Schritt 3: Das Unternehmen schützen
In Anbetracht dieser hohen Kosten und den nicht monetären Folgeschäden sollten Unternehmen und Organisationen nicht nur reaktiv auf Ransomware reagieren, sondern präventive Maßnahmen aktiv einleiten. Folgende Schritte helfen, sowohl die Wahrscheinlichkeit einer Attacke zu reduzieren und auch den Schaden im Falle eines Angriffs zu verringern:
Drei wichtige aktive Maßnahmen:
- Einen Notfallplan erstellen, um im Falle eines Angriffs schnell und koordiniert handeln zu können. Das SANS Incident Handler’s Handbook und der Incident Response Guide von Sophos können bei der Planerstellung sehr hilfreich sein. Beide enthalten ausführliche Abschnitte zur Vorbereitung.
- Erstellen von regelmäßigen und möglichst häufigen Backups der Daten. Mindestens eine Kopie dieser Datensicherungen sollte off-line beziehungsweise extern gelagert sein.
- Für einen mehrstufigen Schutz auf so vielen Endgeräten wie möglich sorgen.
- Die Anti-Ransomware-Technologie mit einem aktiven Threat-Hunting-Team koppeln, um die Vorteile beider Schutzmaßnahmen für ein bestmögliches Frühwarnsystem zu vereinen.
Fünf reaktive Maßnahmen im Falle einer Attacke:
- Aktivieren von Plänen für den Notfall und die Betriebsweiterführung.
- Infizierte Geräte vom Netzwerk isolieren, anstatt das gesamte Netzwerk abzuschalten. Denn das könnte forensische Beweise des Angriffs löschen, die zur Nachuntersuchung hilfreich sind.
- Relevante Unternehmensabteilungen einbeziehen. Ransomware ist nicht nur eine Angelegenheit für das IT-Team: auch die Kommunikations- und Rechtsabteilung sowie die Versicherung müssen ins Bild gesetzt werden, so dass sie sich gemeinsam absprechen können. Das gilt auch für spezialisierte Anbieter und Security Operations Center (SOCs), mit denen das Unternehmen zusammenarbeitet.
- Backups und die Kommunikation offline halten. Insbesondere das Absprechen über das weitere Vorgehen sollte vis-a-vis oder per Telefon erfolgen, denn wenn die Kriminellen E-Mail und Nachrichten-Apps überwachen, bleiben ihnen keine Details des Notfallplans verborgen.
- Ein letzter Tipp: kein Lösegeld bezahlen. In einer verzweifelten Situation wie bei einer Ransomware-Attacke erscheint die Lösegeldzahlung als der einfachste und schnellste Weg, um das Problem zu lösen. Aber: der Freikauf erhöht nur den Anreiz für mehr Ransomware-Angriffe. Im Übrigen zahlt es sich für die Opfer nicht aus – im Durchschnitt bekommen Organisationen nach einer Lösegeldzahlung nur rund 65 Prozent ihrer Daten wieder. Wer in Backups investiert hat, sollte sich die Erpressungssumme sparen und sich auf Backups zur Wiederherstellung der Dateien verlassen. Das garantiert volle Restauration der Dateien beim Opfer und den Entzug weiterer Mittel für den nächsten Ransomware-Angriff bei den Tätern.
Für Organisationen und Unternehmen ist es sinnvoll, sich mit dem Gedanken vertraut zu machen, dass sie mit hoher Wahrscheinlichkeit einmal Ransomware-Opfer werden. Erst dann ist es keine vage, abstrakte Situation mehr, die nur jemand anderen betrifft. Sollte ein Angriff geschehen, dann dürfen Organisationen nicht unvorbereitet sein. Das Bewusstsein, jederzeit in diese kritische Lage zu kommen, regt proaktive und defensive Maßnahmen an.
www.sophos.de