Sofortmaßnahmen – Dos and Don’ts
Wenn Unternehmen wissen, wie sie sich in den ersten Stunden nach einem Angriff verhalten sollen und wie nicht, können sie das Beste aus der Situation machen. Wer hingegen ohne Plan in blindem Aktionismus handelt, kann die Situation noch verschlimmern.
Ransomwaregruppen geht es in erster Linie um Geld. Zahlt das Opfer kein Lösegeld für die Entschlüsselung der Daten, veröffentlichen die Kriminellen diese im Darknet. Manche Gruppen haben keinerlei Moral und schrecken nicht einmal davor zurück, Krankenhäuser anzugreifen. Die neueste Masche ist das Bedrohen von Patienten durch Swatting: Durch das Vortäuschen falscher Tatsachen, zum Beispiel Bombendrohungen, wird ein großer Polizeieinsatz provoziert, sodass schwer bewaffnete Einsatzkommandos bei den Opfern auftauchen. Das setzt die Krankenhäuser unter Druck, das geforderte Lösegeld zu zahlen (siehe ix.de/z9gh).
Um Schäden und Verluste nach einem Angriff zu begrenzen, ist es daher entscheidend, schnell und richtig zu reagieren. Ein Ransomwareangriff ist leicht zu erkennen – doch leider erst dann, wenn es bereits zu spät ist: Die Dateien sind verschlüsselt und auf den Systemen liegt in der Regel eine Readme-Datei mit der Lösegeldforderung. Ideal wäre es, einen Angriff bereits vor dem Verschlüsseln zu erkennen. Es gibt immer wieder Vorfälle, bei denen der Beginn des Angriffs schon einige Monate zurückliegt und die Angreifer unbemerkt in das Netzwerk vorgedrungen sind – und dann plötzlich die Verschlüsselung aktivieren. Dies lässt jedoch einen gewissen Spielraum für die Erkennung.