Im Falle eines Ransomware-Angriffs besteht eine angemessene, effiziente Reaktion Ihrerseits aus mehreren Schritten. Nachstehend finden Sie nähere Informationen darüber, wie Sie auf einen solchen Vorfall reagieren sollten, um derartiges in Zukunft zu verhindern.

1. Bestimmen und bestätigen Sie das Ausmaß des Ransomware-Angriffs

Der Neuaufbau der Systeme ist dabei NICHT der erste Schritt. Beurteilen Sie das Ausmaß des Ransomware-Angriffs, indem Sie sich darauf konzentrieren, welche Daten verschlüsselt bzw. potenziell vom Eindringling entwendet wurden.
Die Beantwortung dieser Frage ist entscheidend für Ihre Antwort. Versuchen Sie zu dokumentieren, welche Daten sich auf den verschlüsselten Rechnern befanden, und identifizieren Sie solche Daten, die gestohlen worden sein könnten.

2. Isolieren Sie betroffene Geräte so weit wie möglich, um eine weitere Verbreitung zu verhindern.

Wenn Ransomware zuschlägt, ist es wichtig, die betroffenen Anlagen so weit wie möglich zu isolieren, um eine weitere Verbreitung zu verhindern. Gehen Sie davon aus, dass die Angreifer bereits tief in Ihre Umgebung eingedrungen waren,, bevor der Ransomware-Angriff durchgeführt wurde.
Isolieren Sie zunächst die infizierten Geräte und entfernen Sie sie aus dem Netzwerk. Ziehen Sie die Netzwerkkabel ab, und beenden Sie die Netzwerkverbindungen (einschließlich der WLAN-Netze). Wenn Ihr Netzwerk dies zulässt und ordnungsgemäß segmentiert ist, können Sie das infizierte Netzwerksegment auch abtrennen.

- Schalten Sie die infizierten Geräte NICHT aus und vermeiden Sie es, die Systeme herunterzufahren. Möglicherweise ist darauf noch Malware installiert, die nicht aktiviert ist. Ein laufendes System kann auch hilfreich sein, wenn Sie einen Dienstleister mit der Durchführung der Überprüfungen beauftragen.

- Beginnen Sie mit dem Neuaufbau der Systeme erst dann, wenn das Ausmaß des Angriffs bekannt ist, d. h. die eingesetzte Methode, der Zeitpunkt und die betroffenen Systeme.

3. Bewerten Sie die Integrität Ihrer Backups

Vergewissern Sie sich, dass die Angreifer nicht auch die Integrität Ihrer Datensicherungssysteme kompromittiert haben.
Überprüfen Sie Ihre Sicherungsdateien, um zu gewährleisten, dass diese nicht betroffen sind, bevor Sie sie zum Neuaufbau Ihrer Umgebung verwenden.

4. Starten Sie Ihre Incident Response

Wenn Sie über eine interne IT-Abteilung verfügen, kann diese sich um die Lösung des Problems kümmern.
Andernfalls sollten Sie sich von einem  externen IT-Notdienstleister bei der Beurteilung des Schadensumfangs unterstützen lassen.
Angesichts der Kosten eines derartigen Vorgehens in Notfällen, sollten Sie prüfen, ob diese Maßnahmen von Ihrer Versicherung gedeckt sind.
Das Zentrum für Cybersicherheit Belgien (ZCB) rät dringend von der Zahlung eines Lösegelds ab.
Es kann Situationen geben, in denen die Zahlung als einzig verbleibende Option erscheint. Bitte bedenken Sie, dass die Angreifer höchstwahrscheinlich ein finanzielles Interesse verfolgen. Dabei bewerten sie alle Möglichkeiten, um noch mehr Geld von Ihrer Organisation abzupressen.
Seien Sie vorsichtig im Umgang mit den Übeltätern: Die Einschaltung eines professionellen Unterhändlers ist kein Allheilmittel. Denken Sie daran, dass es keine Garantie dafür gibt, nach der Zahlung des Lösegelds tatsächlich wieder auf Ihr IT-System zugreifen zu können.
 

5. Informieren Sie die Behörden

Erstatten Sie Anzeige bei Ihrer örtlichen Polizeidienststelle. Und informieren Sie die Datenschutzbehörde, wenn es einen Hinweis auf einen Datendiebstahl gibt. Die Anzeige eines möglichen Verlusts personenbezogener Daten ist gesetzlich vorgeschrieben und muss vorrangig erfolgen.

Zur Vermeidung künftiger Ransomware-Angriffe empfehlen sich folgende Präventivmaßnahmen:
 

1. Stellen Sie die kontinuierliche Aktualisierung Ihrer Systeme sicher

Halten Sie Ihre Betriebssysteme, Software und Sicherheitslösungen auf dem neuesten Stand, um deren Anfälligkeit für Angriffe zu verringern. Tun Sie dies, indem Sie alle Patches installieren und nach möglichen Schwachstellen suchen. Ihr IT-Partner kann und muss dafür verantwortlich gemacht werden, dass Ihre Systeme stets dem neuesten Stand entsprechen. Selbst ein vollständig gepatchtes System bietet keinen 100%igen Schutz, es kann jedoch dazu beitragen, dass ein Angriff abgewehrt wird.

2. Verwenden Sie sichere Passwörter und 2FA

Verwenden Sie sichere Einmalpasswörter  für alle Ihre Accounts und ändern Sie diese regelmäßig.
Die 2FA ist ein Muss für Ihre Accounts. Sie bietet ein zusätzliches Sicherheitslevel und stellt insgesamt eine der besten Schutzmaßnahmen dar, die Sie treffen können.

3. Schulung Ihrer Mitarbeiter

Schulen Sie Ihre Mitarbeiter darin, wie sie Phishing erkennen können, z. B. indem sie verdächtige E-Mails und Links meiden.
Denn gerade über E-Mails gelangen die Eindringlinge oft in fremde Systeme.
Weitere Informationen hierzu finden Sie auf safeonweb.be.