Erste Cyberhilfe

Cyberangriffe können jeden treffen. Ein wichtiger Bestandteil der Cyberprävention ist es daher, sich auf mögliche Attacken auf die IT-Infrastruktur einzustellen und entsprechende Vorbereitungen zu treffen. Denn wenn die Systeme erst einmal verschlüsselt sind, ist es zu spät. Nur wer überlegt und gezielt handelt, kann größeren Schaden verhindern und einen Super-GAU im eigenen IT-Betrieb vermeiden. Die im Flyer enthaltenen Schritte dienen als Ansatzpunkte für Maßnahmen, wenn das eigene Netzwerk angegriffen wird und Systeme durch Ransomware verschlüsselt sind. Auf www.lda.bayern.de gibt es weitere hilfreiche Tipps, die insbesondere auch den Datenschutz in solchen Situationen im Blick behalten. Zudem finden Sie dort Links zu anderen Sicherheitsbehörden, die zu diesem Thema Veröffentlichungen anbieten.

Die zentralen Punkte zur Reaktion bei Ransomware sind in einem kompakten Flyer zusammengefasst, den Sie hier herunterladen können:

Ransomware ist auch nur eine Software

Ransomware-Attacken machen mittlerweile einen nicht unbedeutenden Anteil der beim BayLDA eingereichten Meldungen über Datenschutzverletzungen aus. Dabei handelt es sich um Sicherheitsvorfälle, bei denen Systeme der betroffenen Verantwortlichen angegriffen, die gespeicherten Daten verschlüsselt und die Opfer dadurch zu einer Lösegeldzahlung erpresst werden. Die Verfügbarkeit der für die tägliche Arbeit erforderlichen Systeme und Dienste ist in diesen Fällen gewöhnlich nicht mehr oder zumindest nicht mehr vollständig gegeben, sodass Produktionen und Abläufe nur noch stark eingeschränkt funktionieren oder komplett stillstehen.
Nicht selten führen diese Art von Cyberattacken zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen, häufig zudem zu einem enormen wirtschaftlichen Schaden für die angegriffene Organisation. Lösegeldforderungen im Millionenbereich sind hierbei keine Seltenheit mehr – die Täter sind sich der Notlage der Betriebe durchaus bewusst. Alleine in Bayern konnte das BayLDA in den Jahren 2020 bis 2022 zahlreiche Cyberattacken mit Größenordnungen dieser Art registrieren. Während früher alleine die Verschlüsselung der Daten das Markenzeichen dieser Angriffe war, stellen heutzutage auch die Datenausleitung und die Veröffentlichung dieser Daten eine große Herausforderung für angegriffene Betriebe dar. Selbst wenn in solchen Fällen durch Backups und andere Vorkehrungen eine Wiederaufnahme des Betriebs möglich sein sollte, sind die Daten unwiderruflich in Hände von Kriminellen gelangt, die gezielt damit Lösegeld erpressen oder andere missbräuchliche Absichten verfolgen. Reaktionsmaßnahmen können zwar helfen, wirtschaftliche Schäden im Angriffsfall einzudämmen – datenschutzrechtlich bleiben solche Attacken allerdings eine Katastrophe.

Ob eine Ärztin, die die Daten ihrer Patientinnen und Patienten verliert, eine Rechtsanwaltskanzlei, deren Mandantendaten veröffentlicht werden oder auch ein gewöhnlicher Online-Shop, dessen Kundendaten inklusive Passwörter und Zahlungsinformationen blank im Internet landen – all das gehört zum Alltag. Selbst bei reinen Produktionsbetrieben, bei denen womöglich Wirtschaftsspionage oder die Manipulation von Geschäftstransaktionen im Vordergrund stehen können, haben durch den reinen Vertraulichkeitsverlust der Daten bei Ransomware-Vorfällen Schwierigkeiten, Schäden effektiv gering zu halten. Auf Grund der beschriebenen fatalen Auswirkungen sind solche Attacken also bestenfalls gänzlich zu vermeiden.

Cyberprävention hilft aktiv dabei, das über die eigene IT-Infrastruktur ausgeworfene Schutznetz engmaschiger zu machen und den Ransomware-Gruppierungen das Geschäftsmodell zu erschweren. Die im nachfolgenden Bereich beschriebenen Maßnahmen sollen dazu ermutigen, frühzeitig diesen Schritt zu gehen und sich damit angemessen vorzubereiten.

Derzeit befindet sich dieser Bereich noch im Aufbau. Weitere Inhalte werden demnächst an dieser Stelle veröffentlicht.

#1 Handeln Sie strukturiert und effektiv im Team

Auch wenn die Zeit drängt und schnelles Handeln erforderlich ist: Bei einer Infektion mit Ransomware ist es wichtig, überlegt zu agieren. Verschaffen Sie sich zunächst einen Überblick über die Situation. Richten Sie hierzu ein interdisziplinäres Krisenteam ein und dokumentieren Sie detailliert die Vorkommnisse sowie alle ergriffenen Reaktionsmaßnahmen. Vorhandene Notfallpläne auf Papier helfen Ihnen, einen kühlen Kopf zu bewahren und die richtigen Schritte einzuleiten. Sollte Ihnen zum Teil das Fachwissen fehlen oder Sie sich durch die Situation überfordert fühlen, ist es ratsam, einen spezialisierten Dienstleister einzuschalten.

#2 Lokalisieren und isolieren Sie die befallenen Systeme

Oft sind mehrere Clients und Server infiziert: Finden Sie heraus, welche Abschnitte und Systeme Ihres Netzwerkes konkret befallen sind. Führen Sie aktiv Virenscans durch, um Bedrohungen aufzuspüren.Protokolldateien helfen Ihnen, Auffälligkeiten im Netzwerk, bei DNS-Auflösungen oder in Firewalls zu erkennen. Sobald infizierte Systeme gefunden wurden, sollten diese schnellstmöglich isoliert und deren Kommunikationsmöglichkeiten (z. B. LAN, WLAN, Bluetooth, USB) getrennt werden. Prüfen Sie zudem alle Administratorenkonten hinsichtlich Legitimität und Kompromittierung, um eine weitere Ausbreitung der Ransomware zu verhindern.

#3 Suchen und schließen Sie das Einfallstor der Cyberattacke

Um Ihre Systeme vor der akuten Bedrohung zu schützen, ist es wichtig, die Ursache des Angriffs schnellstmöglich aufzuspüren. Die häufigsten Einfallstore bei Ransomware-Attacken sind erfolgreiche Phishing-Kampagnen oder die Ausnutzung bestehender Sicherheitslücken auf Grund veralteter Patch-Stände. Suchen Sie deshalb nach ausgenutzten Schwachstellen und vorhandenen Angriffspunkten. Eine später notwendige Datenwiederherstellung und die Wiederaufnahme des Betriebs können nur auf gehärteten Systemen sicher ablaufen, bei denen das Einfallstor der Cyberattacke geschlossen wurde.

#4 Bestimmen Sie die Ransomware-Variante

Finden Sie anhand der Lösegeldforderung, der Dateiendung der verschlüsselten Daten oder mit Hilfe von seriösen Online-Diensten heraus, um welchen Ransomware-Typ es sich handelt. Danach können Sie prüfen: Gibt es freie Entschlüsselungstools? Wie gehen die Täter im Regelfall vor? Welche möglichen Konsequenzen drohen (z. B. Veröffentlichung der abgezogenen Daten auf einer Leak-Page im Darknet)? So können Sie das Ausmaß besser einschätzen und zielgerichtet auf den Angriff reagieren. Vorsicht: Eine Kontaktaufnahme oder gar Zahlung des Lösegeldes an die Angreifer birgt weitere Gefahren und sollte vermieden werden.

#5 Bewerten Sie das Risiko für die betroffenen Personen

Nachdem Sie sich ein erstes Bild vom Schadensausmaß machen konnten, ist es Ihnen möglich abzuschätzen, welche personenbezogenen Daten von dem Vorfall betroffen sind. Bei Ransomware ist es mittlerweile sehr wahrscheinlich, dass die Daten vor der Verschlüsselung auch – zumindest teilweise – ausgeleitet wurden. Eine vorläufige Risikoeinschätzung für die betroffenen Personen sollte somit frühzeitig erfolgen, um gerade bei einem drohenden hohen Risiko angemessen zu reagieren. Denken Sie zudem an die interne Kommunikation gegenüber Ihren Beschäftigten, die vom Vorfall in unterschiedlichem Ausmaß betroffen sein können.

#6 Setzen Sie die infizierten Systeme neu auf

In der Regel hilft bei einem Befall mit Ransomware nur das Neuaufsetzen der betroffenen Systeme, da eine Bereinigung von Schadcode nicht oder nur sehr schwer möglich ist. Zudem könnten mögliche Backdoors ansonsten schnell übersehen werden. Alle neuaufgesetzen Systeme, die wieder in das Netzwerk integriert werden sollen, sind mit aktuellen Sicherheitsupdates zu versorgen. Ein besonderes Augenmerk ist dabei auf das Active Directory zu richten: Denken Sie daran, Administratoren-Passwörter zu ändern und das AD zu säubern. Je nach Schadensausmaß kann auch das Neuaufsetzen deskompletten AD notwendig sein.

#7 Starten Sie die Wiederherstellung der Daten

Funktionierende Backups sind der Schlüssel zur Bewältigung eines Ransomware-Angriffs. Prüfen Sie unbedingt vor einer Wiederherstellung der Daten, ob die Backups nicht ebenfalls kompromittiert wurden. Können Sie keine Backups einspielen – da fehlerhaft, infiziert oder grundsätzlich nicht vorhanden -, kann vereinzelt mit viel Glück auf ein freies Entschlüsselungstool zurückgegriffen werden, z. B. von www.nomoreransom.org. Bleiben auch hier die Erfolge aus, besteht abschließend die Option, verschlüsselte Systeme für eine künftige Entschlüsselungsmöglichkeit isoliert aufzubewahren.

#8 Denken Sie an Strafanzeige und Meldung nach Art. 33 DS-GVO

Im Falle eines Ransomware-Angriffes ist fast immer davon auszugehen, dass mindestens ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Kommen Sie daher Ihrer Meldeverpflichtung nach Art. 33 DS-GVO nach und melden Sie den Sicherheitsvorfall über den Online-Service des BayLDA. Ein Ransomware-Angriff stellt zudem eine Straftat dar, welche bei der Zentralen Ansprechstelle für Cybercrime (ZAC) des Bayerischen Landeskriminalamts angezeigt werden kann, um Ermittlungen gegen die Angreifer aufzunehmen. Dieser Schritt ist bei Cybercrime-Delikten im Interesse aller Geschädigten zu empfehlen.