Was tun, bei verschlüsselten Unternehmensdaten? Diese Frage stellen sich leider immer wieder betroffene Unternehmen nach einem Cyberangriff mit einem Verschlüsselungstrojaner. Wir zeigen Ihnen in vier Schritten welche Dinge Sie bei der Bereinigung beachten sollten. Wichtig ist aber vor allem, dass Sie Ihre Schritte dokumentieren um Transparenz für Ihre Mitarbeiter und auch für die Öffentlichkeit zu erreichen. Leider kann jedes noch so gut geschützte IT-System ein Opfer von Ransomware werden und mit einem Schädling infiziert werden. Ruhe bewahren und langsam Schritt für Schritt, zielgerichtet an der Bereinigung arbeiten.
Was tun, bei verschlüsselten Unternehmensdaten?
1. Ausfindig machen und isolieren
Verschaffen Sie sich einen Überblick über das Ausmaß der Attacke. Wurde das gesamte Unternehmen befallen, nur bestimmte Systeme oder auch nur eine bestimmte Abteilung? Isolieren Sie die betroffenen Systeme vom restlichen Netzwerk. Prüfen Sie Protokolldateien von Firewall, Virenscanner und falls vorhanden weitere Schutzmechanismen wie EDR. Sind nur einzelne Geräte betroffen können diese auch direkt manuell überprüft werden. Bei größeren Angriffen wird dies aber sehr schwer möglich sein. Versuchen Sie dennoch so gut es geht die Schwachstelle ausfindig zu machen und die Systeme vom Netzwerk zu trennen.
2. Analysieren und handeln
Versuchen Sie zu identifizieren welches System zuerst befallen wurde und warum entsprechende Sicherheitssoftware nicht gegriffen hat. Versuchen Sie den Übeltäter zu identifizieren. Wenn Sie wissen um welche Schadsoftware es sich handelt, können Sie bessere Gegenmaßnahmen einleiten. Durchstöbern Sie dazu Ihre Logs und versuchen den genauen Weg der Ransomware in Ihr Unternehmen ausfindig zu machen. Holen Sie sich bei Ihren Security Partner bzw. Security Anbietern Unterstützung von Fachpersonal. Das analysieren und ausfindig machen der Ransomware ist nicht immer einfach. Beheben Sie sämtliche, Ihnen bekannte Schwachstellen. Prüfen Sie gemeinsam mit IT-Security Spezialisten ob Ihr Unternehmen ausreichend gesichert ist.
3. Wiederherstellen der verschlüsselten Unternehmensdaten
Haben Sie die Schadsoftware isoliert bzw. ausfindig gemacht, können Sie direkt mit der Wiederherstellung beginnen. Im Besten Fall haben Sie ein Backup zur Hand das sie schnell einspielen können. Alternativ wären auch Images von Systemen welche eine nicht all zu alten Stand aufweisen. Zahlen Sie “NIE” das geforderte Lösegeld. Damit Unterstützen Sie die Kriminellen und wissen auch nicht ob Ihre Daten anschließend tatsächlich wieder entschlüsselt werden. Oftmals kam es bereits vor, dass nach der Zahlung des Lösegeldes dennoch die Wiederherstellung der Daten über Backups etc. geschehen musste, da keine Entschlüsselung seitens der Cyberkriminellen statt fand. Zu dem kann es vorkommen, dass die Angreifer sich Monate später nochmals bei Ihnen melden und mit Veröffentlichung von Daten drohen die beim Angriff entwendet wurde. Die Wahrscheinlichkeit sinkt wenn Sie bereits beim ersten Angriff nicht zahlen.
Löschen Sie die verschlüsselten Unternehmensdaten nicht. Versuchen Sie diese zu entschlüsseln. Beispielsweise gibt es von Kaspersky zahlreiche Tools zum entschlüsseln. Vielleicht haben Sie Glück und der Befall in Ihrem Unternehmen kann mit einem Decryptor-Tool bereinigt werden. Auch wenn aktuell nicht das richtige Tool dabei ist, kann es in Zukunft noch dazu kommen. Es werden ständig neue Tools erstellt um Daten wieder zu entschlüsseln. Evtl. ist dann auch das richtig für Sie dabei. Es wäre nicht das erste Mal dass so etwas vorkommt.
4. Präventive Maßnahmen
Prüfen Sie welche Sicherheitsvorkehrungen Ihr Unternehmen aufweisen kann. Setzen Sie sich mit Experten zusammen und beraten über eine IT-Security Strategie. Sie können mit vielen technischen Mitteln bereits ein hohes Maß an Sicherheit für Ihr Unternehmen herstellen. Sicherlich bleibt eine gewisse prozentuale Dunkelziffer eines Angriffs mit verschlüsselten oder entwendeten Daten, allerdings können Sie mit guten Sicherheitsanbietern einen wichtigen Schritt in Sachen IT-Security machen.
Gerne unterstützen wir Sie dabei Ihre IT-Infrastrukturen sicherer zu gestalten. Nehmen Sie unverbindlich Kontakt zu uns um weitere Informationen zu erhalten.
Machen Sie Ihr Unternehmen fit für Home-Office und Co. Wir zeigen Ihnen welche einfachen Tools Sie dafür verwenden können.