darauf einigen, dass die IT-Experten während eines Ransomware-Angriffs zu Überstunden und Wochenendarbeit herangezogen werden können. Kelterborn hat sogar Betten im Unternehmen aufbauen lassen und die Kolleginnen und Kollegen mit Essen versorgt, damit sie ungestört arbeiten konnten. Was machbar ist, hängt natürlich stark von der Firmenkultur ab.

Unternehmen, die als kritische Infrastruktur eingestuft sind, haben in ihren Krisenstäben verschiedenen Workstreams definiert. In diesen ist klar beschrieben, was die jeweiligen Streams im Detail brauchen, um zu funktionieren. Entscheidend ist, diesen Denkprozess und die Vorarbeiten anzustoßen, bevor der Ernstfall eingetreten ist.

Externe Hilfe sichern - bevor es teuer wird

Eine weitere Aufgabe des Krisenstabs sollte es sein, sich vorab externe Fachexperten zu suchen. Diese können dabei helfen, den Angriff schnell zu analysieren und kurzfristig zu einem normalen Betriebsablauf zurückzukehren. Sie können zudem die forensische Arbeit übernehmen und zusammen mit den eigenen IT-Professionals herausfinden, wie die Angreifer eindringen konnten. Sind die Systeme heruntergefahren, lassen sich Einbruchsspuren besser finden, da die Hacker weniger Zeit hatten, diese zu verwischen.

Den Weg der Angreifer ins eigene Unternehmensnetz nachvollziehen zu können, ist essenziell. Wird er nicht gefunden, ist die Wahrscheinlichkeit groß, dass die Kriminellen nach der Wiederherstellung der IT auf dem gleichen Weg erneut einbrechen. Außerdem lässt sich hier wertvolles Wissen sammeln, mit dem später die Mitarbeitenden sensibilisiert werden können. Schließlich gehören gezielte Attacken und Social-Engineering zu den erfolgreichsten Angriffsmethoden.

Zum Expertenkreis sollten auch Hardwarelieferanten gehören, die im Ernstfall mit Telefonen, Ersatzhardware und anderen wichtigen Systemen aushelfen können. Wer hier Vorabverträge schließt, wird im Ernstfall Geld sparen können. Nimmt man hingegen erst während der Krise Kontakt auf, wird es schwer, überhaupt einen Lieferanten zu finden. Und der dürfte dann die höchsten Stundensätze verlangen.

Einige Unternehmen haben Managed Services gebucht, um so das Risiko auszulagern. Ob aber ein externer Partner alle Abhängigkeiten der Systeme und Infrastruktur von außen durchschauen kann, ist fraglich. Nicht sicher ist zudem, ob der Managed-Service-Partner wirklich die richtigen und notwendigen Schritte einleitet oder sich doch lieber in dem Rahmen seiner vertraglich fixierten Service Level Agreements bewegt. Die Gesamtverantwortung für das Unternehmen lässt sich nicht delegieren, sie liegt beim Management und seinem Krisenstab.

Letzterer sollte sich einmal im Jahr treffen und besprechen, ob alle wichtigen Felder, Außenstellen und neuen Geschäftszweige abgedeckt sind. Und er sollte regelmäßig von der IT informiert werden, ob die Wiederherstellung der Daten getestet wurde.

Systeme nach Priorisierung wieder in Betrieb nehmen

Die IT-Abteilung wird am meisten damit zu tun haben, die Informationstechnik des Unternehmens wieder zum Laufen zu bringen. Sie wird von präventiven Maßnahmen und Plänen stark profitieren. Gemeinsam mit dem Krisenstab sollte die IT klären, welches die Kerndienste und Applikationen sind, mit denen die Firma am schnellsten wieder geschäftsfähig werden kann. Besonders wichtig ist etwa ein funktionierendes E-Mailsystem, Ordner- und Kundensysteme sowie die Telefonanlage. Die Systeme sollten danach ihrer Wichtigkeit und Abhängigkeit voneinander priorisiert und in der daraus abgeleiteten Reihenfolge wiederhergestellt werden.

Die IT sollte mindestens einmal im Jahr einen Testlauf durchführen, wie sich diese Systeme und ihre Daten wiederherstellen lassen. Denn die Menge der Daten wächst, und wer Files aus der Cloud rekonstruieren möchte, wird schnell feststellen, dass die WAN-Leitung zum zeitfressenden Flaschenhals wird. Die Tests liefern außerdem empirische Daten und zeigen den Experten klar, wie lang es tatsächlich dauert, die lebensnotwendigen Services wiederherzustellen. Fehler in der Architektur werden so spürbar und liefern der IT wichtige Argumente, Backups essenzieller Daten lokal vorzuhalten. Aus diesen Überprüfungen lässt sich auch ableiten, welche Ersatzhardware möglicherweise nötig wäre.

Mit Tests lassen sich auch Schwächen in den Arbeitsabläufen aufdecken. In der Praxis haben größere Organisationen die Themen Backup und Recovery mitunter auf unterschiedliche Teams und Verantwortliche aufgeteilt. Dabei sind beide Disziplinen untrennbar miteinander verbunden, da sie sich massiv beeinflussen. Sie zu trennen kann im Ernstfall die Komplexität erhöhen und Zeit kosten.

Die Tests werden zudem offenlegen, dass die Wiederherstellung komplexer Umgebungen nicht Tage, sondern Wochen dauern können. Der Krisenstab wird anhand der empirischen Daten besser entscheiden können, ob kritische Elemente im Backup-Konzept modernisiert werden sollten, um diesen Prozess insgesamt zu beschleunigen und weniger Geschäft zu verlieren.

Erpresser zu bezahlen, ist keine Lösung

Wenn der Satz fällt: "Alles weg, wir kommen auf kein System mehr!", steht für Unternehmer eine Menge auf dem Spiel: Arbeitsplätze, das eigene Vermögen und vielleicht sogar das Lebenswerk. Wen diese Krise unvorbereitet trifft, der mag sogar bereit sein, den einfachsten Weg zu gehen und den Hackern das geforderte Lösegeld zu überweisen. Es dürfte niemanden überraschen, dass es Firmen gibt, die einen gewissen Geldbetrag in Bitcoin vorrätig haben.

Wer aber zahlt, hält das Geschäftsmodell der Cyberkriminellen am Leben, die so immer neue Attacken finanzieren. Dieser Teufelskreis ist längst im Gange, weshalb sich das Risiko für Unternehmen und User im Internet ständig erhöht. Deshalb ist es wichtig, sich auf den Tag X vorzubereiten und einen IT-Totalausfall durchzuspielen. Wem das gelingt, der wird auch auf andere Krisen widerstandsfähiger reagieren.

Ralf Damerau, Country Manager Austria & Switzerland bei Veritas Technologies