Cyber Security: Was tun bei einem Ransomware-Angriff?
Eine Ramsomware-Attacke kann jedes Unternehmen treffen, denn Cyberkriminelle nutzen jede noch so kleine Schwachstelle aus. Dafür entwickeln sie die Technologie hinter Schadsoftware stetig weiter, sodass auch mit der besten IT-Security ein Restrisiko besteht. Neben bestmöglicher Prävention sollten sich Unternehmen daher immer auch damit auseinandersetzen, was zu tun ist, wenn sie tatsächlich ein Cyberangriff trifft. In diesem Beitrag habe ich Ihnen zehn Tipps zusammengefasst – abgeleitet aus einem Kundenprojekt, welches wir kürzlich betreut haben. Erfahren Sie, wie das Städtische Klinikum Wolfenbüttel einen Ransomware-Angriff gemeistert hat – und was Sie selbst tun können, um sich zu schützen.
Ransomware bleibt ein großes Risiko
Die Digitalisierung verändert unsere Arbeitswelt. Dadurch steigt auch das Risiko für Cyberangriffe. Denn mit jedem vernetzten Gerät wächst die Angriffsfläche. Da die IT heute die Basis nahezu sämtlicher Geschäftsprozesse bildet, kann ein Ausfall großen Schaden anrichten. Für Cyberkriminelle haben sich Ransomware-Attacken daher zu einem lukrativen Geschäft entwickelt: Mithilfe einer Schadsoftware verschlüsseln sie Daten und erpressen ihre Opfer. Gegen Zahlung eines Lösegelds versprechen sie, die Daten wieder freizugeben. Doch Garantie dafür gibt es nicht.
Laut einer aktuellen weltweit angelegten Studie des Security-Anbieters Sophos wurden 37 Prozent der Unternehmen im vergangenen Jahr Opfer von Ransomware. Das durchschnittlich gezahlte Lösegeld betrug bei Unternehmen mittlerer Größe 170.404 US-Dollar, immerhin fast 150.000 Euro. Eine mittlerweile etablierte Praxis sind sogenannte Extortion Angriffe: Cyberkriminelle verschlüsseln die Daten nicht mehr, sondern stehlen sie. Anschließend drohen sie damit, die sensiblen Informationen zu veröffentlichen oder zu verkaufen.
Wie das Städtische Klinikum Wolfenbüttel eine Ransomware-Attacke meisterte
Einer unsere Kunden, das Städtische Klinikum Wolfenbüttel, wurde selbst Opfer einer Ransomware-Attacke – und hat sie dank des beherzten Vorgehens des IT-Leiters mit Bravour gemeistert. Im Juli 2021 erhielt der IT-Rufdienst des Klinikums einen Anruf, weil das Krankenhausinformationssystem nicht mehr verfügbar war. Schnell stellte sich heraus, dass eine Verschlüsselung vorlag.
Das Klinikum Wolfenbüttel wurde Ziel eines Cyberangriffs und konnte dank vorhandenem Notfallplan Schlimmeres verhindern.
IT-Leiter Sebastian Skalski reagierte daraufhin mit kühlem Kopf und nahm alle Systeme vom Netz, um eine weitere Ausbreitung der Malware zu verhindern. Er rief einen Krisenstab zusammen, verständigte die Cybercrime-Unit der Polizei, machte Meldung beim BSI sowie der Datenschutzbehörde und holte sich sofort Unterstützung von den Spezialist*innen der ACP und Sophos. Dank der Teamleistung aller Beteiligten war der Cybervorfall schnell bewältigt. Mario Krause, Kriminalhauptkommissar der Task-Force Cybercrime der Polizeidirektion Braunschweig, lobt das Vorgehen: „Die sofort eingeleiteten Maßnahmen und die Wiederherstellung der Systeme sind vorbildlich und in dieser Form einzigartig. Das Klinikum Wolfenbüttel leistet eine herausragende Arbeit und sticht mit seiner IT-Sicherheit und deren Umsetzungskonzepten heraus.“
Was andere Unternehmen daraus lernen können, fasse ich Ihnen im Folgenden zusammen.
10 Praxis-Tipps, wie Sie sich schützen können
Ein Cyberangriff kann jeden treffen und großen Schaden anrichten. Um sich zu schützen, brauchen Sie eine ganzheitliche Security-Strategie, die sowohl Prävention als auch Abwehr, Reaktion und Bewältigung umfasst. Hier kommen zehn Tipps, die sich bei unseren Kunden in der Praxis bewährt haben.
Halten Sie Ihre Software auf dem neuesten Stand
Bei Malware-Angriffen nutzen Cyberkriminelle Schwachstellen aus. Besonders anfällig sind veraltete, ungepatchte Systeme. Um Schwachstellen zu schließen, sollten Sie Updates und Patches möglichst zeitnah einspielen, nachdem sie vom Hersteller veröffentlicht sind. Prüfen Sie darüber hinaus regelmäßig Ihre Konfiguration.
Sensibilisieren Sie Mitarbeiter*innen
Häufig wenden Cyberkriminelle Phishing- und Social-Engineering-Taktiken an, um Mitarbeiter*innen mit z. B. harmlos aussehenden E-Mails auszutricksen und Malware in Unternehmensnetze einzuschleusen. Vor ein paar Jahren noch einfach erkennbar, fällt es heute immer schwerer, solche zu identifizieren. Ganz wichtig sind daher regelmäßige Schulungen und Trainings, die die Mitarbeiter*innen für Cyberrisiken sensibilisieren.
Achten Sie auf eine sichere Backup-Strategie
Backups helfen Ihnen, im Falle eines Cyberangriffs die Geschäftskontinuität zu sichern. Achten Sie darauf, mindestens ein Backup offline und von den anderen Systemen getrennt zu speichern, sodass es nicht selbst verschlüsselt werden kann. Das Klinikum Wolfenbüttel konnte dank seiner Backup-Strategie seine Systeme wiederherstellen, ohne Lösegeld zu zahlen.
Erstellen Sie einen Notfallplan
Im Ernstfall kommt es darauf an, schnell die richtigen Schritte einzuleiten. Dafür ist es hilfreich, wenn Sie einen Notfallplan haben, der Verantwortlichkeiten festlegt und Handlungsanweisungen gibt. Als Leitlinie für das Notfallmanagement hat das BSI den Standard 100-4 veröffentlicht.
Nehmen Sie bei einem Ransomware-Befall sofort alle Systeme vom Netz
Wenn Sie einen Ransomware-Angriff bemerken, ist es wichtig zu verhindern, dass sich die Malware weiter ausbreiten kann. Dafür sollten Sie alle IT-Systeme sofort vom Netz nehmen. So können Sie Schaden minimieren. Weil das Städtische Klinikum Wolfenbüttel schnell reagierte, war nur ein Backup-Server von der Verschlüsselung betroffen.
Holen Sie sich Hilfe von IT-Spezialist*innen
Um den Cybervorfall zu untersuchen, die Eintrittspforte zu bestimmen und die Malware unschädlich zu machen, empfiehlt es sich, mit spezialisierten IT-Forensikern zusammenzuarbeiten. Sie verfügen über entsprechendes Know-how und geeignete Tools. Eine Methode ist zum Beispiel das Thread Hunting: Die Spezialist*innen installieren eine Security Software auf den einzelnen Servern, scannen diese und werten die Logfiles aus. So können sie auffällige Prozesse entdecken und die Malware aufspüren.
Melden Sie den Vorfall
Parallel zur IT-forensischen Untersuchung sollten Sie die Polizei einschalten und den Vorfall gegebenenfalls beim BSI und bei der zuständigen Datenschutzbehörde melden.
Berufen Sie einen Krisenstab ein
Wenn die IT ausfällt, wirkt sich das auf den gesamten Geschäftsbetrieb aus. Um diese Herausforderung zu meistern, müssen alle Mitarbeiter*innen an einem Strang ziehen. Außerdem muss man in der Lage sein, schnelle Entscheidungen zu treffen. Das Klinikum Wolfenbüttel war auch hier gut aufgestellt, indem es bereits vor dem Cyberangriff einen Krisenstab gebildet hat. Neben den IT-lern gehören diesem auch Chefärzt*innen und Vertreter des Management-Teams an. Da die Verantwortlichkeiten bereits geklärt waren, konnte das Klinikum im Ernstfall wertvolle Zeit sparen. Im Vier-Stunden-Takt kamen sie zu Meetings zusammen und konnten schnell Entscheidungen treffen.
Seien Sie lösungsorientiert
Nach einem Cybervorfall geht es darum, die IT schnellstmöglich wieder betriebsfähig zu machen. Dafür sollten Sie auf Backups zurückgreifen können und einen verlässlichen IT-Partner an Ihrer Seite haben. Ganz wichtig ist, dass alle Beteiligten auf Augenhöhe Hand in Hand arbeiten, sodass Entscheidungen schnell getroffen werden können.
Setzen Sie auf moderne Security-Technik
Cyberangriffe und auch Security-Technik entwickeln sich ständig weiter. Daher ist es wichtig, die eigene Security-Umgebung immer wieder auf den Prüfstand zu stellen. Moderne Security-Lösungen setzen zum Beispiel KI und Verhaltens-Analysen ein, um auch bisher unbekannte Malware-Varianten zu erkennen und zu blockieren. Kommt doch einmal ein Angriff durch, helfen Techniken wie XDR (Extended Detection and Response) und Synchronized Security , ihn schnell einzudämmen.
Die Bedrohungslage wird weiter steigen
In den vergangenen Jahren haben Cyberangriffe kontinuierlich zugenommen und sind immer komplexer geworden. Dieser Trend wird sich weiter fortsetzen. Um der wachsenden Bedrohung zu begegnen, brauchen Unternehmen ein ganzheitliches Security-Konzept und einen verlässlichen IT-Partner. Wir bei ACP IT Solutions unterstützen unsere Kunden dabei sich bestmöglich zu schützen und auch im Falle eines Cyberangriffs betriebsfähig zu bleiben. Sebastian Skalski, IT-Leiter beim Städtischen Klinikum Wolfenbüttel, hat diese Erfahrung gemacht: „Für uns war es sehr beruhigend, einen Partner wie die ACP zu haben. So war ich mir sicher: Egal was passiert – auch wenn wir die gesamte Technik neu aufsetzen müssen – wir schaffen das.“
Nehmen Sie direkt Kontakt mit unseren Security-Expert*innen auf.
Cyberrisiken: Erkennen, abwehren, einschätzen und versichern
Nach Angaben des Cybersicherheitsexperten Perseus waren 88 Prozent der Unternehmen im vergangenen zwei Jahren bereits Opfer von Cyberangriffen. Neueste Zahlen des Bundeskriminalamtes zeigen, dass die Cyberstraftaten im vergangenen Jahr um weitere zwölf Prozent gestiegen sind. Der Ukraine-Krieg hat das Gefahrenpotenzial weiter erhöht. GDV und BSI warnen unisono. Perseus-Geschäftsfüherer Kevin Püster erläutert, wie sich Firmen schützen können.
Was sind Cyberrisiken?
Püster: Cyberrisiken sind die Risiken, die einem Unternehmen durch seine gespeicherten digitalen Informationen und vorhandenen IT-Bestandteile entstehen. Je wichtiger digitale Geräte, Technologien, Abläufe und Daten im Arbeitsalltag sind, desto verheerender sind die Auswirkungen, wenn sie ausfallen, beschädigt oder gestohlen werden. Zum Beispiel wenn ein Datenträger versehentlich gelöscht wird, wenn ein Kurzschluss oder ein Feuer einen Server außer Betrieb setzen oder ein Angriff von Cyberkriminellen das gesamte Unternehmensnetzwerk unbenutzbar macht.
Wie lassen sich Cyberrisiken verringern?
Püster: Gegen Cyberrisiken und ihre negativen Auswirkungen lassen sich Vorkehrungen treffen. Eine besonders wichtige Rolle spielen Schutzmaßnahmen gegen Angriffe durch Cyberkriminelle. Denn solche Attacken werden immer häufiger, vielfältiger und gravierender. Zugleich verringern viele Schutzmaßnahmen gegen solche Angriffe auch die negativen Auswirkungen anderer Cyberrisiken. So sind externe Datensicherungen hilfreich, wenn alle Unternehmensdaten von Cyberkriminellen verschlüsselt wurden und ebenso, wenn ein Brand den Server beschädigt hat.
Wie verbreitet sind Angriffe durch Cyberkriminelle?
Püster: Angriffe durch Cyberkriminelle sind nicht nur häufig, sie sind alltäglich – insbesondere in Form von Spam- oder Phishing-E-Mails. Erfolgreiche Attacken sind ebenfalls häufig. Laut einer repräsentativen Studie des Digitalverbands Bitkom haben Cyberangriffe 2020/2021 bei 89 Prozent der befragten Unternehmen einen Schaden verursacht. Eine steigende Tendenz solcher Angriffe bestätigt der Jahresbericht 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unter anderem wuchs die Zahl der Schadprogramme gegenüber dem Vorjahr um rund 22 Prozent an.
Welche Unternehmen sind besonders anfällig für Cyberangriffe?
Püster: Kleine und mittlere Unternehmen (KMUs) sind besonders anfällig für Cyberangriffe. Zum einen, weil 99,4 Prozent aller deutschen Unternehmen zu den KMUs zählen. Kleinstunternehmen – mit bis zu neun Mitarbeitenden – machen hiervon die überwiegende Mehrheit aus: 81,9 Prozent.
Zum anderen ist in Klein- und Kleinstunternehmen häufig niemand explizit für IT-Sicherheit zuständig. Selten gibt es ein ganzheitliches IT-Schutzkonzept oder Schulungen von Mitarbeitenden zum Thema IT-Sicherheit. Die verwendete Technik – Hard- und Software – ist nicht immer auf dem neuesten Stand und auch Vorbereitungen auf eventuelle Cyberattacken sind eher die Ausnahme als die Regel. Unternehmen, in denen mehrere dieser Bedingungen zutreffen, sind besonders anfällig für Cyberangriffe und die dadurch entstehenden Schäden.
Was ist die größte Cybergefahr für KMUs?
Püster: Die mit Abstand größte Gefahr in Bezug auf die Cybersicherheit von KMU besteht darin, die existierenden Risiken nicht zu erkennen. Denn je geringer das Risikobewusstsein ist, desto weniger Schutzmaßnahmen werden ergriffen – desto wahrscheinlicher werden erfolgreiche Cyberangriffe und desto unwahrscheinlicher eine frühe Schadensbegrenzung. Oft liegt die Ursache dieser Fehleinschätzungen in dem Irrglauben, das eigene Unternehmen sei für Cyberkriminelle zu klein und zu uninteressant.
Aus Sicht der Cyberkriminellen ist jedoch jedes Unternehmen mit Internetanbindung ein attraktives Angriffsziel. Zum Beispiel um Kundschaftsdaten zu stehlen und im Darknet zu verkaufen oder den Zugang zum Online-Banking auszuspionieren. Außerdem ist jedes Unternehmen, das seine IT zum Arbeiten braucht, potenziell durch Verschlüsselungs-Software erpressbar. Viele Attacken erfolgen nach dem Prinzip Gießkanne mit automatisch verschickten E-Mails an hunderttausende von Empfängern. Gezielte, aufwendigere Angriffe sind zudem möglich, wenn ein KMU etwa ein Zulieferunternehmen ist, über das Cyberkriminelle sich Zugang zu einem größeren Unternehmen erhoffen.
Welche Konsequenzen haben Cybervorfälle?
Püster: Durch Cyberangriffe können Kosten entstehen für mehrtägige Betriebsausfälle, für das Ersetzen von Hard- und Software, für IT-Dienstleistungen und den Zusatzaufwand, um beispielsweise verlorene Daten anhand von Akten zu rekonstruieren. Hinzu kommen ggf. Bußgelder aufgrund von Verstößen gegen die DSGVO, Vertragsstrafen, Zahlungsausfälle und belastete oder sogar beendete Geschäftsbeziehungen.
Denn sperrt etwa eine Verschlüsselungs-Software die gesamte Unternehmens-IT, sind auch Bestelleingänge, Buchungen, Terminkalender, Kundschafts- und Kontaktdaten nicht mehr zugänglich. Dann können viele Kunden und Partnerunternehmen nicht einmal über die Ausfälle und Verzögerungen informiert werden.
Der Schaden für Image und Geschäftsbeziehungen wird zusätzlich dadurch vergrößert, dass selten genau absehbar ist, wann der geregelte Betrieb wieder aufgenommen werden kann. Denn das IT-System muss gründlich bereinigt, überprüft und eventuell sogar neu aufgesetzt werden. Der Grund dafür ist, dass Cyberkriminelle häufig weitere Schadsoftware tief im System verstecken, um später erneut anzugreifen.
Wie können Unternehmen sich schützen?
Püster: Um Cybergefahren nachhaltig abwehren zu können, ist ein ganzheitliches Cybersicherheitskonzept erforderlich, das sich aus präventiven Maßnahmen, einem umfassenden Notfallmanagement und der richtigen Bewertung der bestehenden Cyberrisiken zusammensetzt. Unternehmen sollten großen Wert darauf legen, einen soliden IT-Grundschutz etwa nach den Vorgaben des BSI aufzubauen. Dieser beinhaltet Maßnahmen, um Cyberangriffe zu verhindern. Eine 100prozentige Absicherung gegen Cyberangriffe kann er jedoch nicht bieten, deshalb gehören auch Maßnahmen zur Schadensbegrenzung nach erfolgreichen Angriffen zum IT-Grundschutz.
Elementare Bestandteile des präventiven IT-Grundschutzes sind sichere Passwörter, Antiviren-Programme, Firewalls und das umgehende Einspielen von Updates. Von großer Wichtigkeit sind Schulungen der Mitarbeitenden, auch um die häufigsten Cyberattacken erfolgreich abzuwehren: Angriffe durch teilweise sehr raffiniert gefälschte E-Mails. Bei 70 Prozent der erfolgreichen Cyberangriffe gegen Unternehmen waren laut einer Sophos-Studie E-Mails das Einfallstor.
Besonders wichtig zur Schadensbegrenzung nach einem Cyberangriff sind ein Notfallplan und Datensicherungen (Backups). Der Notfallplan ermöglicht schnelles, zielgerichtetes Handeln, sobald ein Cyberangriff erkannt wurde. Aktuelle Datensicherungen – von denen mindestens eine vom System getrennt aufbewahrt werden muss – sorgen dafür, dass der Betrieb nach einem Angriff schnellstmöglich wieder aufgenommen werden kann. Eine Cyberversicherung kann zudem die finanziellen Schäden eines Angriffs auffangen.
Cyberversicherungen: Cyberrisiken identifizieren und einschätzen
Püster: Cyberrisiken sind anspruchsvolle Risiken, die sich zudem dynamisch entwickeln. Neue Bedrohungen verändern die Lage ständig. Aktuell schätzen Cyberversicherer das Risiko eines Unternehmens anhand von Fragebögen ein. Je nach Versicherer werden dabei unterschiedlich viele Fragen zum IT-Grundschutz gestellt. Mehr und genauere Fragen ermöglichen eine präzise Risikoeinschätzung.
Bei der Beantwortung dieser Fragen wünschen sich Unternehmen oft Beratung. Hier können externe Dienstleister wie Perseus Technologies helfen. Zugleich können sie als Schnittstelle zwischen Versicherungen und Unternehmen agieren. Indem sie eine fundierte Risikoeinschätzung vornehmen und die Unternehmen durch Beratung, Präventionsprogramme und Notfallhilfe bei der Verbesserung ihrer Cybersicherheit unterstützen.
Wie kann eine zukünftige Versicherbarkeit sichergestellt werden?
Püster: In Anbetracht steigender Angriffszahlen und Schadensummen wird eine möglichst genaue Risikoeinschätzung immer wichtiger. Zum einen zur präzisen Kohortenbildung, zum anderen um abzugleichen, wie sich die erhobenen Faktoren in Schadenfällen auswirken.
Um spätere Anpassungen der Prämien zu vermeiden, müssen die Versicherungsbedingungen zudem konkreter und anspruchsvoller gestaltet werden.
Für Versicherer werden Unternehmen, die Ihre Risiken aktiv minimieren, immer attraktiver. Daher fördern immer mehr Versicherer Risikominimierungen, unter anderem durch Kooperationen mit Dienstleistern wie Perseus. In diesem Zusammenhang gewinnen wiederkehrende Risikoeinschätzungen an Bedeutung, unter anderem um positive Entwicklungen eines Unternehmens zu erkennen.
Für Unternehmen und Versicherungsmakler wäre zudem eine Standardisierung der Risikoeinschätzung wünschenswert, um die unterschiedlichen Angebote einfacher vergleichbar zu machen. Für Versicherer hätte sie den Vorteil, interne Ressourcen effizienter nutzen zu können.
Cyberangriffe erfolgreich bewältigen
So reagieren Sie richtig auf Cyberangriffe
Bereiten Sie sich vor
Trainieren Sie Ihr Kernteam im Umgang mit Cyberangriffen. Während verschiedener Übungsszenarien können Sie Lücken und Überschneidungen in der Krisenmanagementprozessen erkennen und verbessern. Zum Beispiel, indem sie klare Rollen und Verantwortlichkeiten definieren.
Sichern Sie sich ab
Richten Sie redundante Kommunikationssysteme ein, damit Ihre Alarme zuverlässig ankommen. Wenn der E-Mail-Server ausfällt, sollten Sie noch weitere Kommunikationsmöglichkeiten wie SMS oder Pushnachrichten zur Verfügung haben.
Lernen Sie daraus
Wenn Sie eine Alarmierungssoftware verwenden, die alle Maßnahmen und die gesamte Kommunikation dokumentiert, können Sie im Nachhinein wertvolle Lehren aus der Krise ziehen. Insbesondere aber können Sie mit dieser Dokumentation den Behörden nachweisen, dass Sie vorschriftsmäßig gehandelt haben.
