Länger als erwartet: Wiederherstellung nach einem Ransomware-Angriff

Ransomware Recovery Process


Die Dauer für die Wiederherstellung nach einem Ransomware-Angriff schwankt gewaltig. Im besten Fall, also wenn die Infektion gestoppt werden konnte, Notfallwiederherstellungspläne konsequent getestet wurden und der Decrypter ohne Probleme ausgeführt wird, können Unternehmen ihre Systeme binnen weniger Tage wieder zum Laufen bringen.

Das ist jedoch eher eine Seltenheit. Die Ausfallzeiten bei von Ransomware betroffenen Unternehmen belaufen sich durchschnittlich auf 21 Tage1. Mitunter können sie sich auch über Monate hinziehen.

Es kommt häufig vor, dass Unternehmen die zur Abwicklung eines Ransomware-Vorfalls erforderliche Zeit unterschätzen. Allzu verlockend ist der Gedanke, dass zu einer Wiederherstellung lediglich Sicherungen des Systems wieder eingespielt oder – im weniger wünschenswerten Fall – die Angreifer eben für das Entschlüsseln bezahlt werden müssen. Tatsächlich gibt es jedoch viele weitere Aspekte, die den Wiederherstellungsprozess verzögern können.

In diesem Artikel erklären wir, weshalb es für Unternehmen mitunter länger als erwartet dauern kann, um sich von einem Ransomware-Angriff zu erholen.

1. Mangelhafte Dokumentation

Ein wesentlicher Grund für den hohen Zeitaufwand einer Wiederherstellung ist eine mangelhafte Dokumentation. Viele Unternehmen arbeiten mit überholten Systemen oder Diensten, deren Dokumentation veraltet, ungenau oder schlicht nicht vorhanden ist.

Ohne eine aussagekräftige Dokumentation muss das IT-Personal in der dann sicherlich verwirrenden und ungewissen Situation Lösungsansätze improvisieren, die höchstwahrscheinlich zu Fehlern führen oder auch gar nicht wirken. Infektionen werden möglicherweise nicht vollständig gestoppt, Daten unnötigerweise beschädigt und Konformitätsanforderungen nicht eingehalten. Je nach Erfahrungsgrad des IT-Teams kann es durchaus auch vorkommen, dass es zum ersten Mal mit einem Cybersecurity-Vorfall größeren Ausmaßes zu tun hat.

2. Unzureichende Tests

Ein wichtiger Bestandteil eines jeden Ransomware-Notfallplans sind klar ausgearbeitete Gegenmaßnahmen. Es reicht jedoch nicht, nur einen Notfallplan zu haben. Die Wiederherstellungsstrategien müssen auch regelmäßig getestet werden, damit das Personal die aktuellen Sicherheitsverfahren kennt und genau weiß, was bei einem Vorfall zu tun und wer zu benachrichtigen ist.

Die Simulation eines Ransomware-Angriffs über theoretische Übungen ist beispielsweise eine nützliche Methode, um zu testen, wie gut ein Unternehmen auf Ransomware vorbereitet ist und welche Lücken eventuell im Notfallplan noch zu schließen sind. Laut einem Bericht von Veritas haben über die Hälfte (57 Prozent) der Unternehmen ihren Notfallplan innerhalb der letzten zwei Monate nicht getestet.

3. Forensische Untersuchungsverfahren

Bevor das System wiederhergestellt werden kann, muss das betroffene Unternehmen ausführlich untersuchen, auf welche Art dieses beeinträchtigt wurde und wie umfangreich der Angriff war.

Die Angriffskette könnte schon vor Wochen oder sogar Monaten begonnen haben. Daher ist eine gründliche Analyse eventuell sehr zeitaufwendig und es ist möglicherweise externe Unterstützung von digitalen Forensikspezialisten erforderlich, was die Wiederherstellung weiter verzögert.

4. Schlechte Funktionsweise des Decrypters

Die Wiederherstellung kann auch durch die schlechte Leistung der Decrypter beeinträchtigt werden. Unternehmen sollten sich bewusst sein, dass die von den Angreifern bereitgestellten Decrypter oftmals nicht so funktionieren wie behauptet. Die tatsächliche Zeit zur Entschlüsselung kann also erheblich länger ausfallen. Es kommt auch vor, dass Decrypter Bugs enthalten, die die Daten beim Entschlüsseln unwiederbringlich beschädigen.

5. Kommunikation

Während die Wiederherstellungsmaßnahmen großteils technischer Natur sind, muss doch auch viel kommuniziert werden, sowohl mit internem Personal als auch externen Dienstleistern, die möglicherweise zur Unterstützung herangezogen wurden:

6. Neuaufbau und Stärkung des Systems

Rein technisch gesehen ist die Wiederherstellung abgeschlossen, wenn das betroffene System wiederhergestellt wurde und das Unternehmen seinen Betrieb wieder aufnehmen konnte.

„Betriebsfähig“ ist jedoch nicht dasselbe wie „sicher“. Damit es in Zukunft nicht zu ähnlichen Vorfällen kommt, müssen Unternehmen auch viel Zeit in die Stärkung ihrer Sicherheitsprozesse stecken. Basierend auf den Ergebnissen der forensischen Analyse gilt es, Schwachstellen zu beheben und Gegenmaßnahmen zu verbessern.

Indem Unternehmen in eine bewährte Antivirus-Lösung wie Emsisoft Business Security investieren, können sie zuverlässig Ransomware-Bedrohungen erkennen und aufhalten, bevor es zu einer Verschlüsselung kommt.

1 Ransomware Payments Fall as Fewer Companies Pay Data Exfiltration Extortion Demands – Coveware

 

Übersetzung: Doreen Schäfer

 

Malware-Labor von Emsisoft

Malware-Labor von Emsisoft

Das Laborteam ist eine Gruppe von Cybersicherheitsforschern, die den Schutz der Emsisoft-Produkte verbessern, Unternehmen beim Umgang mit Sicherheitsvorfällen helfen und Analysen erstellen, um Entscheidungsträger über mögliche Bedrohungen aufzuklären.

Weitere Artikel