Angriffe durch Ransomware sind nach wie vor ein Problem für Unternehmen wie Behörden. Trotz allen Präventionsmaßnahmen sollte man immer auf den schlimmsten Fall vorbereitet sein. Somit werden Panik und die daraus resultierenden Folgefehler vermieden.
- Geräte schnell isolieren.
Die vom Ransomware-Angriff betroffenen Systeme sollten umgehend vom Netzwerk isoliert werden, um eine Ausbreitung zu verhindern. - Den Angriffsvektor verstehen.
Es gilt, sowohl für die unmittelbare Reaktion als auch für zukünftige Maßnahmen, nachzuvollziehen, woher der Angriff kam. Wie wurde er durchgeführt und welches Gerät im Netzwerk war als erstes betroffen? - Backups sichern und überprüfen.
Daten sind unersetzlich, weswegen Angreifer häufig speziell nach Backups suchen. Sicherungen sollten vom Netzwerk offline genommen werden, damit die Malware sich nicht darauf ausbreitet.
Generell ist es sinnvoll getrennt aufbewahrte Offline-Backups zu führen. - Projekte und geplante Aufgaben stoppen.
IT-Administratoren sollten alle Ressourcen auf die Ransomware-Attacke konzentrieren und andere Anwendungen und Aufgaben (einschließlich automatisierter Vorgänge wie Backups) stoppen. Nicht zuletzt, um damit die Ausbreitung der Malware auf weitere, in Benutzung stehende Teile der IT-Architektur zu unterbinden. - Potenziell kompromittierte Bereiche unter Quarantäne stellen.
Nach dem Angriff sollten alle potenziell betroffenen Teile der Infrastruktur vom Netz genommen und einzeln untersucht werden. - Nach dem Angriff ist vor dem Angriff: Passwörter ändern.
Egal ob der Angriff von einfacher Natur war oder mit viel Vorarbeit und erbeuteten Authentifikationsdaten durchgeführt wurde: die Passwörter von systemrelevanten Nutzerkonten sollten in jedem Fall geändert werden, um evtl. Folgeangriffen vorzubeugen. - Keine Panik – Kritische Sicherheitssituationen planen und üben
Grundsätzlich sollten im Vorfeld Sicherheitsmaßnamen definiert werden, sodass im Ernstfall eine Blaupause für zu ergreifenden Maßnahmen bereit steht.
Damit wird eine Situation verhindert, in der die IT-Administration besonders hohem Druck ausgesetzt ist und infolge dessen falsche Entscheidungen trifft.
Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/keine-panik-nach-dem-ransomware-angriff-18079
