Wie ein erprobter Incident-Response-Plan Schäden minimiert und DSGVO-Compliance sicherstellt
Ransomware-Gruppen agieren immer professioneller und nehmen Unternehmen jeder Größe ins Visier. Vom Krankenhaus über Schulen bis hin zu kritischen Infrastrukturen, keine Organisation ist sicher. CISOs müssen deshalb auf den Ernstfall vorbereitet sein, um im Schadensfall schnell und gezielt reagieren zu können.
Der Incident-Response-Plan als Schlüsselfaktor
Ein strukturierter Vorfallsreaktionsplan leitet das Incident-Response-Team im Ernstfall an. Er sollte regelmäßig geübt werden, damit alle Beteiligten unter Zeitdruck effizient handeln können. Fehlt ein eigener Plan, kann externe Unterstützung wie unser Incident Response Team sofort helfen, Schäden einzudämmen und Systeme schnell wiederherzustellen.
Sofortmaßnahmen zur Eindämmung
Bei Erkennung einer Ransomware-Attacke gilt es, die Ausbreitung sofort zu stoppen.
- Netzwerkisolation: Trennung betroffener Systeme, ggf. Blockierung des Datenverkehrs auf Firewall-Ebene oder temporäre Trennung vom Internet
- Geräteisolation: Abtrennen einzelner Geräte vom Netzwerk, Nutzung von EDR-Lösungen, um Prozesse in Echtzeit zu blockieren
Ransomware-Variante und Erstzugriff identifizieren
Das Erkennen der genutzten Schadsoftware liefert Hinweise auf mögliche Entschlüsselungstools. Ebenso wichtig ist die Ermittlung des Erstzugriffs, um das Einfallstor zu schließen, häufig sind dies kompromittierte Anmeldedaten oder ausgenutzte Schwachstellen in extern erreichbaren Diensten.
Schadsoftware und Datenexfiltration erkennen
Neben der Verschlüsselung werden oft Daten exfiltriert, um zusätzlichen Druck auf das Opfer auszuüben. CISOs sollten Anzeichen ungewöhnlicher Datenübertragungen oder Kommunikation mit Command-and-Control-Servern prüfen.
Backups sichern und prüfen
Da Angreifer gezielt Backups angreifen, müssen diese auf Integrität geprüft werden. Befinden sich Angreifer schon länger im Netzwerk, könnten auch Sicherungen kompromittiert sein.
Systeme bereinigen oder neu aufsetzen
Wenn sichergestellt ist, dass keine Malware mehr aktiv ist, können Systeme bereinigt werden. Ist dies nicht zweifelsfrei möglich, ist das Neuaufsetzen in einer sauberen Umgebung der sicherste Weg.
Meldepflichten und Kommunikation
Nach DSGVO Art. 33 muss innerhalb von 72 Stunden eine Meldung an die zuständigen Behörden erfolgen. Falls eine Cyberversicherung besteht, muss der Vorfall ebenfalls unverzüglich gemeldet werden.
Umgang mit Lösegeldforderungen
Die Zahlung von Lösegeld wird von Behörden nicht empfohlen. Sollte dennoch gezahlt werden, ist dies nur unter Einbeziehung erfahrener Experten ratsam. Unabhängig davon müssen alle Schwachstellen, die zum Angriff führten, umgehend behoben werden.
Fazit
Ein durchdachter Incident-Response-Plan ist die wichtigste Waffe im Kampf gegen Ransomware. Unternehmen, die noch keinen Plan haben, sollten nicht warten, die ITanic GmbH bietet Incident-Response-Services, um im Ernstfall sofort zu handeln und Ausfallzeiten zu minimieren.
