Ransomware ist und bleibt ein Problem für Unternehmen. Das Nationale Zentrum für Cybersicherheit NCSC hat die wichtigsten Sofortmassnahmen bei Ransomware-Vorfällen zusammengestellt. Von der Bezahlung von Lösegeld wird abgeraten.
Schadensbegrenzung ist das oberste Gebot bei einem Ransomware-Cyberangriff. Deshalb gilt es, infizierte Systeme umgehend vom Netz zu trennen, ohne sie jedoch abzuschalten, damit eine Malware-Analyse möglich bleibt. Zudem sollten Logdateien gesichert werden, schreibt das Nationalen Zentrum für Cybersicherheit NCSC (ehemals MELANI), denn diese helfen bei der Identifikation der infizierten Systeme. Auch die Metadaten der infizierten Dateien können diesbezüglich Hinweise liefern.
Bei der Feststellung des Schadens sowie der URL und der IP-Adressen der Urheber des Angriffs leisten darüber hinaus die Logs von E-Mail- und Proxyserver sowie der Firewall und von anderen Sicherheitslösungen gute Dienste. Diese URL und IP-Adressen sollten auf dem internen Proxyserver und auf der Firewall umgehend blockiert werden.
Lösegeldzahlungen bieten keine Garantie
Weiter empfiehlt das NCSC, eine Strafzeige bei der zuständigen Kantonspolizei einzureichen. Hier erhalten Betroffene auch Tipps für die Kommunikation mit den Tätern. Weil bei einer Strafanzeige forensische Untersuchungen notwendig sind, sollten zudem die nächsten Schritte schnellstmöglich mit der Polizei abgesprochen werden. Abgeraten wird auf jeden Fall von Lösegeld-Zahlungen, denn es gibt keine Garantie, dass die Täter die Daten auch tatsächlich freigeben. Darüber hinaus bestätigen Zahlungen Kriminelle in ihren Aktivitäten.
Wichtig ist, dass die in Geiselhaft genommenen Datenträger zunächst durch eine Fachperson gesichert werden. Nach erfolgten Neustart- und Reparaturversuchen ist eine forensische Untersuchung nämlich kaum mehr sinnvoll. Ist auch das Backup betroffen, sollte es ebenfalls gesichert werden.
Virenschutz-Programme schützen auch vor Ransomware
Vor einem Wiederherstellungsversuch der betroffenen Daten müssen zuerst die infizierten Systeme neu installiert werden. Für die Daten-Wiederherstellung ist in der Regel ein Backup erforderlich, in gewissen Fällen geht es aber auch ohne. Dann nämlich, wenn a) Windows-Schattenkopien der Daten verschont blieben, b) Snapshots von virtuellen Maschinen oder frühere Dateiversionen in der Cloud bestehen, c) sich Dateien auf forensischem Weg wiederherstellen lassen oder d) die Ransomware fehlerhaft ist bzw. bereits Schlüssel für die Entschlüsselung bekannt sind. Die Webseite https://www.nomoreransom.org/ bietet Hinweise für die Identifikation von Schadsoftware, zudem können hier bereits bekannte Schlüssel für die Entschlüsselung infizierter Daten heruntergeladen werden.
Effizienter als alle Wiederherstellungsversuche ist es aber auf jeden Fall, wenn Ransomware-Angriffe gar nicht erst gelingen. In der Prävention leisten Antiviren-Programme, wie Bitdefender, gute Dienste, indem sie verdächtige E-Mails mit Malware-Anhängen blockieren, bevor sie überhaupt Schaden anrichten können.