Was tun bei einer Ransomware-Attacke?
In 5 Schritten zur Notfall-Strategie
Durch die Corona-Pandemie hat es viele Arbeitnehmer ins Homeoffice verschlagen. Für Unternehmen bedeutet dies, dass die Angriffsfläche für Cyberkriminelle zunimmt. Kommt es zu einem Angriff, sollten Unternehmen wissen was zu tun ist - dabei kann ein Disaster-Recovery-Plan behilflich sein.
Bild: ©Gorodenkoff/stock.adobe.com

Die Corona-Krise hat dazu geführt, dass IT-Transformationen in Unternehmen in kürzester Zeit durchgeführt werden mussten. Für einige Unternehmen war und ist die Umstellung auf Homeoffice und Cloud-Computing eine unbekannte Situation, die zudem neue Angriffsflächen für Ransomware-Attacken und Hacker schafft. Kommt es zu einem Angriff, so ist Strategie gefragt. Denn ohne Strategie zur Datensicherung und -wiederherstellung kann dies für Unternehmen zu einem geschäftskritischen Datenverlust führen. Im Folgenden finden IT-Verantwortliche eine 5-Schritte-Anleitung zur Entwicklung einer Strategie bei Ransomware-Angriffen:

1. Einen Plan erstellen

Bei einem laufenden Angriff durch Ransomware ist es oft schon zu spät für Ad-Hoc-Maßnahmen. Ein Plan für den Ernstfall ist die Grundlage für eine möglichst schnelle Wiederaufnahme des täglichen Betriebs. Für die Entwicklung einer Disaster-Recovery-Strategie ist es zunächst wichtig, kritische Anwendungen und Daten zu identifizieren. Wurden diese priorisiert, können sich IT-Verantwortliche auf die Daten konzentrieren, die im Falle eines Verlusts zuerst wiederhergestellt werden müssen. Anschließend sollten die Ziele für die Wiederherstellungszeit festgelegt werden. Zudem sollte bestimmt werden, welche externen und internen Fachkräfte an der Data Recovery beteiligt sind und wie diese benachrichtigt werden sollen.

2. Mögliche Angriffe verhindern

Angriffe die verhindert werden können, sparen Zeit und Geld. Ein wichtiger Ansatz dafür ist die Wachsamkeit der Benutzer. Denn ein Großteil der Malware gelangt durch User-Aktionen ins Firmennetzwerk. Die Schadsoftware gelangt etwa per E-Mail ins Unternehmen und wird durch öffnen des Anhangs von Mitarbeitern durch die Firewall gelassen. Mitarbeiter sollten daher prüfen, ob es sich beim Absender um eine vertrauenswürdige Quelle handelt. Zudem bietet sich das Scannen nach Malware an. Weiter gilt, Updates und Patches sollten rechtzeitig eingespielt werden, sowie privilegierte Accounts besonders abgesichert sein. Eine Möglichkeit dazu ist beispielsweise die Multifaktor-Authentifzierung.

3. Die Umgebung überwachen

Um einen Angriff so schnell wie möglich zu erkennen und seine Folgen zu minimieren, muss die Systemumgebung überwacht werden. Dazu werden die Server nach Anomalien, wie ungewöhnliches Filesystem-Verhalten, durchsucht. Dafür werden aktuelle Daten mit historischen verglichen. Sogenannte ‚Honeypot Files‘ gehen bei der Erkennung noch einen Schritt weiter. Dabei handelt es sich um für Ransomware besonders attraktive Dateien, die als Köder über die gesamte Infrastruktur hinweg ausgelegt werden. So können Ransomware-Angriffe enttarnt werden, bevor geschäftskritische Dateien angegriffen werden.

4. Daten schnell wiederherstellen

Sollte ein Ransomware-Angriff Erfolg haben, ist es entscheidend, die Angriffsfläche für Ransomware so weit wie möglich zu reduzieren. Dabei greift die Disaster Recovery: Es gilt, angegriffene Bereiche zu isolieren, z.B. durch ein automatisches Ausschalten betroffener virtueller Maschinen, sobald ein Angriff auf diesen festgestellt wurde. Anschließend müssen die Daten möglichst schnell wiederhergestellt werden. Besonders relevant ist es, die intakten Kopien der Daten schnell für Systeme und Benutzer verfügbar zu machen, um den normalen Geschäftsbetrieb sicherzustellen. Hier unterstützen Technologien, die gesicherte Daten ohne langwierige Restore-Pozesse direkt aus dem Backup für die Nutzer bereitstellen. Auch die Nutzung von Hardware-Snapshots kann hier sinnvoll sein.

5. Den Plan testen

Wenn der Plan steht, sollte er regelmäßig getestet werden. Dies ist beispielsweise mit einer virtuellen Testumgebung möglich. Dafür sollte ein Backuptool ermöglichen, virtuelle Maschinen (VM) direkt aus dem Backup heraus in einem gesonderten Netzwerk zu starten. Zudem sollte es die in den VMs laufenden Anwendungen überprüfen können. So muss für den Test der Wiederherstellbarkeit kein langwieriger Restore-Prozess stattfinden.

Zusammenfassung:

Gerade im New Normal und verstärktem Remote-Arbeiten, kann ein Disaster-Recovery-Plan wichtig sein. Eine Notfall-Strategie beinhaltet die Schulung der Mitarbeiter im Umgang mit möglichen Angriffen, sowie eine konsequente Überwachung der Systemumgebung. Sollte es dennoch zu einem Angriff durch Ransomware kommen, ist es wichtig, die Angriffsfläche so weit wie möglich zu reduzieren, entsprechende Bereiche zu isolieren, um die Daten anschließend wiederherstellen zu können. An letzter Stelle gilt es den ausgearbeiteten Plan immer wieder zu testen und gegebenenfalls anzupassen.

Das könnte Sie auch Interessieren

Bild: ISW Institut für Steuerungstechnik der
Bild: ISW Institut für Steuerungstechnik der
Computer Vision 
in der Steuerung

Computer Vision in der Steuerung

Der Ruf nach intelligenten Lösungen für die Produktionstechnik wird immer größer. Bauteile sollen automatisch erkannt und individuell verarbeitet werden. Dabei spielt Computer Vision eine entscheidende Rolle, jedoch fehlt es noch an Lösungen zur steuerungsnahen Ausführung. Wegen der komplexen Rechenvorgänge ist die Ausführung intelligenter Vision-Algorithmen in einer konventionellen Steuerung meist nicht in Echtzeit möglich. Die Lösung? Eine hardwarebeschleunigte Soft-SPS.

Bild: Walter AG
Bild: Walter AG
ISO P-Portfolio mit Wechselplatte ergänzt

ISO P-Portfolio mit Wechselplatte ergänzt

Mit der Wechselplatte P6006 für die Walter Standard-Bohrer D4140, D4240 sowie die Sonder- und Xpress-Familie für Stufenbohrungen D4340 bringt der Werkzeughersteller aus Tübingen einen eigens für unlegierte bzw. niedrig legierte Stähle entwickelten ‚Spezialisten‘ auf den Markt – eine Wechselplatte, die die universell einsetzbare Stahl-Platte P6001 hervorragend ergänzt.