Wiedergeburt – wie Unternehmen nach einem Cyber-Angriff auferstehen

Autor
Stefan Rothenbühler
Veröffentlicht
14. April 2022

Bald ist Ostern und die Suche nach den Osternestern startet wieder. Letztes Jahr ging es im Osterblog-Artikel darum, dass der Osterhase genauso Hinweise und Spuren hinterlässt wie ein Angreifer in Ihrem Netzwerk. Dieses Jahr befassen wir uns mit dem eigentlichen Thema von Ostern – der Wiedergeburt. Erfahren Sie in meinem Blogbeitrag, wie und mit welchen Strategien Unternehmen nach einem Cyber-Angriff wieder auferstehen.


Das Prinzip der Wiedergeburt nach einem Cyber-Angriff

Das höchste Fest im Kirchenjahr stellt für die Christen seit dem vierten Jahrhundert die dreitägige Osterfeier dar. Gestartet wird am heutigen Gründonnerstagabend mit dem letzten Abendmahl (wohl eines der berühmtesten Gemälde von Leonardo da Vinci), über den Leidensweg Jesus am Karfreitag bis hin zum Tag der Grabesruhe am Karsamstag und dem Anbruch der neuen Woche am Ostersonntag – dem Tag der Auferstehung des Herrn. Doch was hat das Ganze mit Cyber Security zu tun?

Wir durften schon verschiedenste Unternehmen bei ihrer «Wiederauferstehung» begleiten und aktiv unterstützen. Wenn wir vom InfoGuard CSIRT bei einem Cyber-Angriff aufgeboten werden, kommt es nicht selten vor, dass das betroffene Unternehmen komplett verschlüsselt wurde. Die Computer stehen still und nichts geht mehr. Das Unternehmen ist nicht mehr oder nur sehr eingeschränkt handlungsfähig. Für die Geschäftsleitung und die involvierten Mitarbeitenden ist dies eine sehr belastende und schwierige Situation, da unklar ist, wie und ob das Unternehmen wieder auf die Beine kommt. Jedoch ist auch eine solch ausweglos scheinende Situation durchaus zu meistern – mit Hilfe unserer professionellen Unterstützung.

Zahlen oder nicht zahlen – das ist die Frage

Bei einer Verschlüsselung steht meistens eine Lösegeldforderung im Raum. Grundsätzlich empfehlen wir, nicht auf diese Forderung einzugehen. Es gibt jedoch zwei Ausnahmen, bei welchen eine Zahlung in Frage kommt:

  • Wenn geschäftskritische Daten verschlüsselt werden und diese nicht mehr via Restore eines Backups wiederhergestellt werden können.

  • Wenn bei einer Double Extortion (Erpressung durch Drohung mit Veröffentlichen von Daten) heikle oder besonders schützenswerte Personendaten gefährdet sind.

Aus unserer Erfahrung ist der Restore eines Backups ungefähr gleich schnell wie das Aufsetzen, Testen und Koordinieren eines professionellen Entschlüsslers. Das Zahlen der Lösegeldforderung bietet also keinen signifikanten Geschwindigkeitsvorteil. Hinzu kommt das positive Feeling des «wir haben es ohne Zahlung geschafft», welches in dieser Situation für die involvierten Teams sehr wichtig ist. Die Entscheidung, ob auf die Lösegeldforderung eingegangen wird, muss und darf nicht von Vornherein abschliessend getroffen werden. Es gibt Fälle, bei denen erst relativ spät realisiert wird, dass gewisse wichtige Daten doch nicht wiederherstellbar sind. Aus diesem Grund lassen wir uns die Option «bezahlen» stets offen und verhandeln mit den Angreifern.

Wiederaufbau der IT-Landschaft

Wenn unser CSIRT zur Unterstützung bei einem Sicherheitsvorfall gerufen wird, ist unser oberstes Ziel, das Unternehmen schnellst möglich wieder handlungsfähig zu machen. Die ersten Schritte nach einem Cyber-Angriff sind dabei entscheidend. Für den Wiederaufbau der IT-Landschaft gibt es folgende drei unterschiedliche Strategien:

  • Beim Tabula-Rasa-Ansatz wird neue Hardware gekauft und die gesamte Umgebung neu aufgesetzt. Dabei werden nur die Rohdaten vom Backup wiederhergestellt.

  • Bei der Red-Network-Strategie wird ein neues, isoliertes Subnetz aufgebaut und wiederhergestellte oder gesäuberte Maschinen in einem isolierten Netzwerk wieder in Betrieb genommen.

  • Bei einem In-Situ-Restore-Ansatz arbeiten wir im infizierten Netzwerk und säubern die betroffenen Hosts, während die Geschäftsprozesse wieder hochgefahren werden.

Unserer Erfahrung nach wird für die meisten betroffenen Unternehmen mit einem Mix zwischen Red Network und In-Situ am schnellsten Erfolg erzielt. Mit dem Einsatz unseres forensischen Agenten und einer EDR-Lösung wie Cortex XDR für das Monitoring, können wir so sukzessive die Zugänge des Angreifers schliessen, die infizierten Systeme on-thy-fly bereinigen und wieder in Betrieb nehmen. Das IT-Team des Kunden kann sich so auf die Datenwiederherstellung konzentrieren und braucht sich nicht um eine neue Hardware zu kümmern.

Was können Sie tun?

So schön das Thema Wiedergeburt auch anmutet, es führt uns auch die Sterblichkeit vor Augen. Je nach Glaubensauffassung besteht aber bei Unternehmen im Gegensatz zum realen Leben eine grosse Chance auf eine Wiedergeburt, indem Sie sich entsprechend darauf vorbereiten:

  • Identifizieren Sie wichtige Systeme und überlegen Sie sich, in welcher Reihenfolge diese widerhergestellt werden sollten (AD DC, SAP etc.).

  • Testen Sie Ihre Backup-Strategie regelmässig oder lassen Sie sich diese von uns verifizieren. Dazu gehören auch regelmässige Restore-Tests.

  • Spielen Sie das Szenario eines Ransomware-Angriffs in Form einer Krisenübung durch. Dies hilft, Lücken in den Prozessen zu identifizieren.

  • Suchen Sie sich für den Ernstfall schon vorab einen starken Partner, welcher Sie vorab kennenlernen und Sie durch die Krise begleiten kann.

Sie sehen: Eine Cyber-Attacke kann Ihr Unternehmen jederzeit treffen – nicht nur zu Ostern. Mit unserem Incident Response Retainer schaffen wir die optimale Voraussetzung, um Sie bei einer Cyber-Attacke schnell, effizient und wirkungsvoll zu unterstützen. Geben Sie Angreifern keine Chance und kontaktieren Sie uns noch heute!

Incident Response Retainer

Mein persönlicher Anspruch ist es, dass ein Unternehmen sicherer aus der Krise hervorgeht, als es hineingeraten ist. Und glauben Sie mir: Ich habe schon so manche Wiedergeburt miterlebt... In diesem Sinne wünschen ich und das gesamte InfoGuard-Team Ihnen und Ihrer Familie ein frohes Osterfest.

Artikel teilen