Was tun bei Verschlüsselung durch Hackerangriff?

Datenschutzrecht-Blog

cyber security g7ac6c5e88Die vom Bundesamt für Sicherheit und Informationstechnik (BSI) in ihrem Lagebericht zur IT-Sicherheit in Deutschland 2021 getätigte Einstufung der IT-Sicherheit als „angespannt bis kritisch“ stellt für alle Unternehmen eine große Gefahr dar.

Die Folgen können von einer Beeinträchtigung der Arbeitsfähigkeit bis zu einem kompletten Ausfall des Betriebs oder einzelner Betriebsteile reichen – mit finanziellen Auswirkungen und Reputationsverlust. Viele Unternehmen haben Ihre IT-Sicherheitsstruktur deshalb einer Überprüfung unterzogen und Schutzvorkehrungen getroffen.

Die Größe der Angriffe nimmt immer weiter zu, so berichtet der Softwareentwickler Sophos, der im Bereich der IT-Security beheimatet ist in seinem Whitepaper vom April 2022, dass 66 % der Unternehmen in einer Umfrage von Ransomware -Angriffen, also Angriffen die auf eine Verschlüsselung des Systems abzielen betroffen waren.

Das Amerikanische IT-Infrastruktur Unternehmen SonicWall berichtet in seinem Halbjahresupdate 2021 von 304,7 Millionen Ransomware-Angriffen im ersten Halbjahr 2021 (eine Zunahme von 151 % gegenüber dem ersten Halbjahr 2020).

Was Sie im Ernstfall tun können, um den Schaden zu minimieren, erfahren Sie hier.

Wie führen Cyber-Kriminelle ihre Angriffe aus?

Die Angreifer verschaffen sich mit Trojanern wie Emotet Zugang zu fremden Systeme und spähen sie aus. Halten sie einen Erpressungsversuch für lohnenswert, setzen sie weitere Schadsoftware, sog. Ransomware ein, die den Zugriff auf Daten und ganze Systeme einschränkt oder verhindert. Dies geschieht z.B. durch Verschlüsselung von Daten. Für die Freigabe der Daten fordern sie ein Lösegeld und drohen ansonsten mit der Vernichtung der Daten.- Gemäß der Studie von Sophos bezahlen46 % Prozent der betroffenen Unternehmen das Lösegeld. Für den Fall, dass sich Opfer der Lösegeldzahlung verweigern, sind die Angreifer zunehmend gewappnet. Bevor sie die Daten verschlüsseln, speichern sie diese auf Ihren eigenen Rechnern und drohen dem Opfer mit der Veröffentlichung (sog. Double Extortion). Für die Veröffentlichung existieren eigens eingerichtete Leak-Seiten. Handelt es sich um wertvolle Geschäftsgeheimnisse kann es den Kriminellen den größten Vorteil bringen, wenn sie die Daten versteigern.

Einfallstor für die Verbreitung von Ransomware sind oftmals E-Mails. Klickt der Nutzer in solchen E-Mails auf einen Link oder öffnet einen Anhang, aktiviert dies den Download und die Installation der Schadprogramme.  Die versandten Mails können dabei täuschend echt wirken. Die Täter fälschen Absenderadressen und formulieren Antworten passend zur vorangegangenen Kommunikation. Unternehmen wie die Heise Gruppe, Mutterunternehmen der Heise Medien, die unter anderem das IT-Magazin c’t herausgeben, wurden auf diese Weise bereits Opfer eines Cyber-Angriffs.

Die benutze Software eines Unternehmens ist ein besonders lohnender Angriffsweg, da dieser potenziell weitreichender ausfällt. Im Rahmen sogenannter Software-Supply-Chain-Angriffe fügen Kriminelle Schadcode bereits beim Software-Hersteller ein. Beim Vorfall um die IT-Plattform Orion der Firma SolarWinds schleusten die Angreifer etwa Schadsoftware in ein Software-Update ein.

Auch Remote-Access-VPNs können eine Schwachstelle sein, da hier Server im Internet verfügbarsind. Die Angreifer gelangen schnell an Administrator-Berechtigungen und können die gesamte IT-Infrastruktur einsehen.

Wie können Sie sich vor Cybercrime-Angriffen schützen?

Zum Schutz vor Ransomware-Angriffen oder zumindest zur Abmilderung ihrer Folgen können Unternehmen u.a.

Was können Sie tun, wenn Ihre Daten verschlüsselt wurden?

Sind Sie Opfer einer Ransomware-Attacke geworden und sehen sich einer Lösegeldforderung gegenüber, so gilt zuallererst:

Bewahren Sie Ruhe und treffen Sie keine übereilten Entscheidungen!

Die folgenden Reaktionsmaßnahmen können bei einem Ransomware-Vorfall ergriffen werden:

Krisenstab einrichten

Richten Sie einen Krisenstab ein. Dieser sieht sich technischen und organisatorischen Aufgaben gleichermaßen gegenüber. Er übernimmt zudem die interne und externe Kommunikation. Neben einer leitenden Person und IT-Fachleuten sind daher Juristen, der Datenschutzbeauftragte, der Pressesprecher und andere Mitarbeiter gefragt. Sind die Verantwortlichkeiten geklärt, können Entscheidungen schnell getroffen und kommuniziert werden.

Zur Entscheidungsfindung muss der Krisenstab zunächst versuchen, eine Reihe von Fragen zu beantworten:

  • Was ist überhaupt passiert und wie ist es aufgefallen?
  • Was bedeutet der Vorfall für das Unternehmen, welche Dienstleistungen oder Produktionsbereiche können oder müssen aufrechterhalten werden?
  • Möchten Sie Anzeige erstatten und dafür Beweise sichern?

Die Entscheidung, ob Sie der Beweissicherung Priorität gegenüber der Wiederherstellung der Arbeitsfähigkeit einräumen oder umgekehrt, bestimmt Ihre Vorgehensweise.

Der Krisenstab trägt für die interne und externe Kommunikation des Ransomware-Angriffs Sorge. Er informiert  die Geschäftsleitung, den IT-Sicherheitsverantwortlichen, den Datenschutzbeauftragen und die Mitarbeiter über den Vorfall und seine Bewältigung. Dabei sollten auch Anweisungen zum Umgang der Mitarbeiter mit den Medien erfolgen. Zudem ist zu bedenken, dass Mitarbeiter durch den Vorfall ganz unterschiedlich betroffen sein können. Einige arbeiten vielleicht an der Belastungsgrenze und brauchen Unterstützung. Dabei kann ein Dienstplan helfen. Für andere Mitarbeiter wiederum müssen Aufgaben gefunden werden, wenn sie aufgrund des Angriffs nicht mehr arbeiten können.

Im Rahmen der Kommunikation nach außen stellt sich die Frage, ob der Vorfall Konsequenzen für Kunden, Vertragspartner oder die Öffentlichkeit hat. Es können zum Beispiel vertragliche Informationspflichten gegenüber Geschäftspartnern oder Versicherungen bestehen.

Eine frühzeitige Information der Presse kann vorteilhaft sein, um Spekulationen zu unterbinden und den Informationsfluss zu steuern.

Anzeige erstatten

Der Polizei stehen Ermittlungswege offen, über die Unternehmen nicht verfügen. Sie kann z.B. untersuchen, wohin eventuell gezahltes Lösegeld geflossen ist, sowie Server überwachen und beschlagnahmen. Nur durch Erstattung einer Anzeige besteht die Chance, die Täter zu ermitteln und zu verhindern, dass ihre Ransomware weitere Opfer findet.

Anwalt hinzuziehen

Ein Anwalt kann Sie während und nach einem Ransomware-Angriff begleiten und beraten. Er kann Ihnen bei der Erstattung der Strafanzeige behilflich sein, Sie in der Kommunikation mit der Polizei und der Datenschutzbehörde unterstützen und ggf. die Verhandlungen mit den Erpressern führen.

Externen IT-Sicherheitsdienstleister beauftragen

Es empfiehlt sich, spezialisierte IT-Forensiker mit der Untersuchung und Bewältigung des Vorfalls zu beauftragen, insb. dann, wenn im eigenen Unternehmen noch keine einschlägigen Erfahrungen gesammelt wurden.

Vorfall melden

Sie können zur Meldung des IT-Sicherheitsvorfalls verpflichtet sein. Eine solche Pflicht kann u.a. nach der DSGVO, dem BSIG oder dem TKG bestehen. Ist es beispielsweise zu einer Datenschutzverletzung gekommen, da die Kriminellen personenbezogene Daten auf Ihre Server gezogen haben, muss dies gemäß Art. 33 DSGVO der zuständigen Aufsichtsbehörde gemeldet werden. Die betroffenen Personensind gemäß Art. 34 DSGVO ebenfalls zu informieren.

Eine freiwillige Meldung kann erwogen werden, da die Behörde dann Warnungen veröffentlichen und über den Angriffsweg der Kriminellen informieren kann.

Wir raten diesbezüglich sich durch Ihren Datenschutzbeauftragten oder einen spezialisierten Anwalt vor Abgabe der Meldung beraten zu lassen.

Lösegeld nicht zahlen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Zahlung eines Lösegeldes dringend ab. Das schreibt das BSI unter anderem in seinem IT-Sicherheits-Bericht („Die Lage der IT-Sicherheit in Deutschland 2021“, Seite 14). Die Täter von Ransomware-Attacken verschlüsseln  mittlerweile standardmäßig die Daten nicht nur, sondern leiten diese zuvor auf Ihre eigenen Server aus. Die Daten seien damit als dauerhaft kompromittiert zu betrachten. Weitere Erpressungsversuche seien trotz Lösegeldzahlung zu befürchten. Die Täter drohen dann ganz einfach mit der Veröffentlichung.

Zudem könnten Sie sich auch bei Zahlung nicht sicher sein, dass Ihre Daten tatsächlich entschlüsselt werden.

Sollten Sie dennoch erwägen, die Lösegeldzahlung zu leisten, so kann sich die Einbindung eines Anwalts oder IT-Sicherheitsdienstleisters lohnen, um in den Verhandlungen mit den Erpressern die Lösegeldsumme zu verringern. Haben Sie eine Versicherung gegen Cyberangriffe abgeschlossen, informieren Sie die Versicherungsgesellschaft in jedem Fall. Stellen Sie sicher, dass Sie gemäß den Vorgaben der Versicherung handeln, die diese für ihre Kostenübernahme aufstellt. Im Falle der Entschlüsselung ist ein Neuaufbau Ihres IT-Netzwerks nach Ansicht des BSI dennoch erforderlich, um eine weitere erfolgreiche Ransomware-Attacke auszuschließen (Erste Hilfe bei einem schweren IT-Sicherheitsvorfall, Seite 15).

Keine Anmeldung mit Administratorkonten auf einem möglicherweise infizierten System

Es gilt zu verhindern, dass sich eine Person mit einem privilegierten Nutzerkonto auf dem infizierten System anmeldet. Diese Gefahr besteht zwar bezüglich Unternehmensangehörigen mit einem solchen Konto, doch ist vor allem an die Angreifer zu denken, die sich selbst ein Konto mit Administrator-Rechten erstellt haben können. Deswegen muss nach Konten gesucht werden, die keinem Mitarbeiter zuzuordnen sind.

Alle Systeme vom Netz nehmen

Um den Schaden durch Ausbreitung der Malware zu begrenzen, nehmen Sie alle Systeme vom Netz. Der schnellste Weg ist, die Netzwerkkabel zu ziehen. Abgewogen werden muss jedoch, ob die Netzverbindung des Systems (und im Anschluss auch die Stromversorgung) – bei Gefahr des Verlusts weiterer Daten an das Schadprogramm – noch solange aufrechterhalten werden soll, bis ein forensisches Abbild des Arbeitsspeichers angefertigt wurde. Dort enthaltene Daten gehen sonst verloren. (Leitfaden „IT-Forensik“ des BSI, Seite 37). Ändern Sie im Anschluss an die Trennung der Systeme vom Netz alle bisher verwendeten Kennwörter.

Forensische Untersuchung

Haben Sie sich für die Einleitung der Strafverfolgung entschieden, dienen Ihre allerersten Schritte nach einem Cyberangriff der Beweissicherung. Noch vor Reparaturversuchen oder Aktionen zur Analyse ist es zu empfehlen  ein forensisches Abbildzu erstellen und den Zwischenspeicher sowie die Festplatten zu sichern. Planen Sie eine forensische Untersuchung, fahren Sie die Geräte nicht herunter, da beim Herunterfahren Dateien verändert werden.

Eine  nachfolgende Analyse beschäftigt sich vor allem damit, wie die Ransomware das System infizierten konnte, um diese Schwachstellen zu schließen.

Identifikation der betroffenen Systeme

Um die betroffenen Systeme, das Ausmaß des Ransomware-Angriffs und noch anhaltende Datenabflüsse zu ermitteln, kann mittels Logdaten die Netzwerk-Kommunikation ausgewertet werden. So lautet auch die Empfehlung des BSI (Erste Hilfe bei einem schweren IT-Sicherheitsvorfall, Seite 19).

Werden Logdaten in Ihrem Unternehmen noch nicht standardmäßig aufgezeichnet, beschließen  Sie die Umstände der Speicherung in Zusammenarbeit mit dem Datenschutzbeauftragten und ggf. dem Betriebs-/Personalrat.

Arbeitsfähigkeit teilweise wiederherstellen

Wenn Sie nun in Kenntnis sind ,welche Dienstleistungen und Prozesse unbedingt aufrecht zu erhalten sind und welche Systeme infiziert sind, können Sie ggf. Dienstleistungen auf nicht betroffene Systeme überführen. Falls das nicht möglich ist, können bestimmte Dienstleistungen eventuell mithilfe mobiler Endgeräte erbracht werden.

Bereinigung

Verwenden Sie Programme zur Beseitigung von Malware erst nach Abschluss der Analyse, da ihr Einsatz Änderungen am flüchtigen und nichtflüchtigen Speicher zur Folge haben kann.

Systeme neu installieren

Nach der Bereinigung des Active Directory müssen die Systeme vollständig neu aufgesetzt werden. Nur so kann ausgeschlossen werden, dass die Angreifer Hintertüren eingerichtet haben, durch die sie erneut auf Ihr System zugreifen können.

Sind die Systeme wiederhergestellt, ändern Sie erneut alle Kennwörter.

Nach der Neuinstallation der Systeme sollten Sie sich außerdem des Active Directory annehmen, dieses neu aufsetzen und es gegen Ransomware-Angriffe sichern.

Daten wiederherstellen

Liegen Datensicherungen via Backups vor, können Sie diese nun einspielen. Dabei kann es ratsam sein, mit Kopien der Backups zu arbeiten. Falls nicht alle betroffenen Systeme identifiziert wurden, bleiben Ihre Backups vor Infektion geschützt.

Auch ohne Backup kann eine Wiederherstellung der Daten möglicherweise gelingen. Beispielsweise kann es sein, dass Schattenkopien von der Ransomware nicht verschlüsselt wurden oder Daten forensisch wiederhergestellt werden können.

Was ist im Nachgang eines IT-Sicherheitsvorfalls zu tun?

Aus dem überstandenen Vorfall können Sie Erkenntnisse zur Prävention weiterer erfolgreicher Cyberangriffe gewinnen. Die Analyse beinhaltet eine umfassende Sammlung von Daten, u.a. der Firewall, des E-Mail-Servers, der infizierten Systeme und von Anti-Malware-Programmen. Die Auswertung des Vorfalls kann Ihnen insb. dabei helfen, Schwachstellen und Gegenmaßnahmen zu identifizieren. Aufbauend auf der Analyse können Sie Ihre IT-Sicherheits- und Notfallreaktionspläne überarbeiten. Sind alle Maßnahmen umgesetzt, hilft ein externer Penetrationstest bei der Überprüfung.

Co-Autor: Wissenschaftliche Mitarbeiterin - Stud. jur. Caroline Weis 

Bildquelle: Bild von Pete Linforth auf Pixabay