fizkes - stock.adobe.com

Eine Ransomware-Trockenübung vorbereiten und durchfūhren

Cybersecurity-Attacken und besonders Ransomware-Angriffe nehmen stark zu. Schritt-für-Schritt-Anleitungen und Beispiele helfen dabei, Firmen auf den Ernstfall vorzubereiten.

Das Personal für Disaster Recovery und IT Security muss Ransomware- und andere Cyberattacken ernst nehmen. Selbst wenn es bereits einen Recovery-Plan für Ransomware gibt, muss man berücksichtigen, dass sich die Ransomware-Technologie und -Methoden ständig weiterentwickeln. Sich wiederholende Übungen für Cybersecurity-Maßnahmen und Recovery-Pläne sorgen dafür, dass Unternehmen die Auswirkungen von Cyberattacken kleinhalten und das Geschäft und seinen kontinuierlichen Erfolg schützen können.

Trockenübungen – im Englischen Tabletop Exercises – bestehen aus Plänen für Disaster Recovery, die von einer spezifischen Krise ausgehen. Unternehmen nutzen solche Aktivitäten, um den Reaktionsprozess der Organisation vom Beginn bis zum Ende zu prüfen und zu bewerten. Eine Ransomware-Trockenübung beginnt mit einer besonderen Ransomware-Attacke, den Details der Attacke und wie das Unternehmen Schritt für Schritt zu reagieren hat.

Jeder Ransomware-Ansatz eines Unternehmens wird sich auf der Basis zahlreicher Faktoren wie zum Beispiel Größe, Netzwerk- und Infrastrukturressourcen und vorhandener Software unterscheiden. Für unsere Ransomware-Trockenübung hier gehen wir von folgenden Annahmen aus:

  • das Unternehmen besitzt eine mittlere Größe mit 400 Angestellten und drei Standorten
  • es hat eine eigene IT-Abteilung
  • sein Netzwerk ist für die meisten Geschäftsprozesse mit dem Internet verbunden, einschließlich Sprach- und Datenverbindungen über alle drei Standorte hinweg
  • seine IT-Umgebung ist durch Firewalls und Intrusion-Prevention-Systeme geschützt, für die das Unternehmen regelmäßig Updates durchführt
  • die Firma nutzt zusätzlich zu bestehenden Schutzsystemen der bestehenden IT-Umgebung auch Programme für Anti-Malware, Anti-Virus, Anti-Spam und Anti-Ransomware
  • das Unternehmen besitzt einen dokumentierten Plan mit Schritt-für-Schritt-Anleitungen für Maßnahmen und Aktivitäten nach Security-Verletzungen

Am Ende des Artikels gibt es unter anderem einen Link zu einer anpassbaren Vorlage für eine Ransomware-Trockenübung. Damit erhält man einen Startpunkt für eine Übung, die für jedes Unternehmen individuell zugeschnitten ist.

Abbildung 1: Viele Unternehmen stellen sich darauf ein, eine Datenwiederherstellung nach einem Ransomware-Attacke machen zu müssen, um Geschäftsprozesse aufrecht zu erhalten.
Abbildung 1: Viele Unternehmen stellen sich darauf ein, eine Datenwiederherstellung nach einem Ransomware-Attacke machen zu müssen, um Geschäftsprozesse aufrecht zu erhalten.

Parameter erstellen und Rollen zuweisen

Wenn ein Unternehmen einen Anti-Malware-Reaktionsplan besitzt, kann dies die Basis für die Ransomware-Trockenübung sein. Die Teilnehmer werden sich während der Durchführung der Übung auf den Reaktionsplan beziehen. Zum Beispiel kann eine Übung den nicht-autorisierten Eintritt eines Eindringlings simulieren, der irgendwie die ersten festgelegten Verteidigungslinien umgangen hat. Er könnte dann verschiedene kritische Systeme angreifen und versuchen, den Zugang zu diesen Systemen mit verschlüsselten Passwörtern zu blockieren.

Zu den Teilnehmern können Personen aus der IT-Abteilung und von anderer interessierter Seite wie zum Beispiel Abteilungsleiter und Experten auf diesem Gebiet gehören. Um die Durchführung der Übung zu erleichtern, sollte man die Übungsfolien in der Vorlage am Ende des Artikels genauer studieren.

Bei den meisten Attacken spielt Zeit eine Rolle, weshalb es wichtig ist, dass die Teilnehmer ihre Rollen und Handlungen im Voraus kennen. Teilnehmer, die nicht aus der IT kommen, können als Beobachter fungieren und außerdem Kommentare für einen Abschlussbericht und für spätere Übungen verfassen.

Bei einer Attacke, bei der Malware oder anderer verdächtiger Code in das Firmennetzwerk eindringt, muss der Code als verdächtig identifiziert und dann so schnell wie möglich in einen isolierten Bereich des Netzwerks verschoben und analysiert werden. Firewalls und Intrusion-Prevention-Systeme helfen wirksam dabei, verdächtige Datenpakete zu identifizieren, und können Alarmmeldungen auslösen, sobald sie entdeckt werden.

Besonders schlimme Szenarien in Betracht ziehen

In diesem Beispiel sind die Attacken raffiniert genug, um die Perimeter-Security zu umgehen. Deshalb muss das Unternehmen die Anti-Malware-Software starten, um zu versuchen, die Ransomware zu neutralisieren, bevor sie Systeme und Daten gefährden kann. Wenn ein Eindringling angreift und Systeme und Dateien blockiert, kann die Anti-Ransomware-Software die Systeme und Dateien wieder öffnen und anschließend die Ransomware-Software eliminieren.

Ein Szenario für den schlimmsten Fall sieht so aus, dass die Verschlüsselung, die Systeme und Dateien verschließt, zu stark für die Anti-Ransomware-Software ist und dass die Assets unzugänglich bleiben. Viele Experten ermutigen die Unternehmen, sich zu weigern und keine Lösegelder zu bezahlen. Mit einem geeigneten Anti-Ransomware-Schutz und regelmäßigen System- und Daten-Backups kann die gesamte Auswirkung auf ein Unternehmen gering sein.

Es kann notwendig sein, den Vorfall zu einer externen Sicherheitsfirma oder zu einem Cloud Service Provider weiterzuleiten, dessen Ressourcen das Unternehmen benutzt. Diese Dienstleister können mit der Analyse von Code, Vorsichtsmaßnahmen, Forensik und nachträglichen Einschätzungen zur Hand gehen. Wenn ein finanzieller oder betrieblicher Schaden eingetreten ist, sollte man sich mit dem Versicherungsagenten auseinandersetzen, ob die Ransomware-Abdeckung eventuelle Verluste durch den Angriff ausgleichen kann. Es ist in der Regel eine gute Idee, eine Cybersecurity-Versicherung abzuschließen, die Anti-Malware-Angriffe und eventuelle Verluste abdecken kann.

Wenn eine Attacke ernsthaften Schaden für ein Unternehmen verursacht, sollte man BC/DR-Pläne (Business Continuity and Disaster Recovery) in Betracht ziehen, um die Geschäftsprozesse wiederherzustellen.

Die Übungsergebnisse für zukünftige Vorbereitung nutzen

Regelmäßige und umfassende Backups der Systeme und Dateien können den Schaden für geschäftskritische Anlagen vermindern. Interne und externe Backup-Vereinbarungen, zum Beispiel solche mit Cloud-basierten Backup-Services, können dafür sorgen, dass geschäftskritische Informationsquellen auch nach einer Ransomware-Attacke verfügbar sein werden.

Ist die Attacke neutralisiert worden, sollte man die Anti-Ransomware-Software für die Analyse des verwendeten Codes verwenden. Die Software kann auch die Malware entfernen und das System von jedem verbliebenen Code säubern. Man sollte alle Schäden an den Systemen, Datenbanken, Dateien und anderen IT-Werten aufzeichnen. Und dann mit der Wiederherstellung aller betroffenen Assets anfangen, indem Backup-Systeme und -Dateien verwendet werden. Die Backups sollten sorgfältig auf ihre Einsetzbarkeit getestet werden, bevor sie in den Produktionsprozess zurückversetzt werden.

Man sollte einen After-Action-Report vorbereiten, der beschreibt, was passiert ist, wie gut die Cybersecurity-Maßnahmen funktioniert haben, wie gut die Teammitglieder mit dem Vorfall zurechtgekommen sind, wie gut die Software gearbeitet hat und welche Ergebnisse die Übung erbracht hat.

Um eine angepasste Ransomware-Trockenübung durchzuführen, sollte man dieses kostenlose Formular ausprobieren. Für Manager, die die Übung vorstellen wollen, geht diese beispielhafte Präsentation Schritt für Schritt durch die Übung.

Die aufgeführten Übungen, Reports und Präsentationen sind in englischer Sprache gestaltet.

Erfahren Sie mehr über Disaster Recovery

ComputerWeekly.de
Close