Was tun bei einer Ransomware-Attacke?

In 5 Schritten zur Notfall-Strategie

Bild: ©Gorodenkoff/stock.adobe.com

Die Corona-Krise hat dazu geführt, dass IT-Transformationen in Unternehmen in kürzester Zeit durchgeführt werden mussten. Für einige Unternehmen war und ist die Umstellung auf Homeoffice und Cloud-Computing eine unbekannte Situation, die zudem neue Angriffsflächen für Ransomware-Attacken und Hacker schafft. Kommt es zu einem Angriff, so ist Strategie gefragt. Denn ohne Strategie zur Datensicherung und -wiederherstellung kann dies für Unternehmen zu einem geschäftskritischen Datenverlust führen. Im Folgenden finden IT-Verantwortliche eine 5-Schritte-Anleitung zur Entwicklung einer Strategie bei Ransomware-Angriffen:

1. Einen Plan erstellen

Bei einem laufenden Angriff durch Ransomware ist es oft schon zu spät für Ad-Hoc-Maßnahmen. Ein Plan für den Ernstfall ist die Grundlage für eine möglichst schnelle Wiederaufnahme des täglichen Betriebs. Für die Entwicklung einer Disaster-Recovery-Strategie ist es zunächst wichtig, kritische Anwendungen und Daten zu identifizieren. Wurden diese priorisiert, können sich IT-Verantwortliche auf die Daten konzentrieren, die im Falle eines Verlusts zuerst wiederhergestellt werden müssen. Anschließend sollten die Ziele für die Wiederherstellungszeit festgelegt werden. Zudem sollte bestimmt werden, welche externen und internen Fachkräfte an der Data Recovery beteiligt sind und wie diese benachrichtigt werden sollen.

2. Mögliche Angriffe verhindern

Angriffe die verhindert werden können, sparen Zeit und Geld. Ein wichtiger Ansatz dafür ist die Wachsamkeit der Benutzer. Denn ein Großteil der Malware gelangt durch User-Aktionen ins Firmennetzwerk. Die Schadsoftware gelangt etwa per E-Mail ins Unternehmen und wird durch öffnen des Anhangs von Mitarbeitern durch die Firewall gelassen. Mitarbeiter sollten daher prüfen, ob es sich beim Absender um eine vertrauenswürdige Quelle handelt. Zudem bietet sich das Scannen nach Malware an. Weiter gilt, Updates und Patches sollten rechtzeitig eingespielt werden, sowie privilegierte Accounts besonders abgesichert sein. Eine Möglichkeit dazu ist beispielsweise die Multifaktor-Authentifzierung.

3. Die Umgebung überwachen

Um einen Angriff so schnell wie möglich zu erkennen und seine Folgen zu minimieren, muss die Systemumgebung überwacht werden. Dazu werden die Server nach Anomalien, wie ungewöhnliches Filesystem-Verhalten, durchsucht. Dafür werden aktuelle Daten mit historischen verglichen. Sogenannte ‚Honeypot Files‘ gehen bei der Erkennung noch einen Schritt weiter. Dabei handelt es sich um für Ransomware besonders attraktive Dateien, die als Köder über die gesamte Infrastruktur hinweg ausgelegt werden. So können Ransomware-Angriffe enttarnt werden, bevor geschäftskritische Dateien angegriffen werden.

Seiten: 1 2 3