CyberCompare

Ransomware Notfall-Hilfe. Wie reagiere ich nach einem Cyber-Angriff?

2021 scheint das traurige Jahr der Cyber-Angriffe zu werden. Der Landkreis Anhalt-Bitterfeld hat zu Wochenbeginn erstmals den Cyber-Katastrophenfall ausgelöst. Eine Woche zuvor war bekannt geworden, dass die US-Softwarefirma Kaseya von Hackern angegriffen wurde 800 bis 1.500 Kunden weltweit waren betroffen.

Das Spektrum zeigt: Sowohl schwache als auch starke IT-Infrastrukturen werden angegriffen.

Besonders kleine und mittelständische Unternehmen sind bedroht: Hier fehlen oft notwendige Notfallvorsorge-Konzepte oder Krisenpläne, um bei Ransomware-Angriffen sofort zu wissen, welche Schritte zu tun sind.

Um erste Orientierung bei einem Ransomware-Angriff zu bieten, hat der Verband Deutscher Maschinen- und Anlagenbau (VDMA) eine Ransomware Notfall-Hilfe veröffentlicht.

Das Dokument richtet sich in erster Linie an IT-Leiter und IT-Sicherheitsbeauftragte mittelständischer Unternehmen mit wenig internen Ressourcen und beantwortet die wichtigsten Fragen.

Wichtig: Die Ransomware Notfall-Hilfe formuliert keine verpflichtenden Vorgaben oder Anforderungen an den Schutz vor Ransomware. Sie gibt Empfehlungen auf Basis von anerkannten Dokumenten unabhängiger Dritter. Jeder Fall ist einzigartig, daher müssen alle Maßnahmen und Empfehlungen unter Berücksichtigung der individuellen Situation bewertet werden.

Im Folgenden haben wir für Sie haben wir für Sie zwei wichtige Fragen zu Ransomware-Angriffen aus dem Notfallhilfeplan zusammengefasst:

Mehr Informationen finden Sie beim VDMA

Woran erkenne ich einen Ransomware-Angriff?

Indikatoren bei Mitarbeitern (Client-PC, Fileserver-Zugriff)

  • Rechner wird langsam
  • Entdeckung verschlüsselter bzw. nicht lesbarer Dateien
  • Dateien lassen sich plötzlich nicht mehr öffnen
  • unbekannte Dateien / Dateiendung
  • Alarm des Virenscanners
  • Neustart in den abgesicherten Modus
  • Dateien mit Informationen/Anweisungen, dass ein Hack erfolgte (Lösegeldforderung)
  • Lösegeld-Bildschirm-Meldung
  • Lösegeld-Meldung bei Systemstart
  • plötzliche Neustarts des Systems
  • Anti-Virus-Software deaktiviert/ bringt Fehler und startet nicht
  • Aufforderung zur Installation eines Programmes oder Eingabe des Administrator-Passworts
  • Änderung des Desktophintergrunds
  • E-Mails mit ungewöhnlichen oder unerwarteten Anhängen, Links, oder Aufforderungen, ungewohnte Dinge zu tun

Der VDMA empfiehlt an dieser Stelle: Die Mitarbeiter auf die Indikatoren zu „trainieren“. Bei verdächtigen Aktivitäten sollte sofort der Systemadministrator (IT-Abteilung) bzw. der IT Helpdesk/Support angerufen werden. Die Nummer sollte allen Kolleginnen und Kollegen bekannt sein (und „offline“ verfügbar sein, da bei einem Ransomware-Angriff häufig kein Zugriff auf das Online-Adressbuch besteht). Rechnen Sie damit, dass im Notfall auch Ihre Telefonanlage betroffen sein kann

Indikatoren für automatisierte Skripte (Administratoren)

  • Typische verschlüsselte Dateien
  • Typische Dateiendungen
  • ausgehender Command&Control-Traffic auf der Firewall, IPS oder Websecurity-Gateway
  • Blockierte Mails am Gateway (eventuell wurden einige zugestellt)
  • Firewall deaktiviert/geändert
  • Volumenschattenkopien sind alle gelöscht (viel weniger als üblich)
  • Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
  • Kommunikation und/oder Alarme zu ungewöhnlichen (Geschäfts-)-Zeiten
  • Verdächtige (interne) Netzwerk-Scans
  • Häufung identischer verdächtiger Ereignisse
  • Dubiose Log-in-Versuche eines Nutzers in das Firmennetzwerk (Login-Versuche von unterschiedlichen Orten innerhalb eines kurzen Zeitfensters)
  • übermäßige Berechtigungsausweitung administrativer Konten und Änderung von Gruppenrichtlinien
  • unbefugte Softwareinstallationen
  • Identifikation und automatisches Löschen von Malware an mehreren Stellen gleichzeitig (dieser Vorgang wiederholt sich unendlich)
  • ungewöhnlicher Verkehr von Servern in das Internet (Domaincontroller http, https o.ä.)
  • Zugriffe auf ungenutzte Shares/Dateien („Canary Files“)
  • Verschwinden, Fehlschlagen oder Unvollständigkeit von Backup

Wichtig: Indikatoren können auf einen möglichen Angriff oder auf eine Infektion hinweisen. Auf diesen Angriff muss dann schnell reagiert werden.

Wann rufe ich einen Ransomware-Notfall aus?

Bei der Einschätzung, ob im konkreten Fall tatsächlich ein Notfall vorliegt, helfen folgende Fragen. Haben Sie alle Fragen mit „ja“ beantwortet, handelt es sich definitiv um einen Ransomware-Notfall.

Faktor Schaden (Auswirkungen und Ausbreitung)

  • Ist eine unkontrollierte Ausbreitung der Infektion (Verschlüsselung) im gesamten Netzwerk zu erwarten?
  • Sind kritische IT-Systeme oder Informationen nicht mehr verfügbar oder akut bedroht?
  • Sind kritische Geschäftsprozesse gestört oder akut bedroht?

Faktor Zeit (Seit wann / wie lange noch?)

  • Sind die Schritte und Zeitdauer zur Behebung des Vorfalls unklar?
  • Ist damit zu rechnen, dass die Dauer bis zur Wiederherstellung der Prozesse oder Systeme inakzeptabel ist?
  • Hat der Vorfall über die eigenen Prozesse, Dienste und Systeme hinaus signifikante Auswirkungen, z.B. in der Lieferkette des Kunden

Folgende weiterführende Fragen helfen bei der Konkretisierung eines Ransomware-Notfalls:

  • Sind die Angreifer noch bei der Erkundung und Eroberung des Netzwerks?
  • Werden Dateien noch verschlüsselt?
  • Wurde bereits (alles) verschlüsselt?
  • Sind privilegierte Konten betroffen?
  • Kann die Störung eingegrenzt werden?
  • Können die Aktivitäten lückenlos nachvollzogen werden?•Sind andere Standorte betroffen?
  • Ist bekannt, welche Maßnahmen zur Störungsbehebung zu ergreifen sind?
  • Sind Backups der betroffenen Systeme verfügbar?
  • Sind Ausweichszenarien denkbar (Mobilkommunikation statt Festnetz, Papier statt PDF, etc.)
  • Sind wesentliche Bereiche der Produktion ausgefallen?
  • Ist die Qualität der Produkte betroffen?
  • Ist die Lieferfähigkeit zu Kunden betroffen?
  • Sind die Kommunikationswege kompromittiert?
  • Sind weitere unkritische Funktionsbereiche betroffen (Kantine, Parkplätze)?
  • Hat die Störung für Dritte erkennbare (Image-schädigende) Außenwirkungen, z.B. Ausfall des Webshops, keine telefonische Erreichbarkeit?
  • Sind mit der Störung Meldepflichten (Behörden, Geschäftspartner u.a.) verbunden?

Sind mehrere Systeme betroffen, so sollte zunächst davon ausgegangen werden, dass ein Großteil des Netzwerkbereiches betroffen ist. In flachen Netzstrukturen ohne Schutzzonen muss davon ausgegangen werden, dass das gesamte Netzwerk betroffen ist. Bei aktuellen Geschwindigkeiten verbreitet sich eine Schadsoftware oft in wenigen Minuten. Eine Verschlüsselung ist mit SSDs, Gigabit und leistungsfähigen Systemen auch oft in 1-2 Stunden abgeschlossen. Daher sollte schnell reagiert werden:

Mehr Informationen finden Sie beim VDMA

Wie gehe ich im Ransomware-Notfall vor?

Kernsysteme schützen

  • Wenn möglich, Kernsysteme isolieren
  • Nutzerzugriff auf „geschäftskritische Systeme“ unterbinden/einschränken

Fileserver, Domain-Controller, Datenbanken schützen

  • Schreibzugriff auf Dateien für alle Benutzer sperren (Skript nutzen, wenn verfügbar)
  • Benutzer mit den meisten geöffneten Dateien identifizieren
  • Fileserver in den Hibernations-Modus versetzen, um den Arbeitsspeicher des Geräts zu erhalten

Notfallschritte am Gerät

  • ACHTUNG: Auf KEINEN Fall am System mit Adminrechten anmelden, solange das Gerät noch im Netzwerk bzw. Internet ist
  • Trennen der Netzwerk- und sonstigen Kommunikationsverbindungen (LAN, Wi-Fi), im Zweifel über Deaktivieren des entsprechenden Ports am Netzwerk-Switch
  • Virtuelle Maschinen in den „Suspend-Modus“ versetzen (erhält Arbeitsspeicher)
  • Physikalisch Maschinen (PC) in den Standby-/Hibernations-Modus versetzen, um den Arbeitsspeicher des Geräts zu erhalten (Ruhe-zustand muss in Windows 10 erst aktiviert werden [Win10]
  • Lösegeldforderung und relevante Ereignisse mit einem Smartphone abfotografieren oder abfilmen. Dazu Gerät und Uhrzeit notieren, um das Bild im Nachgang korrekt zuordnen zu können

Notfallschritte im IT-Netzwerk

  • Netzwerkverbindungen des Unternehmens nach außen trennen (Firewall, Internet)
  • Zwischen allen Netzwerksegmenten eine Src: ANY– Dest: ANY– Service: ANY– Action: Drop an die erste Stelle im Firewall-Regelset einfügen, damit Netzwerksegmente beim Wiederanlauf sukzessive „hochgefahren“ werden können
  • Netzwerkverbindungen zu Außenstellen kappen (MPLS, VPN, etc.); wenn Außenstellen bereits betroffen sind, sollten ggf. über die Firewalls per „Whitelisting“ nur dedizierte Notfall-Administrations-Verbindungen zugelassen werden, damit sich die Schadsoftware nicht unkontrollierbar in anderen Standorten verbreitet (Kontroll-Verlust)
  • Client-Remote-Zugänge abschalten
  • Interne Switches und Router abschalten, wenn keine Abschottung von Netzsegmenten möglich ist (z.B. Etagen-Switch, Router in das Fertigungsnetz)
  • Funknetze (Gäste, Mitarbeiter) abschalten, z.B. WLAN, 5G Campus Netz
  • IT-Endgeräte (Laptops, Server, PCs, Smart-TV, ClickShare, Beamer, Drucker, Massenspeicher) vom Netzwerk trennen

Weitere Notfallschritte

  • Alternative Kommunikationsinfrastruktur etablieren (z.B. Telefonkette), denn Angreifer könnten ggf. E-Mails mitlesen
  • Krisenstab etablieren, mit Mitgliedern aus IT, Kommunikation, Legal und Datenschutz
  • Keine E-Mails oder Dateien öffnen/weiter-leiten, auch nicht über die Cloud, es könnten Geräte außerhalb des Netzwerkes (z.B. Privat-PC, Kunden, Lieferanten) infiziert werden
  • Mobile Dienstgeräte weder in privaten noch in geschäftlichen Netzen anmelden
  • Eigene Niederlassungen und IT-Personal an anderen Standorten informieren
  • Externe IT-Servicepartner umgehend informieren, z.B. Cloudanbieter
  • Keine eigenmächtigen ‚Reparaturversuche‘ ohne Nachfrage beim Spezialisten für die betroffenen Systeme.
  • Betroffene Systeme neu installieren oder auf einem Zustand vor der Infektion wiederherstellen, und unverzüglich absichern.
  • Saubere „Admin-Benutzer“ anlegen und alle anderen (Admin-)Benutzer sperren
  • Anhalten von „Rotations-Prozessen“ (Backup-Rotation, Log-Rotation, Snapshot-Rotation), damit keine weiteren Daten verloren gehen und sichern von System-Logs (Proxy, Firewall, Antivirus, Active-Directory, VPN, betroffene Systeme)
  • Nutzen von auf Grund des Vorfalls nicht arbeitsfähigen Mitarbeitern für andere Aufgaben (z.B. Koordination, Botengänge, Aushängen von Warnschildern)

Hinweise zur forensischen Untersuchung

Damit die Möglichkeit einer forensischen Untersuchung bestehen bleibt, gibt es bestimmte Verhaltensregeln:

  • Auf KEINEN Fall Stromversorgung der IT-Systeme kappen
  • KEINE Dateien/Systeme löschen, selbst wenn sie von Malware infiziert sein könnten
  • Ein forensisches Backup (bitweise 1:1 Kopie) inklusive Speicherabbild für Strafverfolgung erstellen (lassen)
  • Grundsätzlich keine Software installieren. Wenn jedoch notwendig, die Quelle der Software und den Zeitpunkt der Installation dokumentieren
  • Protokoll über jeden Schritt erstellen, für jedes einzelne System vom Zeitpunkt der Identifizierung der Kompromittierung bis zum Abschluss der Arbeiten
  • Relevante Logdateien (Antivirus, Citrix, Login, Firewall, Webtraffic etc.) sicherstellen und vor Manipulation schützen
  • Spezialisten für forensische Untersuchungen hinzuziehen
  • Ist eine Cyberversicherung vorhanden, die Schadenhotline der Versicherung zwecks Unterstützung durch spezialisierte IT-Forensiker kontaktieren

Notfallstab: Zur Notfallbewältigung sollte nach Entscheidung der Geschäftsführung einen Notfallstab gebildet werden. Der Notfallstab hat den Auftrag, die schnellstmögliche Wiederaufnahme des Geschäftsbetriebs zu gewährleisten und mögliche Folgeschäden auf ein Minimum zu begrenzen.

Lessons learned

Während beziehungsweise nach einem Ransomware-Angriff sollten Sie nicht nur Notfall-Maßnahmen einleiten, sondern nachhaltige Security Maßnahmen etablieren, getreu dem Motto „Lessons learned“. Es ist wichtig, dass Sie Ihre Infrastruktur mit höheren aber vor allem den „richtigen“ Sicherheitsmaßnahmen aufbauen. Diese müssen weder kompliziert noch teuer sein, sondern auf Ihre Bedürfnisse zugeschnitten. Für eine nachhaltige Absicherung und Risikominimierung muss strukturiert die eigene Gefahrenlage ermittelt werden, um auf Basis der Untersuchung aufeinander abgestimmte Cyber-Security Maßnahmen einzuführen. Das umfasst die Minimierung oder Vermeidung von Risiken, aber auch deren Transfer (z.B. Versicherung) oder Akzeptanz.

Den ganzen Notfall-Hilfeplan samt weiteren hilfreiche Tipps und Anleitungen finden Sie auf der Website des VMDA unter https://www.vdma.org/viewer/-/v2article/render/1295961

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.