Ablaufplan für die Zeit während einer DatenpanneVieles ist zu tun, wenn die Prävention versagt hat
16. November 2021Jeder Ransomware-Angriff oder jedes Sicherheitsereignis hat ein „Davor“, ein „Während“ und ein „Danach“. Um sich in jeder Phase schützen zu können, gilt es auch zu wissen, wie ein Angriff abläuft.
Ohne Prävention geht es nicht, aber nur mit Prävention geht es auf keinen Fall. So – oder so ähnlich – lassen sich die jüngsten Erfahrungen vieler Unternehmen mit der Bedrohung durch Ransomware-Attacken zusammenfassen.
Daher sollten die IT-Zuständigen den Verlauf eines Angriffs kennen und wissen, welche kritischen Entscheidungen sie treffen müssen, an wen sie sich zuerst wenden sollten und welche weiteren wichtigen Schritte sie bei der Reaktion tätigen müssen. Ziel ist es, den Notfallplan in die Tat umzusetzen und Schritte zur Schadensminimierung vorzunehmen.
Was passiert während eines Cyber-Angriffs?
Was passiert, wenn die Alarmglocken läuten und Unternehmen von einem Cyber-Angriff oder einer Sicherheitsverletzung betroffen sind, also genau in dieser Phase?
- Nachdem sie eine Kampagne gestartet haben, nisten sich die Angreifer in der Zielumgebung ein. Sie können sensible Dateien exfiltrieren, um sie in einem zweiten Angriff zu verwenden, wenn die Verschlüsselungskampagne nicht erfolgreich ist oder um mehr Geld zu fordern.
- Angreifer können Exploit-Toolkits verwenden, um sich erweiterten Zugriff (d. h. Administratorzugriff) auf die Umgebung zu verschaffen.
- Sobald sie in der Zielumgebung sind, werden sie wichtige Systeme identifizieren, darunter kritische Infrastrukturen wie Active Directory, DNS, Backup- und primäre Speichersysteme.
- Angreifer können Zugangsdaten ändern, um legitime Benutzer von den Systemen auszuschließen.
Ebenso können sie Backups löschen oder beschädigen. Sie könnten auch Front-End-Sicherungsserver verschlüsseln, um Kataloge unbrauchbar zu machen. - Anschließend könnten die Angreifer die primären Benutzerdatendateien auf den Host-Systemen angreifen und verschlüsseln.
Schlüsselaspekte der Reaktion und Wiederherstellung in den frühen Stadien eines Angriffs
Zu wissen, was Ransomware-Angreifer oder Hacker vorhaben, ist der erste Schritt. Jetzt ist es an der Zeit, in Aktion zu treten. Der genaue Wiederherstellungsplan hängt vom Unternehmen und der Sicherheitsverletzung ab, aber der Leitfaden der FTC ist ein guter Anfang. Zudem gibt es nationale Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen einhalten müssen.
Spezialisten empfehlen die folgenden Schritte, die Unternehmen während eines Angriffs umsetzen sollten, um den Schaden zu minimieren und die Wiederherstellung zu beschleunigen:
- Den Angriff begrenzen und die Umgebung abriegeln; bei den ersten Anzeichen eines Angriffs gilt es die betroffenen Systeme im Netzwerk zu isolieren, indem sie vollständig abgeschaltet oder in einer privaten Netzwerk-Enklave unter Quarantäne gestellt werden. So lässt sich die Ausbreitung stoppen und der Schaden minimieren. Systeme gilt es niemals vollständig herunterzufahren oder die Stromversorgung auszuschalten. Dadurch wird die Möglichkeit, diese Geräte später forensisch zu analysieren, stark eingeschränkt oder ganz unterbunden. Dann folgt das Aktualisieren der Zugangsdaten und Passwörter auf sauberen Rechnern. Falls Informationen auf der Website veröffentlicht wurden, müssen Unternehmen diese entfernen und sich an Suchmaschinen wenden, um den Cache zu löschen.
- Ausführung des Backup-Kommunikationsplans, falls die E-Mail-Systeme ausfallen: Unternehmen sollten bereits einen gut definierten Kommunikationsplan aufgestellt haben, und jetzt ist es an der Zeit, ihn anzuwenden. Jetzt gilt es die Führungskräfte und interne Stakeholder über den Angriff zu informieren, sei es über ein Mobiltelefon oder eine alternative E-Mail-Adresse, und so schnell wie möglich IT- und Sicherheitsteams, leitende Angestellte und externe Sicherheitsberater einzuschalten.
- Mobilisierung des Notfallteams; das Notfallteam sollte sich aus einigen wichtigen Akteuren zusammensetzen. Je nach Unternehmen kann dies Forensik-Experten, Rechtsberater, InfoSec, IT, Investor Relations, Unternehmenskommunikation und Management umfassen. Alle Mitglieder des Teams sollten klare Anweisungen erhalten, ebenso wie die an der Wiederherstellung beteiligten Personen. Im E-Book „Hacker’s Guide to Ransomware Mitigation and Recovery“ weist der ehemalige Hacker Hector Monsegur darauf hin, dass dies besonders wichtig ist: „Andernfalls sind Netzwerk- und Systemadministratoren auf ihr eigenes Urteilsvermögen angewiesen, um die Bedrohung zu neutralisieren, was meiner Erfahrung nach in der Regel ineffektiv oder sogar katastrophal ist“, schreibt er.
- Aktivierung eines externen Kommunikationsplans; nun ist es an der Zeit, sich mit wichtigen Partnern und Behörden in Verbindung zu setzen. Unternehmen können externe technische Partner zur Unterstützung heranziehen, einschließlich ihres Speicheranbieters und anderer IT-Anbieter. Wenn Geschäftsführer nach einem Angriff mit den Medien, Aufsichtsbehörden und der Rechtsabteilung zusammenarbeiten, ist es hilfreich, eine aktualisierte Liste mit Kontakten in den lokalen Büros der Strafverfolgungsbehörden zu führen. Der ebenfalls kontaktierte Cyber-Versicherungsanbieter kann die Deckungen und Einschränkungen erläutern. Ebenso ist es ratsam, sich gegebenenfalls mit den örtlichen Behörden in Verbindung zu setzen und auf etwaige Compliance-Verpflichtungen und mögliche Strafen hinzuweisen. Unternehmen sollten auch ihren Plan zur Benachrichtigung der betroffenen Kunden vorstellen. Möglicherweise haben sie eine Mitteilung verfasst, um die Informationen zu teilen, zu deren Weitergabe sie verpflichtet sind, und Empfehlungen für die Betroffenen zu formulieren und klar darzulegen, was als nächster Schritt folgt.
- Start des forensischen Prozesses: Monsegur sagt: „Vorausgesetzt, Sie verfügen über alle geeigneten Netzwerküberwachungsinstrumente wie SIEMs und Protokolle, kann ein gut geschultes Personal, das nach Anomalien und Ereignissen sucht, einen Angriff in Aktion erkennen.“ Sicherheits- und Zugriffsprotokolle können helfen, die Quelle eines Angriffs schnell zu identifizieren. Diese Protokolle können auch als Nachweis für die Einhaltung gesetzlicher Vorschriften dienen. Daher sollten Unternehmen sicherstellen, dass Daten angemessen geschützt sind, auch vor dem Löschen. Nun gilt es die betroffenen Geräte für die forensische Überprüfung zu priorisieren. Das Sicherheitsteam sollte feststellen, welche Art von Angriff gestartet wurde und in welchem Umfang die Umgebung davon betroffen ist. Je eher dies geschieht, desto eher kann das Team Patches anwenden und auch ein sauberes Backup wiederherstellen. Danach können Unternehmen den Wiederherstellungsprozess in einer gestaffelten Umgebung beginnen. Dazu ein Tipp: „Bereiten Sie Ihre Umgebung auf spätere Untersuchungen mit Ihren Anbietern oder den Strafverfolgungsbehörden vor“, rät Monsegur. Wenn ein Unternehmen mit der Durchführung einer Untersuchung beauftragt wurde, ist sicherzustellen, dass es eine Übergabe zwischen diesem Unternehmen und den Strafverfolgungsbehörden gibt.
- Einsatz der gestaffelten Wiederherstellungsumgebung; nun ist es an der Zeit, mit der eigentlichen physischen Wiederherstellung zu beginnen. Im Rahmen des Wiederherstellungsplans für den Katastrophenfall sollten Unternehmen eine Wiederherstellungsumgebung einrichten, die bereits getestet wurde und einsatzbereit ist, damit sie nach einem Ereignis sofort wieder online gehen können. Dazu gehört auch eine Sichtverbindung zu neuer Hardware und Systemen, da es keine Garantie dafür gibt, dass sie ihre vorhandene Ausrüstung oder Hardware weiterverwenden können. Diese könnte von Behörden oder Ermittlern als Beweismittel beschlagnahmt oder muss unter Quarantäne gestellt werden. Mit SafeMode-Snapshots können Unternehmen außerdem sofort mit der Wiederherstellung von unveränderlichen Backups ihrer Daten beginnen. Während eines Ereignisses ist diese Funktion besonders wichtig, da Angreifer sie nicht daran hindern können, schnell wieder online zu gehen.
- Auf die Wiederherstellung vorbereitet sein; wenn Unternehmen wissen, mit welchen Herausforderungen sie zuerst konfrontiert werden und welche Sofortmaßnahmen sie in der Frühphase eines Angriffs ergreifen können, können sie Verluste, Kosten und Risiken minimieren. Eine entsprechende Plattform für Storage und Data Management kann helfen, in der „Während“-Phase schnell zu handeln. Dazu trägt beispielsweise eine ständige Verschlüsselung der Daten im Ruhezustand bei, ohne Leistungseinbußen oder Verwaltungsaufwand. Da sich gesicherte Daten nicht ändern oder löschen lassen, ist deren Wiederherstellbarkeit gewährleistet, worauf es letztlich ankommt. (rhh)