Datenwiederherstellung nach Ransomware-Attacke

Die Bedrohung durch Ransomware-Attacken nimmt stetig zu und kann verheerende Auswirkungen auf Unternehmen, Organisationen und Einzelpersonen haben. Gelingt es Kriminellen, in ein IT-System einzudringen und Daten zu verschlüsseln, gilt es dennoch, Ruhe zu bewahren. Der Fall eines international agierenden Unternehmens aus der Maschinen- und Anlagenbaubranche zeigt, dass Spezialisten Auswege aus der Krise finden können.

Laut Bitkom waren in den Jahren 2020 und 2021 neun von zehn Unternehmen von Cyberattacken betroffen. Vor allem die Bedrohung durch Ransomware-Attacken nimmt stetig zu. Dabei werden Festplatteninhalte von Client-Rechnern, Datenbanken oder Server-Systemen verschlüsselt und Lösegeldzahlungen gefordert, um den Zugriff wiederherzustellen. Solche Vorfälle ziehen i.d.R. erhebliche finanzielle Schäden und Datenverluste nach sich. Daher ist es von umso größerer Bedeutung, richtig zu reagieren – und im Schadensfall die Hilfe eines kompetenten IT-Sicherheitspartners in Anspruch zu nehmen.

Ein Unternehmen, das im November 2021 Opfer eines solchen Angriffs wurde, hat der Veröffentlichung der anonymisierten Fallanalyse zugestimmt. Durch das rechtzeitige Einschalten des secunet Incident-Response-Teams war es möglich, 98% der Daten wiederherzustellen und zu entschlüsseln, ohne das geforderte Lösegeld an die Täter zu bezahlen.

Wo lagen die Sicherheitslücken?

Ein Mitarbeiter des Unternehmens installierte ungeachtet der Sicherheitskriterien eine Crypto-Mining-Malware auf seinem Rechner. Durch den Download der als Trojaner getarnten Schadssoftware kamen die Täter an das Passwort eines Domain-Admins und erhielten so Zugriff auf die IT-Infrastruktur des Unternehmens. Innerhalb von drei Wochen konnten sich die Täter unentdeckt im Netzwerk bewegen und Daten herunterladen. Glücklicherweise beschränkte sich der Datendownload bis dahin überwiegend auf Marketing-Dokumente, deren Inhalte nicht sonderlich sensibel waren.

Eine vollständige Verschlüsselung aller Geräte im Unternehmen wurde durch die implementierten Sicherheitsmaßnahmen verhindert, bevor sich die Kriminellen händisch Zugriff auf das System verschaffen konnten. Es dauerte lediglich 20 Minuten bis der Vorgang einem Administrator auffiel und das Netzwerk vollständig heruntergefahren wurde.

Die Lösegeldforderung der Cyberkriminellen wurde via Link im Darknet an das Unternehmen vermittelt. In Absprache mit der Polizei ließ jenes sich allerdings nicht darauf ein und zog secunet hinzu, um die Daten wiederherzustellen. Dass dies so erfolgreich gelang, ist mehreren Faktoren und Maßnahmen zu verdanken. Die nötigen Weichenstellungen dafür wurde bereits während, aber auch schon im Vorfeld der Zusammenarbeit mit dem betroffenen Unternehmen vorgenommen.

Von der Bestandsaufnahme bis zur Lösung

1. Bestandsaufnahme: Die intern durchgeführte Sicherheitsprüfung des Kunden war ein erster wichtiger Schritt zur Lösung des Problems. So konnte der unzulässige Download des vermeintlichen Miners schnell festgestellt und so die Fehlerquelle zuverlässig ermittelt werden. Auf diese Weise konnte auch das Risiko zusätzlicher Schäden minimiert werden.
    
2. Reaktionszeit: Darüber hinaus war die schnelle Reaktion des aufmerksamen Administrators, dem der händische Zugriff auf die Daten aufgefallen war, entscheidend. So konnte das System binnen weniger Minuten heruntergefahren und das Unternehmen vor größerem Schaden bewahrt werden.
    
3. Expertise: Das Unternehmen entschied sich, externe Spezialisten hinzuzuziehen. Mit seinem Verständnis für die verwendete Schadsoftware und ihre Schwächen war das secunet Team in der Lage, rund 98% der verschlüsselten Daten zu entschlüsseln. Innerhalb von drei Wochen war das Unternehmen wieder voll funktionsfähig.
    
4. Zusammenarbeit: Eine erfolgreiche Lösung erfordert eine enge Zusammenarbeit zwischen verschiedenen Abteilungen und Dienstleistern. Im vorliegenden Fall hatte die IT-Abteilung des Unternehmens bereits klare Abstimmungs- und Informationsprozesse mit dem Management implementiert, die die Zusammenarbeit deutlich vereinfachten. Zudem trug dem Unternehmen zufolge die sehr vertrauensvolle und lösungsorientierte Zusammenarbeit mit dem secunet Incident-Response-Team maßgeblich dazu bei, den Angriff schnell zu beenden und die Geschäftstätigkeit wieder aufzunehmen.
    
5. Prävention: Im Rahmen seiner IT-Sicherheitsstrategie hatte das betroffene Unternehmen bereits Vorkehrungen getroffen, die den Tätern die Arbeit erschwerte. Die Implementierung eines Business-Continuity-Plans, vor allem aber präventive Maßnahmen wie regelmäßige Offline-Backups und Penetrationstests trugen zu einer schnellen Lösungsfindung bei.
    
6. Designfehler: Im konkreten Fall hatten die Angegriffenen zudem das Glück, dass die verwendete Ransomware eine Designschwäche enthielt, die das Team von secunet zur Entschlüsselung der Daten ausnutzen konnte.
    

Worauf es im Angriffsfall ankommt

Nicht jeder Ransomware-Vorfall geht so gut aus. Unternehmen können jedoch dafür sorgen, dass sie im Angriffsfall nicht kalt erwischt werden. Vor allem Zeit ist ein entscheidender Faktor: Bei der Abwehr eines Cyberangriffs zählt jede Minute. Gute Vorbereitung sowie klare Strukturen, Prozesse und Entscheidungsbäume helfen dabei, die eigene Reaktion deutlich zu beschleunigen und potenzielle Angriffe durch getroffene Maßnahmen zu verlangsamen und früher zu erkennen.