Eine Initiative des eco - Verband der Internetwirtschaft e.V.
Wie reagiert man richtig auf einen Ransomware-Angriff?
Ein wichtiger Grundsatz ist: Niemals Lösegeld-Forderungen nachkommen.
Welche Schritte müssen unternommen werden, um den Vorfall zu bewältigen und eventuell verschlüsselte Daten wieder herzustellen?
So reagieren Sie auf einen Ransomware-Vorfall:
Erste Maßnahmen
Nach einem Angriff kommen viele Dinge gleichzeitig auf Sie zu. Bewahren Sie die Ruhe und handeln Sie zügig aber nicht überstürzt.
- Dokumentieren sie alle Ihre Maßnahmen
- Trennen Sie unverzüglich sämtliche Netzwerkverbindungen. Bereits verschlüsselte Rechner und Server trennen Sie vom Netz, aber schalten Sie diese nicht aus um eine spätere Analye der Systeme nicht zu gefährden.
Fertigen Sie gegebenenfalls eine forensische Sicherung inkl. Speicherabbild an. Hier gibt Ihnen der Leitfaden IT-Forensik des BSI wertvolle Hlfestellungen. - Betrachten Sie ein infiziertes System grundsätzlich als vollständig kompromittiert, eine Neuinstallation ist dringend anzuraten.
- Informieren Sie Ihre Mitarbeiter:innen und kommunizieren Sie Verhaltensregeln und weitere Maßnahmen.
Organisatorische Maßnahmen
- Stellen Sie den Informationsfluss sicher:
- Ist die Geschäftsleitung informiert ?
- Ist der IT-Sicherheitsverantwortliche Informiert (bzw. der IT-Support und der Datenschutzverantwortliche) ?
- Müssen Sie noch weitere Stellen informieren? Beachten Sie die Meldepflichten bei relevanten Datenschutzverstößen oder als Betreiber einer kritischen Infrastruktur. - Sorgen Sie dafür, dass vorhandene Backups zu diesem Zeitpunkt nicht mehr mit dem Netzwerk erreichbar sind, damit diese nicht auch verschlüsselt werden.
- Ändern sie sämtliche Passwörter der administrativen Zugänge. Verwenden Sie hierfür einen geprüfen, nicht infizierten Rechner.
- Wollen Sie Strafanzeige erstellen ?
Weitergehende HIlfestellungen
Bei unnseren Partnern sind zahlreiche Hilfestellungen verfügbar , so hat unser Partner Microsoft beispielsweise ein umfassendes Kompendium online gestellt, in welchem auf die Sicherheit Ihres Cloud Auftrittest detailliert eingegangen wird. Sie finden die Hilfeseiten unter: https://docs.microsoft.com/de-de/azure/security/fundamentals/ransomware-protection
Auch bei Sophos sind zahlreiche Ressourcen verfügbar, unter https://news.sophos.com/de-de/tag/ransomware finden Sie aktuelle Informationen und Analysen zu Ransomware.
Der R&S®Browser in the Box, wurde zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und bietet durch seine isolierte, virtuelle Umgebung einen optimalen Schutz vor Schadsoftware und schädlichen E_Mail Anhängen. Sie finden Ihn unter der Adresse https://www.rohde-schwarz.com/de/produkte/cybersicherheit/sicherer-webbrowser_232366.html . Weitere Produkte im Bereich Cybersicherheit finden Sie unter https://www.rohde-schwarz.com/de/produkte/cybersicherheit_232484.html
Prävention ist besser als Reaktion:
Schützen Sie Sich und Ihr Unternehmen bereits im Vorfeld gegen Ransomware Angriffe