Kontakt

Cyber Security: Was tun bei einem Ransomware-Angriff?

Christian Mertens
Jan 24, 2022 4:02:33 PM

Eine Ramsomware-Attacke kann jedes Unternehmen treffen, denn Cyberkriminelle nutzen jede noch so kleine Schwachstelle aus. DafĂŒr entwickeln sie die Technologie hinter Schadsoftware stetig weiter, sodass auch mit der besten IT-Security ein Restrisiko besteht. Neben bestmöglicher PrĂ€vention sollten sich Unternehmen daher immer auch damit auseinandersetzen, was zu tun ist, wenn sie tatsĂ€chlich ein Cyberangriff trifft. In diesem Beitrag habe ich Ihnen zehn Tipps zusammengefasst – abgeleitet aus einem Kundenprojekt, welches wir kĂŒrzlich betreut haben. Erfahren Sie, wie das StĂ€dtische Klinikum WolfenbĂŒttel einen Ransomware-Angriff gemeistert hat – und was Sie selbst tun können, um sich zu schĂŒtzen.


Ransomware bleibt ein großes Risiko
Die Digitalisierung verĂ€ndert unsere Arbeitswelt. Dadurch steigt auch das Risiko fĂŒr Cyberangriffe. Denn mit jedem vernetzten GerĂ€t wĂ€chst die AngriffsflĂ€che. Da die IT heute die Basis nahezu sĂ€mtlicher GeschĂ€ftsprozesse bildet, kann ein Ausfall großen Schaden anrichten. FĂŒr Cyberkriminelle haben sich Ransomware-Attacken daher zu einem lukrativen GeschĂ€ft entwickelt: Mithilfe einer Schadsoftware verschlĂŒsseln sie Daten und erpressen ihre Opfer. Gegen Zahlung eines Lösegelds versprechen sie, die Daten wieder freizugeben. Doch Garantie dafĂŒr gibt es nicht.

Laut einer aktuellen weltweit angelegten Studie des Security-Anbieters Sophos wurden 37 Prozent der Unternehmen im vergangenen Jahr Opfer von Ransomware. Das durchschnittlich gezahlte Lösegeld betrug bei Unternehmen mittlerer GrĂ¶ĂŸe 170.404 US-Dollar, immerhin fast 150.000 Euro. Eine mittlerweile etablierte Praxis sind sogenannte Extortion Angriffe: Cyberkriminelle verschlĂŒsseln die Daten nicht mehr, sondern stehlen sie. Anschließend drohen sie damit, die sensiblen Informationen zu veröffentlichen oder zu verkaufen.

Wie das StĂ€dtische Klinikum WolfenbĂŒttel eine Ransomware-Attacke meisterte
Einer unsere Kunden, das StĂ€dtische Klinikum WolfenbĂŒttel, wurde selbst Opfer einer Ransomware-Attacke – und hat sie dank des beherzten Vorgehens des IT-Leiters mit Bravour gemeistert. Im Juli 2021 erhielt der IT-Rufdienst des Klinikums einen Anruf, weil das Krankenhausinformationssystem nicht mehr verfĂŒgbar war. Schnell stellte sich heraus, dass eine VerschlĂŒsselung vorlag.

Blog_ACP_IT-Security_Healthcare_800x534px
Das Klinikum WolfenbĂŒttel wurde Ziel eines Cyberangriffs und konnte dank vorhandenem Notfallplan Schlimmeres verhindern.

IT-Leiter Sebastian Skalski reagierte daraufhin mit kĂŒhlem Kopf und nahm alle Systeme vom Netz, um eine weitere Ausbreitung der Malware zu verhindern. Er rief einen Krisenstab zusammen, verstĂ€ndigte die Cybercrime-Unit der Polizei, machte Meldung beim BSI sowie der Datenschutzbehörde und holte sich sofort UnterstĂŒtzung von den Spezialist*innen der ACP und Sophos. Dank der Teamleistung aller Beteiligten war der Cybervorfall schnell bewĂ€ltigt. Mario Krause, Kriminalhauptkommissar der Task-Force Cybercrime der Polizeidirektion Braunschweig, lobt das Vorgehen: „Die sofort eingeleiteten Maßnahmen und die Wiederherstellung der Systeme sind vorbildlich und in dieser Form einzigartig. Das Klinikum WolfenbĂŒttel leistet eine herausragende Arbeit und sticht mit seiner IT-Sicherheit und deren Umsetzungskonzepten heraus.“

Was andere Unternehmen daraus lernen können, fasse ich Ihnen im Folgenden zusammen.

10 Praxis-Tipps, wie Sie sich schĂŒtzen können
Ein Cyberangriff kann jeden treffen und großen Schaden anrichten. Um sich zu schĂŒtzen, brauchen Sie eine ganzheitliche Security-Strategie, die sowohl PrĂ€vention als auch Abwehr, Reaktion und BewĂ€ltigung umfasst. Hier kommen zehn Tipps, die sich bei unseren Kunden in der Praxis bewĂ€hrt haben.

  1. Halten Sie Ihre Software auf dem neuesten Stand
    Bei Malware-Angriffen nutzen Cyberkriminelle Schwachstellen aus. Besonders anfĂ€llig sind veraltete, ungepatchte Systeme. Um Schwachstellen zu schließen, sollten Sie Updates und Patches möglichst zeitnah einspielen, nachdem sie vom Hersteller veröffentlicht sind. PrĂŒfen Sie darĂŒber hinaus regelmĂ€ĂŸig Ihre Konfiguration.

  2. Sensibilisieren Sie Mitarbeiter*innen
    HĂ€ufig wenden Cyberkriminelle Phishing- und Social-Engineering-Taktiken an, um Mitarbeiter*innen mit z. B. harmlos aussehenden E-Mails auszutricksen und Malware in Unternehmensnetze einzuschleusen. Vor ein paar Jahren noch einfach erkennbar, fĂ€llt es heute immer schwerer, solche zu identifizieren. Ganz wichtig sind daher regelmĂ€ĂŸige Schulungen und Trainings, die die Mitarbeiter*innen fĂŒr Cyberrisiken sensibilisieren.

  3. Achten Sie auf eine sichere Backup-Strategie
    Backups helfen Ihnen, im Falle eines Cyberangriffs die GeschĂ€ftskontinuitĂ€t zu sichern. Achten Sie darauf, mindestens ein Backup offline und von den anderen Systemen getrennt zu speichern, sodass es nicht selbst verschlĂŒsselt werden kann. Das Klinikum WolfenbĂŒttel konnte dank seiner Backup-Strategie seine Systeme wiederherstellen, ohne Lösegeld zu zahlen.

  4. Erstellen Sie einen Notfallplan
    Im Ernstfall kommt es darauf an, schnell die richtigen Schritte einzuleiten. DafĂŒr ist es hilfreich, wenn Sie einen Notfallplan haben, der Verantwortlichkeiten festlegt und Handlungsanweisungen gibt. Als Leitlinie fĂŒr das Notfallmanagement hat das BSI den Standard 100-4 veröffentlicht.

  5. Nehmen Sie bei einem Ransomware-Befall sofort alle Systeme vom Netz
    Wenn Sie einen Ransomware-Angriff bemerken, ist es wichtig zu verhindern, dass sich die Malware weiter ausbreiten kann. DafĂŒr sollten Sie alle IT-Systeme sofort vom Netz nehmen. So können Sie Schaden minimieren. Weil das StĂ€dtische Klinikum WolfenbĂŒttel schnell reagierte, war nur ein Backup-Server von der VerschlĂŒsselung betroffen.

  6. Holen Sie sich Hilfe von IT-Spezialist*innen
    Um den Cybervorfall zu untersuchen, die Eintrittspforte zu bestimmen und die Malware unschĂ€dlich zu machen, empfiehlt es sich, mit spezialisierten IT-Forensikern zusammenzuarbeiten. Sie verfĂŒgen ĂŒber entsprechendes Know-how und geeignete Tools. Eine Methode ist zum Beispiel das Thread Hunting: Die Spezialist*innen installieren eine Security Software auf den einzelnen Servern, scannen diese und werten die Logfiles aus. So können sie auffĂ€llige Prozesse entdecken und die Malware aufspĂŒren.

  7. Melden Sie den Vorfall
    Parallel zur IT-forensischen Untersuchung sollten Sie die Polizei einschalten und den Vorfall gegebenenfalls beim BSI und bei der zustÀndigen Datenschutzbehörde melden.

  8. Berufen Sie einen Krisenstab ein
    Wenn die IT ausfĂ€llt, wirkt sich das auf den gesamten GeschĂ€ftsbetrieb aus. Um diese Herausforderung zu meistern, mĂŒssen alle Mitarbeiter*innen an einem Strang ziehen. Außerdem muss man in der Lage sein, schnelle Entscheidungen zu treffen. Das Klinikum WolfenbĂŒttel war auch hier gut aufgestellt, indem es bereits vor dem Cyberangriff einen Krisenstab gebildet hat. Neben den IT-lern gehören diesem auch ChefĂ€rzt*innen und Vertreter des Management-Teams an. Da die Verantwortlichkeiten bereits geklĂ€rt waren, konnte das Klinikum im Ernstfall wertvolle Zeit sparen. Im Vier-Stunden-Takt kamen sie zu Meetings zusammen und konnten schnell Entscheidungen treffen.

  9. Seien Sie lösungsorientiert
    Nach einem Cybervorfall geht es darum, die IT schnellstmöglich wieder betriebsfĂ€hig zu machen. DafĂŒr sollten Sie auf Backups zurĂŒckgreifen können und einen verlĂ€sslichen IT-Partner an Ihrer Seite haben. Ganz wichtig ist, dass alle Beteiligten auf Augenhöhe Hand in Hand arbeiten, sodass Entscheidungen schnell getroffen werden können.

  10. Setzen Sie auf moderne Security-Technik
    Cyberangriffe und auch Security-Technik entwickeln sich stĂ€ndig weiter. Daher ist es wichtig, die eigene Security-Umgebung immer wieder auf den PrĂŒfstand zu stellen. Moderne Security-Lösungen setzen zum Beispiel KI und Verhaltens-Analysen ein, um auch bisher unbekannte Malware-Varianten zu erkennen und zu blockieren. Kommt doch einmal ein Angriff durch, helfen Techniken wie XDR (Extended Detection and Response) und Synchronized Security, ihn schnell einzudĂ€mmen.

Die Bedrohungslage wird weiter steigen
In den vergangenen Jahren haben Cyberangriffe kontinuierlich zugenommen und sind immer komplexer geworden. Dieser Trend wird sich weiter fortsetzen. Um der wachsenden Bedrohung zu begegnen, brauchen Unternehmen ein ganzheitliches Security-Konzept und einen verlĂ€sslichen IT-Partner. Wir bei ACP IT Solutions unterstĂŒtzen unsere Kunden dabei sich bestmöglich zu schĂŒtzen und auch im Falle eines Cyberangriffs betriebsfĂ€hig zu bleiben. Sebastian Skalski, IT-Leiter beim StĂ€dtischen Klinikum WolfenbĂŒttel, hat diese Erfahrung gemacht: „FĂŒr uns war es sehr beruhigend, einen Partner wie die ACP zu haben. So war ich mir sicher: Egal was passiert – auch wenn wir die gesamte Technik neu aufsetzen mĂŒssen – wir schaffen das.“

Nehmen Sie direkt Kontakt mit unseren Security-Expert*innen auf.

Das könnte Sie auch interessieren

Diese Stories auf Security

Updates for innovators: Abonnieren Sie unseren Blog.