Resilienz in der Cyberkrise: Gestärkt durch die Ransomware-Krise

In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, stehen Unternehmen und ihre Kunden vor der dringenden Notwendigkeit, sich auf Ransomware-Angriffe vorzubereiten. Laut dem Ransomware-Report 2023 von Sophos gaben erneut 2/3 der befragten 3000 Unternehmen an, Opfer von Ransomware-Angriffen geworden zu sein. Auch wenn immer mehr Unternehmen Cyberversicherungen als sinnvoll anerkennen, richten Ransomwareangriffe nicht nur finanziellen Schaden an, sondern torpedieren das geplante Wachstum und bedrohen die Reputation des Unternehmens.  Angesichts der häufigen Berichterstattung über Ransomware-Angriffe und einer zunehmenden Akzeptanz, ist transparente Krisenkommunikation und der Umgang mit Kundenbeziehungen und Partnerschaften sowie möglicher Datenabflüsse besonders wichtig.

Ein Beispiel ist der Vorfall mit dem verlorenen Masterkey zur Azure-Cloud von Microsoft, bei dem die fehlende Kommunikation seitens Microsoft ebenso kritisiert wurde, wie das ein Masterkeys überhaupt existiert und wie dieser verloren gehen konnte.

Dieser Artikel beleuchtet, wie Unternehmen und Institutionen Ransomware-Angriffe durch robustes Cyber-Krisenmanagement bewältigen und gestärkt aus der Krise hervorgehen können. Er konzentriert sich hierbei auf die Bewältigung von Cyberkrisen und nicht auf die Ursachen und Schwachstellen, die zu solchen Krisen führen.

Der Ablauf von Ransomware-Angriffen:

Ransomware-Angriffe folgen oft einem festen Muster. Die Angreifer erlangen umfassende Berechtigungen in der IT-Umgebung, sei es durch menschliche Fehler oder durch bekannte beziehungsweise unbekannte Schwachstellen. Sie exfiltrieren Daten, deaktivieren Sicherheitsmechanismen und löschen Backups. Um Spuren zu verwischen und ihre Opfer zu erpressen, führen sie am Ende einen Kryptotrojaner aus, der alle erreichbaren Daten, einschließlich Datenbanken und Serversysteme, verschlüsselt. Nachdem die Verschlüsselung innerhalb des Unternehmens erkannt wurde, bricht normalerweise die klassische Chaosphase aus. Die Alarmierung erfolgt über etablierte oder improvisierte Wege von der IT-Leitung bis zur Geschäftsleitung, die wiederum weitere Informationen benötigt, um Maßnahmen wie das Abschalten aller IT-Systeme und die Benachrichtigung der betroffenen Stakeholder zu ergreifen.

Krisenstäbe werden ad hoc gebildet, ähnlich wie bei der Bewältigung der Corona-Pandemie. Sie versuchen, Schäden aus ihrer jeweiligen Perspektive abzuschätzen und hoffen, dass die IT-Abteilung ein nicht betroffenes Backup bereithält. Oftmals fehlt das Verständnis dafür, wie es zu diesem Vorfall kam und welche Systeme betroffen sind. Dieses Chaos dauert mehrere Tage an, da es Zeit kostet, einen geeigneten Incident Response Dienstleister zu finden, vertraglich zu verpflichten und dieser ein Team zusammenstellt und zum Kunden reist. Selbst wenn telefonische Hilfe bereits im Vorfeld geleistet wird, müssen vor Ort noch Cyber-Krisenmanagementprozesse aufgebaut, Daten gesichert und erste forensische Analysen durchgeführt werden. Aufgrund der hohen IT-Abhängigkeit von Unternehmen wird es immer schwieriger, Aufträge zu erfüllen und Kunden zu vertrösten, während der psychische Druck bei relevanten Entscheidern steigt, weil der Ausfall Wochen, nicht Tage, dauert.

Obwohl täglich über gehackte Unternehmen berichtet wird, fällt es Entscheidungsträgern oft schwer, eine transparente Kommunikation aufzubauen und Kunden frühzeitig einzubeziehen. Die Gründe dafür sind vielfältig, darunter die Verzögerung beim Eingestehen des Ausfalls, die Wahrnehmung des Angriffs als eigenen Fehler und die Hoffnung, den Vorfall geheim zu halten, bis ein Notbetrieb aufgebaut ist.

Faktoren, welche die Chaosphase verlängern:

  • Nicht alle kritischen Daten wurden gesichert oder wurden von den Angreifern zerstört.
  • Die Angreifer erhöhen den Druck, indem sie Unternehmensdaten veröffentlichen und Partner informieren.
  • Informationen zum aktuellen Angriff verlassen das Unternehmen unbewusst, was das mediale Interesse steigert.
  • Schnittstellen zu Partnern und Kunden könnten eine Kompromittierung von Fremdsystemen ermöglicht haben.
  • Es fehlen die benötigten Personalressourcen für die Untersuchung der kompromittierten Systeme und den Wiederaufbau der IT-Umgebung.

Der vorherige Abschnitt verdeutlicht, warum die Bewältigung eines Ransomware-Angriffs eine enorme Belastungsprobe ist und eher einem Marathon als einem Sprint gleicht. Wie kann man sich auf diesen Marathon vorbereiten und woran sollte man beim „Laufen“ denken.

Die Vorbereitung spielt eine entscheidende Rolle. Unternehmen sollten im Vorfeld klare Verantwortlichkeiten festlegen (Meldestellen, Krisenstab, Notfallteams), frühzeitige Erkennung ermöglichen und schnelle Meldewege etablieren. Dies spart initial Zeit und ermöglicht eine ruhigere Analyse der Ausgangssituation. Wer bereits einen Incident Responsedienstleister ausgewählt hat und  diesen in die eigene IT-Landschaft und Bewältigungsprozesse eingewiesen hat, kann früher und deutlich gezielter unterstützt werden.

Wer einen Krisenstab oder auch eine BAO (Besondere Aufbauorganisation) bewusst auf Ransomwareereignisse geschult und trainiert hat, weiß in diesem Moment welche Kompetenzen wann gebraucht werden, wie die Zusammenarbeit strukturiert erfolgt und welche Informationen initial abzufragen sind.

Insbesondere die Rollen der Stabsleitung und Visualisierung sind entscheidend, um eine strukturierte Arbeit im Krisenstab zu gewährleisten.

Eine aktuelle Business Impact Analyse und erprobte Geschäftsfortführungspläne sind von unschätzbarem Wert, um zu wissen, wie Geschäftsprozesse in den Notbetrieb überführt werden können. Vorlagen für die Erstkommunikation, sowohl für Kunden als auch für Mitarbeiter, sind hilfreich, um am ersten Tag angemessen zu kommunizieren. Ein umfassendes Monitoring und Logging, das auch nach einem Angriff verfügbar ist, unterstützt forensische Analysen und beschleunigt die Ergebnisse.

In einer Ära, in der Daten das Herzstück der Geschäftstätigkeit sind und Unternehmen täglich angegriffen werden, ist ein proaktives Cyber-Krisenmanagement unerlässlich. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem BSI-Standard 200-4, eine gute Anleitung zum Aufbau einer BAO, zur Herstellung der Funktionsfähigkeit und zur Notfallkommunikation herausgegeben. Darüber hinaus ist beschrieben, wie kritische Geschäftsprozesse innerhalb einer Business Impact Analyse erhoben werden können, wofür und wie Geschäftsfortführungspläne erstellt werden sowie wie diese Prozesse auch geübt und getestet werden können. Darüber hinaus ist für die Bewältigung anzumerken, keine Krise ist gleich und es gibt immer Situationen, an die man vorab nicht denken konnte, oder wofür keine Ressourcen vorgehalten werden können. Aus dem Grund kann durch eine gute Vorbereitung und die richtige Begleitung durch professionelle Incident Responseteams den Unterschied zwischen einem verheerenden Ransomware-Angriff und einer erfolgreichen Krisenbewältigung ausmachen, man seine Kunden im Notbetrieb versorgen und so gestärkt aus der Krise hervorgehen.

Uwe Grams hat als Krisenmanager in verschiedenen Branchen gearbeitet und Incident Response Teams geleitet. Er ist Co-Autor des modernisierten BSI-Standards 200-4 Business Continuity Management.

Bei RapidResponse, einem Tochterunternehmen der CyberDirekt GmbH, arbeiten wir daran, Unternehmen schnell und effektiv auf Cyberangriffe vorzubereiten und die richtigen Entscheidungen in Cyberkrisen zu treffen.