Der Bericht zur „Lage der IT-Sicherheit in Deutschland 2023“ des BSI benennt Ransomware als die weiterhin größte Bedrohung auf die IT-Sicherheit in Deutschland. Dies haben wir zum Anlass genommen genauer auf die Rolle der Informationssicherheit in der Prävention, Erkennung und Reaktion von Ransomware – Vorfällen zu betrachten.
Der Inhalt im Überblick
Was ist Ransomware?
Zu Beginn ist zu klären, was genau Ransomware ist. Im Beitrag „Ransomware-Angriffe nehmen zu: Auf den Ernstfall vorbereiten!“ wurde bereits eine Erklärung von Ransomware gegeben.
„Ransomware ist eine Art von Schadsoftware, welche die Verschlüsselung der Daten auf einem System zum Ziel hat. Die Verschlüsselung wird dann von Angreifern als Druckmittel verwendet, um Lösegeldzahlungen zu erzwingen. In manchen Fällen werden nur einzelne Dateien verschlüsselt, häufig sperren die Angreifer jedoch das gesamte System. Einzig eine Nachricht mit weiteren Anweisungen und der Lösegeldforderung verbleibt. Diese besagt u.a., dass die Unternehmen für das gezahlte Lösegeld einen Code erhalten würden, um ihre Daten wieder entschlüsseln zu können.“
Diese Definition wirft die Frage auf, was man aus Sicht der Informationssicherheit unternehmen kann, um einen Ransomware Angriff möglicherweise zu verhindern, zu erkennen und darauf zu reagieren.
Hierbei bildet die Informationssicherheit den Rahmen, um präventiv der Gefahr Ransomware entgegen wirken zu können. Es werden unter anderem Prozesse für die Erkennung und Reaktion auf Ransomware-Angriffe geschaffen und Handlungsempfehlungen für den Ernstfall in Fall eines Notfallplans festgehalten.
Wie kann man Ransomware-Angriffe verhindern?
Um die Informationssicherheit in Organisationen voranzutreiben, ist die Benennung eines Informationssicherheitsbeauftragen (ISB) oder ein Verantwortlicher für die Informationssicherheit von Vorteil, welcher sich unter anderem um den Aufbau, die Erstellung sowie kontinuierlicher Verbesserung des Informationssicherheitsmanagementsystems (ISMS) kümmert.
Um alle Mitarbeitenden mit den Prozessen des ISMS vertraut zu machen, ist es ähnlich wie bei einer Brandschutzübung wichtig, die essenziellen und richtigen Prozesse zu üben. Bezogen auf die Reaktion im Fall eines Ransomware-Angriffs können Schulungen, Aushänge, Schreibtischtests oder Escape Rooms genutzt werden, um die entwickelten Prozesse zu trainieren und im Nachhinein gegebenenfalls anzupassen. Hierbei ist die Einbindung aller Mitarbeitenden aus allen Fachbereichen von großer Bedeutung.
Neben der Einbindung und Schulung der Mitarbeitenden sind ebenso technische Maßnahmen notwendig, um einen Ransomware-Angriff im besten Fall zu verhindern. Hierbei ist ein gut funktionierendes Patch Management von großer Bedeutung. Dieses stellt sicher, dass alle Systeme auf dem neusten Stand sind, um so das Risiko durch Sicherheitslücken in Software und Betriebssystemen zu reduzieren.
Ebenso gliedert sich eine solide Backup Strategie in die technischen und organisatorischen Präventionsmaßnahmen mit ein. Hierbei kann im Fall eines Angriffs Datenintegrität gewährleistet werden. Hierzu ist es notwendig Backups regelmäßig durchzuführen und zu testen, um die Daten angemessen vor Ransomware-Angriffen zu schützen.
Wie kann man Ransomware-Angriffe erkennen?
Die präventiven Maßnahmen werden nun durch verschiedene Prozesse zur Erkennung von Angriffen ergänzt. Diese schließen unter anderem eine Überwachung und Analyse ein, um ungewöhnliche Aktivitäten und Anomalien im Netzwerk erkennen zu können.
Dies wird durch Bedrohungsinformationen ergänzt, welche es Organisationen beispielsweise ermöglichen, frühzeitig Systeme und Software zu patchen und die Abwehrmechanismen proaktiv und kontinuierlich verbessern zu können.
Wie kann man auf Ransomware-Angriffe reagieren?
Sollte es dennoch zu einem Ransomware-Angriff kommen greifen die im ISMS entwickelten Prozesse inklusive der Meldung, Bewertung des Vorfalls, Analyse und Wiederanlaufpläne. Es ist ebenso möglich Dienstleister wie beispielsweise IT-Forensik einzubeziehen.
Ebenso ist die Kommunikation des Vorfalls, intern sowie extern, ein Punkt, welcher betrachtet werden sollte. Dies ist je nach Branche notwendig, da gegebenenfalls ein Vorfall konform der Regularien und relevanten Vorschriften gemeldet werden muss. Ergänzt wird dieses durch eine mögliche Kommunikation mit den Erpressern sowie Banken.
Sobald der Wiederanlauf abgeschlossen wurde und der Normalbetrieb wieder möglich ist, ist es jedoch an der Zeit den Prozess zu evaluieren und bei Bedarf anzupassen. Dies ermöglicht es, die entwickelten Prozesse stets an die aktuelle Bedrohungslandschaft und die individuellen Bedürfnisse der Organisation anzupassen.
Zusammengefasst durchläuft eine Betrachtung von Ransomware aus Sicht der Informationssicherheit unter anderem die folgenden Punkte.
Prävention:
- ISMS inkl. PDCA Zyklus aufbauen
- Schulungen der Mitarbeitenden
- Patchmanagement
- Backup Strategie
Erkennung:
- Überwachung und Analyse
- Bedrohungsinformationen
Reaktion:
- Bewertung des Vorfalls sowie Bewertung der Prozesse
- Kommunikation des Vorfalls
- Wiederanlaufpläne
Nach dem Vorfall ist vor dem Vorfall
Ransomware stellt eine ernsthafte Bedrohung für Organisationen jeder Größe und Branche dar. Die Informationssicherheit schafft durch präventive Maßnahmen, kontinuierliche Weiterentwicklung von Prozessen, Reaktionsstrategien, Prozesse und Handlungsempfehlungen, die es Organisationen ermöglichen im Notfall auf einen Ransomware – Angriff reagiert zu können, um die Informationssicherheit zu gewährleisten. Die Zusammenarbeit mit Stakeholdern im Unternehmen und gegebenenfalls mit externen Dienstleistern und Behörden ist hierbei ebenfalls essenziell.
Webinar zum Thema
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „IT-Notfall Ransomware“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Donnerstag, den 04.07.2024
von 14:30 bis 16:30 Uhr
Mittwoch, den 16.10.2024
von 14:30 bis 16:30 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.