Ransomware-Angriff: Leitfaden für die ersten 60 Minuten

Was ist ein Ransomware-Angriff?

Der Einsatz von Ransomware, zu Deutsch "Erpressungstrojaner", ist inzwischen zur Hauptangriffsmethode geworden.
Im Jahr 2023 wurden bei über 70% der erkannten Angriffe Ransomware eingesetzt (Quelle: Statista).

Wie der Name schon verrät, versuchen Angreifer mit Ransomware Geld zu erpressen.
Dafür gibt es oft mehrere perfide Wege, sogenannte "Single, Double oder Triple Extortion".

Allen Ransomware-Angriffen gemeinsam ist, dass zuerst die Daten auf den infizierten Geräten verschlüsselt werden. Hierbei lässt sich die eingesetzte Malware-Familie oft anhand der verwendeten Dateiendung identifizieren.
Die Ransomware-Familie Akira verwendet zum Beispiel die Dateiendung .akira.

Du sollst nun bezahlen, um deine Daten wieder zu erhalten

Bei einer Double Extortion kommt hinzu, dass die Daten vor der Verschlüsselung gestohlen wurden.

Du sollst nun bezahlen, damit deine Daten nicht veröffentlicht werden

Inzwischen gibt es auch erste Formen von Ransomware, die damit drohen, die Aufsichtsbehörden zu informieren, solltest du nicht zahlen.

Du sollst nun bezahlen, damit niemand davon erfährt, dass du Opfer geworden bist.

Die Bereinigung eines Unternehmensnetzwerkes nach einem Ransomware-Befall kann Wochen oder sogar Monate dauern.
Im Fall des Landkreises Anhalt-Bitterfeld dauerte die Wiederherstellung der wichtigsten Prozesse über ein Jahr.
Dieser Fall wurde sehr spannend im Podcast "You are fucked! Deutschlands erste Cyberkatastrophe" aufbereitet.

Die ersten 5 Minuten – Realisierung

Ruhe bewahren, Panik ist dein größter Feind

• Fluchen ist erlaubt. Heute ist ein beschissener Tag und der darf auch benannt werden.
• Durchatmen. Ein oder zwei mal tief durchatmen hilft. Das hier wird kein Sprint sondern ein Marathon.
  Die nächsten Stunden, Tage, Wochen, ggf. sogar Monate, werden anstrengend.
  Das Atmen hilft auch gegen die Panik, die nun dein schlimmster Feind ist.
• Ruhe bewahren. In Panik entstehen Fehler. Diese können es Angreifern deutlich vereinfachen.
  Die meisten Mitarbeiter in der IT, haben noch nie eine Ransomware-Infektion miterlebt.
  Durch die Erfahrung von externen Incident Response Dienstleistern, lassen sich Fehler verringern.

Minute 5–15 – Containment

Backup sofort sichern

Bei physischen Backupservern

Trenn die Verbindung. Im Notfall schneid das Kabel durch.
Dein Backup ist deine einzige Lebensversicherung.
Alles andere ist ersetzbar, Zeit, Geld, Nerven. Nur dein Backup nicht.

Bei BaaS (Backup as a Service)

Trenn die Verbindung und eventuell vorhandene VPNs zum BaaS-Anbieter.
Log dich am besten mit deinem privaten Handy ins Adminportal ein und kill alle aktiven Sessions.
Resette mindestens ein Adminpasswort. Entscheide dich dann: entweder alle Passwörter zurücksetzen, oder alle nicht zurückgesetzten Accounts sofort deaktivieren.
Halbherzige Lösungen helfen dem Angreifer.

Schreib dir das neue Passwort physisch auf.
Klingt unsicher? Ist es auch, aber Angreifer haben keinen Zugriff auf deinen Notizzettel.

Falls du im Adminportal die Backupjobs stoppen kannst, ist jetzt der richtige Zeitpunkt.
Du willst nicht, dass dein Backup mit verschlüsselten Daten überschrieben wird.

Technische Hilfe holen und Systeme isolieren

• Informiere zunächst nur Kolleg*innen, die dir bei den nächsten Schritten helfen können. Verbreite keine Panik.

Macht Fotos von allem was ihr seht.
Fotos haben einen Zeitstempel und helfen bei der späteren Dokumentation.
Wenn ihr etwas tut von dem ihr kein Foto machen könnt, schreibt auf: WAS ihr WANN und WARUM gemacht habt.

• Trenn die betroffenen Systeme.
  Jedes System, das sich komisch verhält oder auf dem unbekannte Dateien sichtbar sind, wird isoliert.
  Eine Trennung vom Netzwerk ist zunächst ausreichend.
  Fahr die Systeme nicht herunter. Wenn es sich um eine Vielzahl von Systemen handelt oder die Lage unübersichtlich ist, trenn alle Netze.

  Netze Trennen? Am einfachsten durch Herunterfahren der Firewall / Layer3 Switch / Router

Minuten 15–30 – Lagebild

Task-Force bilden

Wenn die ersten Sofortmaßnahmen umgesetzt sind, rufst du die Schlüsselpersonen im Unternehmen zusammen.
Dazu gehören mindestens: Geschäftsführung, die datenschutzverantwortliche Person, Betriebsratsvorsitzende*r (falls vorhanden) und Standortleitungen (falls vorhanden).

Ruf sie auf dem privaten Handy an. Nicht per Teams, nicht per E-Mail.
Angreifer sollten nicht die Möglichkeit haben, heimlich im nächsten Teams-Meeting zu sitzen oder eure E-Mails mitzulesen.

Erstes technisches Lagebild erstellen

In der Zeit, in der du auf die Verfügbarkeit der Task-Force wartest, sprich mit deiner technischen Unterstützung.
Ihr werdet nicht alle Fragen beantworten können, das ist erstmal okay. Beantwortet so viel ihr könnt.
Wichtig sind folgende:

• Welche Systeme sind mindestens betroffen?
• Läuft die Verschlüsselung noch aktiv?
• Habt ihr schon einen C2-Server (Command-and-Control) gefunden?
  Diese Server werden von Angreifern verwendet, um die Ransomware zu steuern. Hier ist die Erfahrung von Incident Response Dienstleistern oft hilfreich.
• Wann war das letzte saubere Backup?

Falls ihr einen ausgedruckten Notfallplan habt, schickt jemanden ihn holen.
Häufig befindet sich so etwas im Tresor.

Minuten 30–60 – Entscheidungen

Cyberversicherung kontaktieren

Ruft eure Cyberversicherung an.
Es werden hohe Kosten entstehen und ihr wollt davon so viel wie möglich erstattet bekommen.
Oft haben diese auch Rahmenverträge mit Incident-Response Dienstleistern und Forensikern.

Diese geben meist auch vor, ob ihr einen Forensiker braucht.
Dieser kann nur effektiv arbeiten, wenn die Systeme noch nicht heruntergefahren wurden.
Ab und zu sind im RAM der betroffenen Geräte noch Entschlüsselungsschlüssel zu finden.

Externe Incident Response Unterstützung anfordern

Setzt euch als Task-Force zusammen. Ihr braucht jetzt die unterschiedlichste Kompetenzen an einem Tisch.

Es gibt viele spezialisierte Incident Response Dienstleister und Forensiker, mit großen, routinierten Teams und echter Expertise. Aber auch mit Preisstrukturen, die für KMUs selten passen: fünfstellige Vorabgebühren bevor jemand ans Telefon geht sind keine Seltenheit.

Falls ihr Unterstützung braucht: über den rote Notfall-Button oben rechts könnt ihr meine Notfallhotline anrufen. Im Erstgespräch, nehmen wir gemeinsam die Lage auf und ich unterstütze euch dabei, ein erstes Lagebild und weitere Schritte zu finden. Ich arbeite ohne teure Vorabpauschalen oder Rahmenverträge.
Meine transparenten Preise findet ihr hier

Gefahrenabwehr und Netzwerktrennung

Entscheidet ob ihr in eurem aktuellen Zustand eine Gefahr für eure Kunden, Dienstleister oder Partner seid.

Falls ja: Trennt alle ein- und ausgehenden Verbindungen. Initial am einfachsten durch die Abschaltung eurer Internetverbindung.
Hier gilt, "Better Safe, than Sorry"

Entscheidet ob ihr Kunden und Partner informiert. Transparenz ist hier oft entscheidend, rauskommen tut es sowieso. Falls ihr informiert, erwähnt auch welche Maßnahmen ihr bereits getroffen habt. Es ist sinnvoll mitzuteilen, was genau man gesehen hat: verdächtige IP-Adressen, C2-Domains etc. Diese Informationen können genutzt werden, um andere Unternehmen zu schützen.

Meldepflichten erfüllen – NIS2, BSI, BaFin, DSGVO

Das Wichtigste vorab, denn das betrifft fast alle: Die DSGVO.
Da bei Ransomware nahezu immer personenbezogene Daten betroffen sind, müsst ihr den Vorfall innerhalb von 72 Stunden an eure zuständige Datenschutzbehörde melden. Dies regelt Art 33. Abs 1 der DSGVO Eure datenschutzverantwortliche Person kennt hier in der Regel die Wege.

Zusätzlich gelten für bestimmte Sektoren spezielle Regeln und Fristen:

• Für KRITIS-Unternehmen gelten besondere Meldewege und Fristen. Details stellt das BSI bereit.
• Für von der BaFin kontrollierte Unternehmen stellt diese eine Anleitung bereit.
• Für NIS2-betroffene Unternehmen stellt das BSI eine Anleitung bereit.
• Alle anderen Unternehmen können das Netzwerk "Allianz für Cybersicherheit" des BSI über dieses Online-Formular informieren. Diese Meldung ist nicht verpflichtend, dient aber der Entwicklung eines aktuellen Lagebildes.

Next Steps

Kommunikation nach außen planen

Plant die Kommunikation nach außen. Presseanfragen kommen schneller als euch lieb ist.
Es gibt spezialisierte Krisenkommunikations-Agenturen. Diese können euch auch als Vorbereitung auf einen möglichen Cyberangriff bereits Vorlagen vorbereiten. Es kann hilfreich sein, solche Anbieter bereits im Vorfeld zu recherchieren. Während eines Vorfalls ist Zeit euer höchstes Gut, da hilft jede Vorbereitung.

Alles dokumentieren

Dokumentiert alles mit Uhrzeit.
Jede Maßnahme, jede Entdeckung, jede Entscheidung. Für die Versicherung, für das BSI, für die spätere Forensik.

Lösegeld nur im äußersten Notfall bezahlen

Dies ist der Elefant im Raum. Die Empfehlungen von Incident-Response Dienstleistern gehen hier weit auseinander. Unsere Sicherheitsbehörden sagen klar: Nein, die Realität sieht oft anders aus.

Der Fokus sollte immer auf einer Wiederherstellung der Daten aus einem Backup liegen.
Wenn allerdings kein Backup vorhanden ist, bleibt leider oft keine andere Wahl.

Für bekanntere Erpressungstrojaner gibt es Decrypter. Das "No More Ransom"-Projekt veröffentlicht diese regelmäßig auf seiner Seite. Sollte noch kein Decrypter für die spezielle Ransomware veröffentlicht worden sein, hilft es regelmäßig rein zu schauen. Oft treten Ransomware Viren in Wellen auf.

Wenn eine Notwendigkeit zur Zahlung besteht, da das Unternehmen ansonsten vor dem Ruin steht, sollte man dieses Thema immer mit der Cyberversicherung sowie mit dem LKA / BKA besprechen.
Ransomwarebanden sind oft kriminelle Vereinigungen und stehen nicht selten auf Sanktionslisten.
Auch Cyberversicherungen haben oft eine Richtlinie, ob und wie Lösegeldzahlungen mitversichert sind oder welchen Einfluss diese auf den Versicherungsfall haben.
Die finale Entscheidung muss immer die Geschäftsführung des betroffenen Unternehmens treffen und niemals der IT-Dienstleister, dieser berät nur.

Das Gerücht, dass das LKA / BKA dann alle Geräte mitnimmt, stimmt in der Praxis nicht.
Für Unternehmen stellt die Polizei eine Liste an Kontaktadressen und Telefonnummern bereit. Privatpersonen wenden sich an ihre örtliche Polizei.

Oft liest man, dass selbst bei Zahlung die Entschlüsselung nicht sicher ist. Ransomwarebanden sind oftmals gut organisiert und ihre "Geschäftstätigkeit" liegt in der Entschlüsselung von gestohlenen Daten gegen Bezahlung, sodass zumindest eine Teil-Entschlüsselung sehr wahrscheinlich ist.

Ransomwarebanden sind ein bisschen wie Verkäufer auf Ebay Kleinanzeigen, der Preis ist oft verhandelbar. Hierfür gibt es spezielle Dienstleister. Wichtig ist es hier, höflich zu bleiben und nicht auf Zeit zu spielen.
Stell dir vor, dass du mit einem neuen Lieferanten verhandelst, nur leider kannst du ihn dir nur nicht aussuchen. Die Seite Ransomware.Live zeigt, dass bis zu 60% Rabatt möglich sein können.

An das Team denken

Dieser Vorfall wird euch zusammenschweißen, ist aber extrem belastend. Jeder geht anders mit Stress um, achtet aufeinander.