infoguard-blog-ostern-wiedergeburt

Wiedergeburt – wie Unternehmen nach einem Cyber-Angriff auferstehen

Veröffentlicht am 14. Apr 2022 | von Stefan Rothenbühler | Cyber Defence | CSIRT

Bald ist Ostern und die Suche nach den Osternestern startet wieder. Letztes Jahr ging es im Osterblog-Artikel darum, dass der Osterhase genauso Hinweise und Spuren hinterlässt wie ein Angreifer in Ihrem Netzwerk. Dieses Jahr befassen wir uns mit dem eigentlichen Thema von Ostern – der Wiedergeburt. Erfahren Sie in meinem Blogbeitrag, wie und mit welchen Strategien Unternehmen nach einem Cyber-Angriff wieder auferstehen.

Das Prinzip der Wiedergeburt nach einem Cyber-Angriff

Das höchste Fest im Kirchenjahr stellt für die Christen seit dem vierten Jahrhundert die dreitägige Osterfeier dar. Gestartet wird am heutigen Gründonnerstagabend mit dem letzten Abendmahl (wohl eines der berühmtesten Gemälde von Leonardo da Vinci), über den Leidensweg Jesus am Karfreitag bis hin zum Tag der Grabesruhe am Karsamstag und dem Anbruch der neuen Woche am Ostersonntag – dem Tag der Auferstehung des Herrn. Doch was hat das Ganze mit Cyber Security zu tun?

Wir durften schon verschiedenste Unternehmen bei ihrer «Wiederauferstehung» begleiten und aktiv unterstützen. Wenn wir vom InfoGuard CSIRT bei einem Cyber-Angriff aufgeboten werden, kommt es nicht selten vor, dass das betroffene Unternehmen komplett verschlüsselt wurde. Die Computer stehen still und nichts geht mehr. Das Unternehmen ist nicht mehr oder nur sehr eingeschränkt handlungsfähig. Für die Geschäftsleitung und die involvierten Mitarbeitenden ist dies eine sehr belastende und schwierige Situation, da unklar ist, wie und ob das Unternehmen wieder auf die Beine kommt. Jedoch ist auch eine solch ausweglos scheinende Situation durchaus zu meistern – mit Hilfe unserer professionellen Unterstützung.

Zahlen oder nicht zahlen – das ist die Frage

Bei einer Verschlüsselung steht meistens eine Lösegeldforderung im Raum. Grundsätzlich empfehlen wir, nicht auf diese Forderung einzugehen. Es gibt jedoch zwei Ausnahmen, bei welchen eine Zahlung in Frage kommt:

  • Wenn geschäftskritische Daten verschlüsselt werden und diese nicht mehr via Restore eines Backups wiederhergestellt werden können.

  • Wenn bei einer Double Extortion (Erpressung durch Drohung mit Veröffentlichen von Daten) heikle oder besonders schützenswerte Personendaten gefährdet sind.

Aus unserer Erfahrung ist der Restore eines Backups ungefähr gleich schnell wie das Aufsetzen, Testen und Koordinieren eines professionellen Entschlüsslers. Das Zahlen der Lösegeldforderung bietet also keinen signifikanten Geschwindigkeitsvorteil. Hinzu kommt das positive Feeling des «wir haben es ohne Zahlung geschafft», welches in dieser Situation für die involvierten Teams sehr wichtig ist. Die Entscheidung, ob auf die Lösegeldforderung eingegangen wird, muss und darf nicht von Vornherein abschliessend getroffen werden. Es gibt Fälle, bei denen erst relativ spät realisiert wird, dass gewisse wichtige Daten doch nicht wiederherstellbar sind. Aus diesem Grund lassen wir uns die Option «bezahlen» stets offen und verhandeln mit den Angreifern.

Wiederaufbau der IT-Landschaft

Wenn unser CSIRT zur Unterstützung bei einem Sicherheitsvorfall gerufen wird, ist unser oberstes Ziel, das Unternehmen schnellst möglich wieder handlungsfähig zu machen. Die ersten Schritte nach einem Cyber-Angriff sind dabei entscheidend. Für den Wiederaufbau der IT-Landschaft gibt es folgende drei unterschiedliche Strategien:

  • Beim Tabula-Rasa-Ansatz wird neue Hardware gekauft und die gesamte Umgebung neu aufgesetzt. Dabei werden nur die Rohdaten vom Backup wiederhergestellt.

  • Bei der Red-Network-Strategie wird ein neues, isoliertes Subnetz aufgebaut und wiederhergestellte oder gesäuberte Maschinen in einem isolierten Netzwerk wieder in Betrieb genommen.

  • Bei einem In-Situ-Restore-Ansatz arbeiten wir im infizierten Netzwerk und säubern die betroffenen Hosts, während die Geschäftsprozesse wieder hochgefahren werden.

Unserer Erfahrung nach wird für die meisten betroffenen Unternehmen mit einem Mix zwischen Red Network und In-Situ am schnellsten Erfolg erzielt. Mit dem Einsatz unseres forensischen Agenten und einer EDR-Lösung wie Cortex XDR für das Monitoring, können wir so sukzessive die Zugänge des Angreifers schliessen, die infizierten Systeme on-thy-fly bereinigen und wieder in Betrieb nehmen. Das IT-Team des Kunden kann sich so auf die Datenwiederherstellung konzentrieren und braucht sich nicht um eine neue Hardware zu kümmern.

Was können Sie tun?

So schön das Thema Wiedergeburt auch anmutet, es führt uns auch die Sterblichkeit vor Augen. Je nach Glaubensauffassung besteht aber bei Unternehmen im Gegensatz zum realen Leben eine grosse Chance auf eine Wiedergeburt, indem Sie sich entsprechend darauf vorbereiten:

  • Identifizieren Sie wichtige Systeme und überlegen Sie sich, in welcher Reihenfolge diese widerhergestellt werden sollten (AD DC, SAP etc.).

  • Testen Sie Ihre Backup-Strategie regelmässig oder lassen Sie sich diese von uns verifizieren. Dazu gehören auch regelmässige Restore-Tests.

  • Spielen Sie das Szenario eines Ransomware-Angriffs in Form einer Krisenübung durch. Dies hilft, Lücken in den Prozessen zu identifizieren.

  • Suchen Sie sich für den Ernstfall schon vorab einen starken Partner, welcher Sie vorab kennenlernen und Sie durch die Krise begleiten kann.

Sie sehen: Eine Cyber-Attacke kann Ihr Unternehmen jederzeit treffen – nicht nur zu Ostern. Mit unserem Incident Response Retainer schaffen wir die optimale Voraussetzung, um Sie bei einer Cyber-Attacke schnell, effizient und wirkungsvoll zu unterstützen. Geben Sie Angreifern keine Chance und kontaktieren Sie uns noch heute!

Incident Response Retainer

Mein persönlicher Anspruch ist es, dass ein Unternehmen sicherer aus der Krise hervorgeht, als es hineingeraten ist. Und glauben Sie mir: Ich habe schon so manche Wiedergeburt miterlebt... In diesem Sinne wünschen ich und das gesamte InfoGuard-Team Ihnen und Ihrer Familie ein frohes Osterfest.
<< >>

Cyber Defence , CSIRT

Stefan Rothenbühler
Über den Autor / Stefan Rothenbühler

InfoGuard AG - Stefan Rothenbühler, Principal Cyber Security Analyst

Weitere Artikel von Stefan Rothenbühler

Ähnliche Artikel
Der Osterhase als Threat-Actor – und die Suche nach seinen Spuren
Der Osterhase als Threat-Actor – und die Suche nach seinen Spuren
Veröffentlicht am 31. Mär 2021 | von Stefan Rothenbühler | Cyberrisiken | IT-Sicherheit | CSIRT |

Bald ist Ostern und die Suche nach den Osternestern startet wieder. Wie auch der Osterhase Hinweise und [...]
«Easter Egg» – das virtuelle Osterei und seine versteckte Hintertür
«Easter Egg» – das virtuelle Osterei und seine versteckte Hintertür
Veröffentlicht am 06. Apr 2020 | von Mirjam Burkard | Cyber Security | 0 Kommentare

Bald ist wieder Ostern und die Ostereiersuche startet. Sie macht Spass, ist aufregend und belohnt uns am Ende [...]
[InfoGuard CSIRT-Warnung] Schwachstelle im Microsoft RPC Dienst
[InfoGuard CSIRT-Warnung] Schwachstelle im Microsoft RPC Dienst
Veröffentlicht am 13. Apr 2022 | von Stefan Rothenbühler | Breach Detection | Cyberrisiken | CSIRT | 0 Kommentare

Beim gestrigen Update-Tuesday hat Microsoft insgesamt 119 Schwachstellen beseitigt. Dabei wurde eine [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.
Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2
Kategorien