Wie Unternehmen einen Ransomware-Angriff überleben können
Wenn auf dem Desktop plötzlich eine Textdatei mit einer Erpressernachricht erscheint, läuft die Uhr. Schnell zeigt sich, wer gut vorbereitet ist und wer untergeht. Hier verraten wir sieben Tipps, die dem Ernstfall Ransomware-Angriff den Schrecken nehmen. Das Beste daran: Die meisten davon kosten keinen Cent.
Eine Szenerie, wie sie sich bereits in zahllosen Unternehmen abgespielt hat: Die ersten Mitarbeitenden kommen an einem typischen Montagmorgen zur Arbeit ins Büro. Nachdem der Kaffee aufgesetzt ist, stellt der Erste fest, dass sich ein Dokument mit einem Angebot für einen Kunden nicht öffnen lässt. Schnell häufen sich Berichte dieser Art: Eine Kollegin aus der Geschäftsleitung kann eine Excel-Tabelle nicht mehr öffnen und ein Außendienstmitarbeiter beschwert sich, dass er an keine seiner Kontaktlisten kommt.
Im Mittelpunkt eines Wirbelsturms
Innerhalb von Minuten steht fest: Eine Ransomware hat weite Teile des Netzwerkes lahmgelegt. Für das IT-Team ist der Wochenbeginn gleichzeitig Auftakt zu einem Rennen um das
Überleben des Unternehmens. Meldungen genervter Kolleg:inn:en aus Vertrieb, Buchhaltung und Geschäftsleitung überschlagen sich. Hier die Übersicht zu behalten, fällt schwer. Auf jedem Desktop im Unternehmen liegt eine Textdatei, die jeglichen Zweifel ausräumt. Der Inhalt ist unmissverständlich: Alle Dateien im Netzwerk seien verschlüsselt und um wieder Zugriff zu erhalten, solle jemand aus dem Unternehmen Kontakt zu einer bestimmten Mailadresse aufnehmen. Unterdessen steht plötzlich der Geschäftsführer in der Tür und will wissen, wann wieder normal gearbeitet werden kann. Damit ist die Szene komplett und das Chaos auch. Wie geht es jetzt weiter?
Besonnenes Handeln ist nun von großer Wichtigkeit. Überhastete Aktionen können hier mehr schaden als nutzen. In einer Akutsituation sind die folgenden Dinge entscheidend.
1. Ruhe bewahren
In einer solchen Situation darf man nicht dem Adrenalin das Ruder überlassen. Die Umstände machen es einem nicht einfach – Leute aus allen nur erdenklichen Richtungen stürmen auf einen ein und wollen ihr individuelles Problem sofort gelöst haben. Einzelne überbieten einander mit über Kritikalität und Dringlichkeit (und manchmal auch mit bloßer Lautstärke), in der Hoffnung, schneller an die Reihe zu kommen. Das ist normal – und darf hier keine Rolle spielen. Ab sofort sind die Verantwortlichen im Krisenmodus, wo harte und bisweilen unpopuläre Entscheidungen ins Haus stehen. Der Normalbetrieb, in dem normale Probleme auf normale Art gelöst werden, ist bis auf Weiteres ausgesetzt.
Wer am lautesten schreit, bekommt nicht automatisch die größte Aufmerksamkeit. Es ist wie in einer Triage mit einer großen Anzahl an Verletzten nach einem großen Schadensereignis. Wer schreit, ist nicht bewusstlos, hat Puls und atmet noch – ist also erst einmal nicht in unmittelbarer Lebensgefahr. Die wirklich schweren Fälle sind meistens stumm oder sagen zumindest nicht viel – hier müssen alle Kräfte zuerst zum Einsatz kommen. Dass Menschen, die laut um Hilfe schreien, in so einem Fall erst einmal ignoriert werden, wirkt für Außenstehende unmenschlich und kalt – ist aber hier erst einmal das einzig Richtige.
2. Übersicht behalten
So wie in jedem Science-Fiction-Film der kommandierende Offizier nach jedem Torpedotreffer „Schadensbericht!“ ruft, muss schnell feststehen, was alles etwa von einem Ransomware-Angriff betroffen ist. Ebenso wichtig ist es, zu etablieren, was alles NICHT betroffen ist und noch funktioniert. Können Nutzer:innen sich noch normal anmelden? Sind eventuell vorhandene virtuelle Maschinen (VM) betroffen oder funktionieren diese noch? Von welchen Anwendungen oder Dateien ist gesichert, dass sie betroffen sind? Wie aktuell sind die Backups? Antworten auf diese Fragen können einen ersten Eindruck vermitteln, wie schlimm der Schaden tatsächlich ist. Dafür muss aber überhaupt erst einmal bekannt sein, was alles an Komponenten im Netzwerk vorhanden und was davon absolut unternehmenskritisch ist. Das klingt lapidar, ist jedoch einer der größten Stolpersteine auf dem Weg zu einer geeigneten Reaktion. Hier braucht es vor allem eine Teamleitung, die den einzelnen Teammitgliedern den Rücken freihält, damit sie ihre Arbeit machen können.
3. Kommunizieren
Gerade vor der eigenen Belegschaft lässt sich ein weitreichender IT-Sicherheitsvorfall kaum verbergen. Daher ist es wichtig, sofort alle Mitarbeitenden mit Informationen abzuholen. So lassen sich Gerüchte vermeiden und Falschinformationen schnell einfangen. Dazu muss eine Stabsstelle eingerichtet werden – nur diese darf Auskünfte nach innen oder außen kommunizieren. Es müssen nicht immer „perfekte“ Informationen sein. Diese zu generieren, kostet Zeit – ein Luxus, den man in dieser Situation sehr wahrscheinlich nicht haben wird. Wer frühzeitig kommuniziert, kann das Anfrageaufkommen reduzieren und gleichzeitig die Informations- und Gesprächshoheit behalten. Wenn alle wissen, dass es ein Problem gibt und die IT bereits daran arbeitet, erledigen sich viele Anfragen von selbst. Zeitangaben sind hier ebenfalls hilfreich, etwa in der Art von „Wir haben derzeit ein technisches Problem. Wir arbeiten daran, können aber derzeit noch nicht abschätzen, wann das Problem beseitigt sein wird. Zwischen XX und YY Uhr melden wir uns mit weiteren Informationen“. Gleiches gilt auch für die externe Kommunikation. Zugleich muss aber sichergestellt sein, dass keine Informationen nach außen dringen, die (noch) nicht für die Öffentlichkeit bestimmt sind – etwa in Form von Posts auf den privaten Social-Media-Kanälen der Mitarbeitenden.
4. Delegieren
Ein dramatischer Zwischenfall wie eine Ransomware-Infektion wächst einer IT-Abteilung schnell über den Kopf. Einerseits hat natürlich die Wiederaufnahme des Produktivbetriebes Priorität – andererseits ist Schadensbegrenzung ebenfalls das Gebot der Stunde, ebenso wie eine Untersuchung, wie es überhaupt zu dem Vorfall kommen konnte. All diese Bedürfnisse sind legitim, aber stehen teilweise im Widerspruch zueinander. Koordination ist hier dringend erforderlich. Diese kann auch durch externe Dienstleistungsunternehmen erfolgen, die auf solche Fälle spezialisiert sind. Es ist keine Schande zu delegieren. Die Bewältigung dieser Krise ist kein Alleingang und braucht erst recht keine Helden.
Wenn es um die externe Kommunikation geht, dann ist oft Personalstärke gefragt, um etwaige eingehende Anfragen anzunehmen oder Bestellungen manuell zu erfassen, sofern möglich. Hier könnten Unternehmen auch diejenigen Mitarbeitenden mit einspannen, deren Systeme von der Attacke betroffen sind und die gerade sowieso nicht normal arbeiten können.
Fakt ist: Wer sich unvermittelt in einem Sicherheits-Incident wiederfindet, muss zunächst einmal Mangelverwaltung betreiben, bis mehr Ressourcen verfügbar sind.
5. Konsolidieren
Ungeklärte Zuständigkeiten sind ein wesentlicher Faktor, die die Reaktion auf einen Sicherheitsvorfall verzögern können. Sofern Zuständigkeiten für Notfälle nicht im Vorhinein festgelegt sind, muss dies nun ad hoc passieren. Sollte es erforderlich werden, bestimmte unternehmenskritische Systeme vom Netz zu nehmen, dann muss diese Entscheidung oft schnell getroffen werden, ohne Zeit für Überlegungen, wer sie treffen kann oder darf. Und wer auch immer die Entscheidungsgewalt erhält, muss diese unangefochten haben. Entscheidungen müssen final sein, ohne Raum für Diskussionen mit anderen Bedürfnisträgern innerhalb des Unternehmens.
6. Sortieren
Bereits während eines Incidents ergeben sich Erkenntnisse über dessen Hergang. Wichtig ist, dass diese Informationen auf keinen Fall verloren gehen. Zwar lassen sich hier noch nicht unbedingt sofort neue „Lessons learned“ ableiten, aber es ist von größter Wichtigkeit, Informationen zunächst zu sammeln. Diese werden im Nachgang wichtig werden.
Ebenso entscheidend ist, dass keiner der Mitarbeitenden auf eigene Faust versucht, Dinge zu reparieren. So gut das auch im Einzelfall gemeint sein mag, kann sich ein fehlgeschlagener Reparaturversuch bitter rächen – etwa, indem er unbeabsichtigt Spuren vernichtet, die für eine Aufklärung wichtig sind. Ebenso fatal wäre es, unstrukturiert Systeme wieder in den Produktivbetrieb zu überführen. Schlimmstenfalls führt das zu einem erneuten Ausbruch einer Infektion, die eigentlich bereits eingedämmt war.
7. Lektionen lernen
Der vielleicht wichtigste Teil eines Incidents ist, aus ihm zu lernen. Selbst wenn wir von einem idealen Szenario ausgehen, bei dem keine Daten verloren gegangen sind, alle Datensicherungen erfolgreich wiederhergestellt werden konnten und die Ausfallzeit minimal war: Auch hier lassen sich für die Zukunft wertvolle Lektionen lernen, die künftige ähnlich gelagerte Vorfälle verhindern oder zumindest unwahrscheinlicher machen können. Hier muss neben der internen IT-Abteilung und involvierten Dienstleistern auch die Geschäftsführung mit involviert sein – nur so ist sichergestellt, dass alle denselben Informationsstand haben und basierend darauf Entscheidungen über neue oder erweiterte Sicherheitsmaßnahmen treffen können. Das schlechtmöglichste Ergebnis ist, zu sagen „Hat doch alles gut funktioniert – zurück zur Tagesordnung“. Wohl gemerkt: Dies wäre unter den glimpflichen möglichen Ausgängen eines Incidents der ungünstigste. Sind Dinge gravierend schiefgelaufen, versteht es sich von selbst, dass hier Handlungsbedarf besteht. Diese Erkenntnis ist glücklicherweise eine, die sich immer weiter durchsetzt.
Fazit
Wie bereits in der Einleitung geschrieben: Viele wirksame Sicherheitsmaßnahmen kosten nicht einen Cent an zusätzlichem Invest, weil sie sich mit vorhandenen Mitteln umsetzen lassen. Wer jedoch stur ist und keine Lehren aus einem Incident zieht oder ziehen will, bekommt schlimmstenfalls keine weitere Chance dazu – bereits der nächste Zwischenfall kann für ein Unternehmen das Aus bedeuten. Dann sind diese Überlegungen ohnehin müßig.
Tim Berghoff ist Security Evangelist bei der G DATA CyberDefense AG.