Wenn Cyberkriminelle die IT des eigenen Unternehmens gekapert haben, tut Eile Not, denn je schneller man reagiert, desto größer sind die Chancen, den Schaden noch einzudämmen. Was das Landeskriminalamt für solche Fälle rät.
„Wir haben einen Cyberangriff! Die Datenbanken und Server unserer Firma sind verschlüsselt worden! Die Produktion steht still!“ Anrufe dieser Art gehen beim Landeskriminalamt inzwischen regelmäßig ein. Typische Fälle von Ransomware oder zu Deutsch Verschlüsselungsangriffen. Bei Ransomware handelt es sich um ein Kunstwort, aus Ransom, englisch für Lösegeld, Software. Ransomware-Angriffe lassen sich leicht beschreiben: Die Täter infiltrieren die IT-Netzwerke über das Internet, verschlüsseln die erreichbaren Daten und geben den Zugriff auf diese Daten nur gegen Lösegeld wieder frei. Nicht selten laden die Täter die Daten vor der Verschlüsselung über das Internet auf eigene Speicher und drohen zusätzlich mit deren Veröffentlichung.
Die Erpresser wollen so die attackierten Unternehmen in eine aussichtslose Lage versetzen, aus der scheinbar nur die Lösegeldzahlung herausführt. Opfer sind schon lange nicht mehr nur internationale Großunternehmen, denn viele Erpresser haben sich gerade auf kleine Firmen spezialisiert.
Doch was tun, wenn man betroffen ist? Das Landeskriminalamt rät aufgrund seiner Analyse der bisher gemeldeten Vorfälle zu folgenden Schritten:
- Greifen Sie auf den vorbereiteten IT-Notfallplan zurück.
- Kontaktieren Sie Ihren IT-Dienstleister.
- Trennen Sie unverzüglich externe und interne Netzwerkverbindungen, insbesondere zu kritischen
- Isolieren Sie Backups (Sicherheitskopien), so dass diese nicht ebenfalls verschlüsselt werden.
- Schalten Sie alle noch nicht betroffenen Rechner und Server umgehend aus, um die Verschlüsselung weiterer Daten zu verhindern.
- Sichern Sie relevante Daten, die Aufschluss über den Infektionshergang geben können. Hierzu zählen beispielsweise Logfile-Protokolldaten und verdächtige E-Mails.
- Ändern Sie sämtliche Benutzer- und Netzwerkkennwörter, sofern diese durch den Vorfall kompromittiert sein könnten.
Von einer Lösegeldzahlung rät das Landeskriminalamt dagegen grundsätzlich ab. Nicht nur weil jede Überweisung das kriminelle Geschäftsmodell fördert, sondern auch, weil die Entschlüsselung der betroffenen Daten dadurch längst nicht gesichert ist: Manchmal „passt“ der gekaufte digitale Schlüssel technisch gar nicht. In anderen Fällen dauerte die Entschlüsselung genau so lange, wie die Netzwerkwiederherstellung mit eigenen Mitteln. Außerdem bleibt die ausgenutzte Sicherheitslücke ja bestehen. Die Netzwerke müssen also in jedem Fall grundlegend neu eingerichtet werden.
Datenrekonstruktion regelmäßig üben
Aus all diesen Gründen rät das Landeskriminalamt, die Systeme mit Unterstützung des IT-Dienstleisters und, wenn möglich, mit eigenen Mitteln wiederherzustellen. Damit das gelingt, sollte die Datenrekonstruktion von den IT-Fachkräften regelmäßig geprobt werden. Im Ernstfall sollten die Backups nicht im Original zur Datenwiederherstellung genutzt werden, sondern zuvor Kopien (Images) erstellt werden.
Weil die Sicherheitslücke mit der Datenwiederherstellung nicht beseitigt ist, sollten die betroffenen IT-Systeme zudem eingehend analysiert und das Ergebnis protokolliert werden. Die Cybercrime-Ermittler der Polizei werten die auf dem betroffenen System gesicherten Protokolldaten aus und helfen damit den Unternehmen, die Sicherheitslücke zu schließen.
Autor: Thorsten Seeberg, LKA BW
Bilder: Adobe Stock
Weitere Infos
Broschüre „Handlungsempfehlungen Ransomware“ des Landeskriminalamtes. Sie gibt KMU Tipps zur Verhinderung von Ransomware-Angriffen und zur Schadensminimierung. www.lka-bw.de/zac