Es ist der Albtraum eines jeden Unternehmens: Man wird Opfer einer professionellen Attacke von Cyberkriminellen. IT Systeme sind verschlüsselt und das Unternehmen wird erpresst. Oftmals geht es dabei um das Überleben der Unternehmung und den erhalt vieler Arbeitsplätze. Doch was muss ich beachten, wenn ich Opfer einer solchen Attacke geworden bin?

Sie sind aktuell Opfer eine Cyber-Attacke und benötigen Unterstützung?
Rufen Sie uns an: 02203-9029700

Kühlen Kopf bewahren

Aktionismus und Panik sind in einer Notfallsituation denkbar schlechte Ratgeber. Das Wichtigste ist jedoch, in einer Ausnahmesituation sowohl die Übersicht als auch einen kühlen Kopf zu bewahren. Natürlich sind bei einem plötzlichen IT-Ausfall die Mitarbeitenden bestrebt, so schnell wie möglich wieder ihrer Tätigkeit nachzugehen. Aus Ungewissheit machen sich Ärger und Unmut schnell breit. Führungskräfte versuchen ihre Mitarbeitenden einzufangen und machen dabei oftmals Zusagen, bestenfalls unabsehbar, und im schlimmsten Fall illusorisch sind wie „Morgen läuft hier alles wieder!“. Auch versuchen Führungskräfte ihre eigene Position innerhalb der Hierarchie als Hebel zu nutzen, um eine schnellere Behebung eines Problems in ihrem Bereich zu forcieren und bauen unnötigen Druck auf die IT Abteilung auf. Mit mehr als fraglichen Erfolgsaussichten.

Fakt ist: Sobald der Notfall eintritt, hört der Normalbetrieb schlag­artig auf. Die operativen Bereiche stehen vielfach still, die Logistik ist gestört, das Finanzwesen (Rechnungen, Gehälter, …) kommt zum Erliegen und die Kommunikationsfähigkeit des Unternehmens ist massiv gestört.

Krisenstrukturen aufbauen

Wer einen Notfallplan hat ist nun gut beraten diesen zu aktivieren und die vorgeplanten Strukturen für Krisen- und Notfallstäbe aufzubauen. Typischerweise und je nach Unternehmensgröße werden unterhalb des Krisenstabs auf C-Level-Ebene weitere operative Notfallstäbe (z.B. IT) etabliert. Eine saubere Lagedarstellung, Kommunikation und Dokumentation über alle Ebenen ist extrem wichtig und entscheidend für eine effiziente Krisenbewältigung. Beispielweise kommt die IT nicht zum Arbeiten, wenn jede Führungskraft bei der IT mal nachfragt wie der Stand ist. Dazu ist eine vorgeplante besondere Aufbauorganisation sehr hilfreich. Besteht diese Vorplanung nicht, müssen die Strukturen ad-hoc aufgebaut werden.

Externer Krisenmanager

Ein folgenschwerer Angriff auf das eigene Unternehmen stelle eine Ausnahmesituation dar. Es ist schwer sich nicht von eigenen Emotionen und dem unweigerlichen Stress leiten zu lassen. Ein externer Krisenmanager kann helfen die Lage zu sondieren, zu strukturieren und einen Plan für das weitere Vorgehen aufzustellen. Wichtig ist dabei entscheidende Chancen nicht zu verpassen, gesetzliche Vorgaben (z.B. Datenschutzmeldepflichten) einzuhalten und gute Lösungen für einen schnellen Notbetrieb zu schaffen, ohne die notwendige Forensik zu stören. Dazu kommt, dass viele Gewerke und Ansprechpartner gut koordiniert werden müssen. Vielfach ist zwar guter Wille einer Geschäftsführung möglichst viel Hilfe zur Verfügung zu stellen, führt aber zu unkoordinierten Handlungen, Kompetenzgerangel und am Ende nicht zu mehr Geschwindigkeit. Ganz im Gegenteil. Eine neutrale Instanz wie ein guter externer Krisenmanager kann hier entscheidend sein schnelle und vor allem belastbare Fortschritte zu erreichen.

Forensik vs. Wiederherstellung

Sind alle oder zumindest für das Unternehmen kritische Systeme durch die Kriminellen verschlüsselt worden, ist natürlich das Bestreben groß, ein schnelles Recovery der Daten durchzuführen, um wieder in den Normalbetrieb übergehen zu können. Hierbei gibt es zwei ­wesentliche Probleme: Erstens ist vielfach initial überhaupt nicht ­sicher, wie weit die Kompromittierung des Netzwerkes geht. Im ungünstigsten Fall ist die Datensicherung ebenfalls bereits kompromittiert. Oder die Kriminellen verschlüsseln die gerade wiederhergestellten Systeme sofort wieder. Zweitens vernichtet ein eigenmächtiger Reparaturversuch potenziell digitale Spuren, die für eine forensische Untersuchung entscheidend sind.

Grundsätzlich gilt: Falls die eigene Cyberversicherung nicht ein eigenes Forensikteam zur Verfügung stellt, suchen Sie sich einen professionellen IT Forensikdienstleister zur Sicherung der Spuren (auch Artefakte genannt) und folgen Sie deren Anweisungen, um eine Vergrößerung des Schadens abzuwenden und schnellst möglich zu Ergebnissen zu kommen, die eine sichere Wiederherstellung der IT Services ermöglichen.

Dabei ist es leider oftmals notwendig sich den Weg einer potentiellen Lösegeldzahlung zumindest offen zu halten. Sollte dies der letzte Ausweg sein um das Überleben des Unternehmens sicherstellen zu können, ist es wichtig, dass die verschlüsselte IT Umgebung so wenig wie möglich verändert wurde. Ein weiterer Grund gut auf die Forensiker zu hören.

Lösegeld einfach zahlen?

Die Zahlung von Lösegeld an Kriminelle sollte immer das letzte Mittel sein. Selbst wenn man einen Weg findet das Geld an den aktuell bestehenden Sanktionen vorbei an die meist russischen Gruppen transferieren, ist dies immer noch keine Garantie, dass man eine Möglichkeit zur Entschlüsselung der eigenen Daten erhält oder wenn, dass diese auch funktioniert. Weiterhin dauert eine Entschlüsselung der Daten ebenfalls sehr lange und bietet keinen Zeitvorteil gegenüber einer regulären Wiederherstellung. So müssen die Daten ja auch in eine sichere Systemumgebung zurückgespielt werden und zudem „gewaschen“ werden.

Weiterhin muss man davon ausgehen, dass die von den Tätern abgezogenen Daten trotz einer Lösegeldzahlung veröffentlicht, bzw. verkauft werden. Warum sollten die Täter auf diesen weiteren Weg der Monetarisierung ihrer Tat auch verzichten?

Keine eigenständige Kommunikation mit den Tätern

Gerade im Fall von Ransomware fordern Kriminelle oftmals die betroffenen Unternehmen auf, mit ihnen in Kontakt zu treten. Dabei werden dann die Modalitäten für eine Zahlung von Lösegeldern übermittelt und teilweise auch Verhandlungen über die Höhe des zu zahlenden Betrages geführt. Es ist jedoch dringend davon abzuraten, ohne die Begleitung durch qualifizierte Fachleute und das zuständige Landeskriminalamt in diese Kommunikation einzusteigen. Eine schlechte oder falsche Kommunikation mit den Tätern kann die Lage durchaus verschlimmern.

Kommunikationsfähigkeit wiederherstellen

Unternehmen die nach einer Cyber Attacke aus guten Gründen die IT Umgebung von der Außenwelt isolieren, sind damit auch Kommunikativ abgeschnitten. Die Kommunikation über WhatsApp untereinander und zu Kunden und Lieferanten per @web.de Adressen sollte vermieden werden. Die lässt sich ebenfalls, z.B. durch die Vorbereitung eines Microsoft 365 Notfalltenants sicherstellen. Zudem ist es oftmals sehr hilfreich, wenn man einen externen virtuellen „War-Room“ zur Verfügung hat, in dem die IT schnellst möglich handlungsfähig werden kann.

Wiederherstellung professionell begleiten lassen

Sobald die Forensik grünes Licht gibt und ein brauchbares Backup identifiziert wurde, kann mit einer umfassenden Wiederherstellung begonnen werden. Diese sollte von IT Security Spezialisten begleitet werden, da man ja nicht zu dem reinen Status-Quo vor der Kompromittierung zurückkehren möchte – schließlich hat dieser seine Verwundbarkeit eindrucksvoll gezeigt. Der Aufbau von Quarantäne-Netzabschnitten, die Einrichtung einer Daten-Waschstraße oder das Aufbringen einer aktuellen EDR-Lösung bedarf einer guten Koordinierung und sauberer fachlicher Bewertung.

Krisenkommunikation

Eine gute Kommunikation ist ein wichtiger Baustein eines jeden Krisenmanagement und der Schlüssel zur internen und externen Wahrnehmung. Krisenkommunikation und Krisenmanagement erfordern häufig schnelles, aber überlegtes Handeln. Oberstes Gebot sind dabei sind Ehrlichkeit und Transparenz nach innen und außen. Sie entscheiden häufig über die Langzeitfolgen eines Vorfalls allein aufgrund der Wahrnehmung und ob ein Vorfall eine Randnotiz bleibt oder zur Schlagzeile wird.

Tipps zu einer guten Krisenkommunikation haben wir bereits in einem eigenen Post zusammengefasst. Sprechen Sie dazu auch unsere Experten für Krisenkommunikation an.

Nach dem Vorfall ist vor dem Vorfall

Nach einem Vorfall ist es wichtig, eine Lektion aus den Ereignissen zu ziehen und den eigenen Notfallplan nötigenfalls anzupassen. Wenn der nächste Vorfall auf dieselbe Ursache zurückzuführen ist, dann wurden hier entscheidende Lektionen nicht gelernt.

In den meisten Fällen, in denen Fachleute einen Vorfall im Nachhinein aufgearbeitet und einen Zeitstrahl der Ereignisse erstellt haben, stellt sich heraus, dass der Vorfall mit hoher Wahrscheinlichkeit verhinderbar gewesen ­wäre. Und selbst in den Fällen, in denen er nicht verhinderbar gewesen wäre, hätten die Auswirkungen wesentlich weniger dramatisch ausfallen können. Es dreht sich wie so oft hier auch wieder um die rechtzeitige Verfügbarkeit von Informationen an der richtigen Stelle und wie mit diesen Informationen verfahren wird.

Dabei sind es nicht einmal ausgefeilte und maßgeschneiderte Angriffswerkzeuge, die hier zum Einsatz kommen. Angreifer bedienen sich vielfach auch der vorhandenen Infrastruktur und Softwarelandschaft, um zum Ziel zu kommen. Daraus ergeben sich charakteristische Muster, die sich detektieren lassen und die sehr zuverlässig auf illegitime, maliziöse Aktivitäten hinweisen. Und um diese herauszufiltern, benötigt es noch nicht einmal einen großen Invest. Denn die meisten Informationen finden sich in den Log­daten, die kritische Server sowieso generieren. Diese zielgerichtet zum Tragen zu bringen, ist nicht weiter schwer und auch nicht sehr kostspielig, im Unterschied zum Aufbau eines neuen SIEM oder gar eines SOC, der sich über Jahre hinweg ziehen kann und der große Summen Geld verschlingt.

Eine Lösung kann ein managed SIEM oder auch ein eigenes Security Monitoring sein, das von einem Dienstleister betreut wird.