Wiederherstellungsplan nach Ransomware-Angriff

Erstellen Sie immer einen Plan zur Wiederherstellung nach einem Ransomware-Angriff, beginnend mit einer Alternative zur Lösegeldzahlung, um zu vermeiden, dass Sie den Zugriff auf Ihre Daten verlieren.

Wichtig

Lesen Sie die gesamte Serie zur Ransomware-Prävention und machen Sie Ihr Unternehmen unempfindlich gegen Ransomware-Angriffe.

Ransomware-Akteure, die Ihr Unternehmen kontrollieren, haben viele Möglichkeiten, Sie zur Zahlung zu zwingen. Die Forderungen konzentrieren sich in erster Linie auf zwei Kategorien:

  • Zahlen Sie ein Lösegeld, um wieder Zugang zu erhalten

    Bedrohungsakteure fordern eine Zahlung basierend auf der Drohung, dass sie Ihnen sonst den Zugriff auf Ihre Systeme und Daten nicht gewähren. Hierfür werden üblicherweise Ihre Systeme und Daten verschlüsselt, und es wird eine Zahlung gefordert, um den Schlüssel für die Entschlüsselung zu erhalten.

    Wichtig

    Das Bezahlen des Lösegelds garantiert keinen wiederhergestellten Zugriff auf Ihre Daten.

Finanziell motivierte Cyberkriminelle (und oft relativ amateurhafte Betreiber, die ein von jemand anderem bereitgestelltes Toolkit verwenden), könnten beide durch Zahlung gesperrte Dateien behalten. Es gibt keine rechtliche Garantie, dass die Angreifer einen Schlüssel bereitstellen, mit dem Sie Ihre gesamten Systeme und Daten vollständig entschlüsseln können, bzw. dass Sie überhaupt einen Schlüssel erhalten. Beim Prozess zum Entschlüsseln dieser Systeme werden selbstentwickelte Tools der Angreifer genutzt, und dies ist häufig mit einem umständlichen und manuellen Prozess verbunden.

  • Zahlen, um die Offenlegung zu vermeiden

    Bedrohungsakteure verlangen eine Zahlung, mit der Sie verhindern sollen, dass vertrauliche oder heikle Daten im Darknet (für andere Kriminelle) oder für die Öffentlichkeit bereitgestellt werden.

Die unmittelbarste und effektivste Maßnahme zur Vermeidung einer Zahlungserzwingung (das gewünschte Ergebnis für Bedrohungsakteure) lautet wie folgt: Stellen Sie sicher, dass Ihre Organisation Ihre gesamten Unternehmensdaten aus unveränderlichem Speicher, an dem weder von Cyberkriminellen noch von Ihnen Änderungen vorgenommen werden können, wiederherstellen kann.

Die Ermittlung der Ressourcen mit dem höchsten Vertraulichkeitsgrad und deren Schutz auf einer höheren Sicherheitsebene ist ebenfalls von entscheidender Bedeutung. Dieser Prozess erfordert aber mehr Zeit und Aufwand. Wir möchten verhindern, dass andere Bereiche in der Phase 1 oder 2 zu kurz kommen. Unsere Empfehlung lautet aber, dass Sie den Prozess anstoßen, indem Sie die Beteiligten aus den Bereichen Business, IT und Sicherheit an einen Tisch bringen, um Fragen der folgenden Art zu stellen und zu beantworten:

  • Welche Geschäftsressourcen wären mit dem größten Schaden verbunden, wenn sie kompromittiert werden? Ein Beispiel: Für welche Vermögenswerte wäre unsere Unternehmensführung bereit, eine Erpressungsforderung zu bezahlen, wenn sie von Cyberkriminellen kontrolliert werden würde?
  • Wie lassen sich diese geschäftlichen Ressourcen in IT-Ressourcen (wie Dateien, Anwendungen, Datenbanken, Server und Steuerungssysteme) übersetzen?
  • Wie können wir diese Ressourcen schützen oder isolieren, damit Bedrohungsakteure, die sich Zugang zur allgemeinen IT-Umgebung verschafft haben, nicht darauf zugreifen können?

Schützen der Sicherungskopien

Sie müssen sicherstellen, dass kritische Systeme und die zugehörigen Daten gesichert werden und die Sicherungen vor dem gezielten Löschen oder der Verschlüsselung durch einen Bedrohungsakteur geschützt sind.

Bei Angriffen auf Ihre Sicherungen soll es Ihrer Organisation erschwert bzw. verhindert werden, dass eine Möglichkeit zur Reaktion besteht, ohne dass die Zahlung geleistet wird. Das Ziel sind hierbei häufig Sicherungen und wichtige Dokumentationen, die für die Wiederherstellung benötigt werden, um Sie zum Zahlen des geforderten Lösegelds zu zwingen.

Die meisten Organisationen verfügen nicht über einen Schutz ihrer Sicherungs- und Wiederherstellungsverfahren vor dieser Art von gezielten Angriffen.

Unter Sicherungs- und Wiederherstellungsplan für den Schutz gegen Ransomware erfahren Sie, was Sie vor und während eines Ransomware-Angriffs tun müssen, um Ihre kritischen Geschäftssysteme zu schützen und eine schnelle Wiederherstellung des Geschäftsbetriebs zu gewährleisten.

Erfahren Sie, wie Sie Ihre OneDrive-Dateien wiederherstellen, falls ein Ransomware-Angriff aufgetreten ist.

Verantwortlichkeiten von Programm- und Projektmitgliedern

In dieser Tabelle wird der allgemeine Schutz Ihrer Daten vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben. Sie dient als Hilfe beim Ermitteln und Erzielen von Ergebnissen.

Lead Implementierung Verantwortlichkeit
Zentrale IT-Abteilung – Operations oder CIO Führungskräfte-Sponsorship
Programmlead aus zentraler IT-Abteilung – Infrastruktur Fördern von Ergebnissen und teamübergreifender Zusammenarbeit
Zentrale IT-Abteilung – Infrastruktur/Sicherung Ermöglichen einer Sicherung der Infrastruktur
Zentrale IT-Abteilung – Produktivität/Endbenutzer Ermöglichen von OneDrive-Sicherungen
Sicherheitsarchitektur Beratung zu Konfiguration und Standards
Sicherheitsrichtlinien und -standards Aktualisieren von Standards und Richtliniendokumenten
Sicherheitscomplianceverwaltung Überwachung zur Gewährleistung der Compliance

Checkliste für die Implementierung

Wenden Sie diese bewährten Methoden an, um Ihre Sicherungsinfrastruktur zu schützen.

Fertig Aufgabe BESCHREIBUNG
Sichern Sie alle kritischen Daten in regelmäßigen Abständen automatisch. Ermöglicht Ihnen die Wiederherstellung der Daten bis zur letzten Sicherung.
Regelmäßiges Durchführen von Übungen für Ihren Plan für Geschäftskontinuität/Notfallwiederherstellung (BC/DR) Stellt eine schnelle Wiederherstellung des Geschäftsbetriebs sicher, indem ein Ransomware- oder Erpressungsangriff mit der gleichen Wichtigkeit wie eine Naturkatastrophe behandelt wird.
Schützen Sie Backups vor absichtlicher Löschung und Verschlüsselung:

- Hoher Schutz: Erzwingen von Out-of-Band-Schritten (MFA oder PIN) vor dem Ändern von Onlinesicherungen (z. B. Azure Backup)

- Höchster Schutz: Speichern von Sicherungen in unveränderlichem Onlinespeicher (z. B. Azure Blob) bzw. vollständig offline oder an einem anderen Standort
Backups, auf die Cyberkriminelle zugreifen können, können für die Wiederherstellung im Unternehmen unbrauchbar gemacht werden. Implementieren Sie höhere Sicherheitsvorkehrungen für den Zugriff auf Sicherungen, und verhindern Sie, dass die in Sicherungen gespeicherten Daten geändert werden können.
Schützen von unterstützenden Dokumenten, die für die Wiederherstellung erforderlich sind, z. B. Dokumente zum Wiederherstellungsverfahren, Konfigurationsverwaltungsdatenbank (Configuration Manamgent Database, CMDB) und Netzwerkdiagramme Diese Ressourcen werden von Bedrohungsakteuren gezielt ins Visier genommen, weil für Sie bei einer Kompromittierung die Wiederherstellung erschwert wird. Stellen Sie sicher, dass sie einen Angriff mit Ransomware überstehen.

Implementierungsergebnisse und Zeitachsen

Stellen Sie innerhalb von 30 Tagen sicher, dass der Wert für die durchschnittliche Wiederherstellungszeit (Mean Time To Recover, MTTR) Ihr Ziel für die Geschäftskontinuität/Notfallwiederherstellung (BC/DR) erfüllt, das im Verlauf der Simulationen und realen Vorgänge ermittelt wurde.

Datenschutz

Sie müssen den Schutz von Daten implementieren, um die schnelle und zuverlässige Wiederherstellung nach einem Ransomware-Angriff sicherzustellen und einige Angriffstechniken zu blockieren.

Erpressungen und destruktive Angriffe mit Ransomware funktionieren nur, wenn für Sie kein legitimer Zugriff auf Daten und Systeme mehr möglich ist. Indem Sie sicherstellen, dass Bedrohungsakteure es für Sie nicht unmöglich machen können, den Geschäftsbetrieb ohne Zahlung fortzusetzen, schützen Sie Ihr Unternehmen. Darüber hinaus beseitigen Sie den monetären Anreiz für einen Angriff auf Ihre Organisation.

Verantwortlichkeiten von Programm- und Projektmitgliedern

In dieser Tabelle wird der allgemeine Schutz der Daten Ihrer Organisation vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben. Sie dient als Hilfe beim Ermitteln und Erzielen von Ergebnissen.

Lead Implementierung Verantwortlichkeit
Zentrale IT-Abteilung – Operations oder CIO Führungskräfte-Sponsorship
Programmlead aus dem Bereich Datensicherheit Fördern von Ergebnissen und teamübergreifender Zusammenarbeit
Zentrale IT-Abteilung – Produktivität/Endbenutzer Implementieren von Änderungen am Microsoft 365-Mandanten für OneDrive und geschützte Ordner
Zentrale IT-Abteilung – Infrastruktur/Sicherung Ermöglichen einer Sicherung der Infrastruktur
Geschäft/Anwendung Identifizieren kritischer Geschäftsressourcen
Sicherheitsarchitektur Beratung zu Konfiguration und Standards
Sicherheitsrichtlinien und -standards Aktualisieren von Standards und Richtliniendokumenten
Sicherheitscomplianceverwaltung Überwachung zur Gewährleistung der Compliance
Team „Benutzerschulung“ Sicherstellen, dass in den Anleitungen für Benutzer die Richtlinienaktualisierungen widergespiegelt werden

Checkliste für die Implementierung

Wenden Sie diese bewährten Methoden an, um die Daten Ihrer Organisation zu schützen.

Fertig Aufgabe Beschreibung
Migrieren Sie Ihre Organisation in die Cloud:

- Verschieben von Benutzerdaten in Cloudlösungen wie OneDrive/SharePoint, um die Funktionen für die Versionsverwaltung und den Papierkorb zu nutzen

- Schulen von Benutzern zur selbstständigen Wiederherstellung ihrer Dateien, um Verzögerungen und Wiederherstellungskosten zu reduzieren
Benutzerdaten in der Microsoft Cloud können mit integrierten Features für die Sicherheit und Datenverwaltung geschützt werden.
Festlegen von geschützten Ordnern Mit dieser Maßnahme wird es für nicht autorisierte Anwendungen erschwert, die Daten in diesen Ordnern zu ändern.
Überprüfen Sie Ihre Berechtigungen:

- Ermitteln der allgemeinen Schreib-/Löschberechtigungen für Dateifreigaben, SharePoint und andere Lösungen. Mit „allgemein“ ist hier gemeint, dass viele Benutzer über Schreib-/Löschberechtigungen für unternehmenskritische Daten verfügen.

– Reduzieren Sie umfassende Berechtigungen für die Speicherorte wichtiger Daten, und erfüllen Sie gleichzeitig Anforderungen an geschäftliche Zusammenarbeit.

– Prüfen und überwachen Sie kritische Datenspeicherorte, um sicherzustellen, dass weitreichende Berechtigungen nicht erneut erteilt werden.
Reduziert das Risiko von Aktivitäten durch Ransomware, die auf einen umfassenden Zugriff angewiesen sind.

Nächster Schritt

Phase 2: Begrenzen des Schadensumfangs

Fahren Sie mit Phase 2 fort, um den Umfang des Schadens eines Angriffs zu begrenzen, indem Sie privilegierte Rollen schützen.

Zusätzliche Ressourcen zu Ransomware

Wichtige Informationen von Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud-Apps:

Blogbeiträge des Microsoft-Sicherheitsteams: