Skip to main content
Top

2023 | Book

Krisenfall Ransomware

Strategien für Wiederaufbau, Forensik und Kommunikation

insite
SEARCH

About this book

Anhand von mehr als 50 bearbeiteten Angriffen auf deutsche Firmen erörtern die Autoren das technische Vorgehen von Ransomwaregruppen, die richtige Reaktion im Krisenfall und die Möglichkeiten zur Prävention. Illustriert durch zahlreiche Screenshots von Erpresserschreiben, Darknetseiten & Verhandlungschats. Mit Gastbeiträgen von N. Weyerstall, Dr. Malek und C. Kurtz sowie von betroffenen Unternehmen.

Dieses Buch ist mehr als nur eine Notfallanleitung für den eingetretenen Krisenfall. Um die eigene Verteidigung zu planen, lohnt es sich, den Ernstfall gedanklich durchzuspielen.

Table of Contents

Frontmatter
Kapitel 1. Einleitung
Zusammenfassung
Das Team der Autoren, die Corporate Trust – Business Risk and Crisis Management GmbH, ist eine Unternehmensberatung für Sicherheitsdienstleistungen im High-Level-Security-Bereich. Seit mehr als 15 Jahren unterstützen wir Unternehmen, Organisationen und Privatpersonen bei besonderen Sicherheitsherausforderungen. Unser Cyber-Team ist in Fällen von Industriespionage, bei der Abwehr von Geheimdiensten („state-sponsored actors“) und bei Fällen von Mitarbeiterkriminalität („white collar crime“) tätig.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 2. Kurzeinstieg für Manager
Zusammenfassung
Nahezu jedes Unternehmen hat in seiner Geschichte bereits existenzielle Krisen durchgestanden. Und auch die IT hat in den meisten Unternehmen bereits mal Probleme bereitet. Oft ist aber ein Ransomware-Fall die erste IT-Krise in einem Unternehmen, die die Fortführung des Unternehmens als Ganzes infrage stellt.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe

Wie funktioniert Ransomware?

Frontmatter
Kapitel 3. Evolution der Bedrohungslage
Zusammenfassung
Die Welt der Cyber-Sicherheit hat sich in den vergangenen 15 Jahren grundlegend verändert. Ein Modell aus der klassischen Sicherheit hilft, die Veränderungen zu visualisieren. Eine Bedrohung besteht aus drei Komponenten: Täter, Angriffsvektor/-methodik und Motivation. Während die Situation bez. der Angriffsvektoren im Wesentlichen gleichgeblieben ist, haben sich die Täter und deren Motivation im letzten Vierteljahrhundert signifikant verändert.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 4. Die Täter und ihre Motivation
Zusammenfassung
Um sich gegen eine Bedrohung sinnvoll zu verteidigen, muss man die Täter und deren Motivation verstehen. Mit dem Einzug des Internets und der Smartphones in das Leben jedes Einzelnen hat sich ein gewaltiger Umbruch in der Gesellschaft ergeben. Dieser Wandel wird auch von Kriminellen begleitet. Die Geschichte der Ransomware ist die Geschichte der digitalen Transformation der Organisierten Kriminalität.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 5. Taktik, Tools und Vorgehen der Angreifer
Zusammenfassung
Ein Ransomware-Angriff läuft typischerweise in mehreren Phasen ab. Nach einem erfolgreichen Initial Access haben die Angreifer die Kontrolle über ein Computersystem. Mittels einer Local Privilege Escalation verschaffen sich die Täter erhöhte Rechte auf dem System und persistieren ihren Zugriff mit einem Remote Access Trojaner. Von dort aus bewegen sich die Angreifer durchs interne Netz (Lateral Movement) und suchen eine Möglichkeit die höchsten Rechte in der IT-Infrastruktur zu erbeuten (Global Privilege Escalation). Für die spätere Double Extortion werden während dem Angriffsvorgehen schon sensible Daten ausgeleitet (Data Exfiltration). Wenn die Angreifer erfolgreich die zentrale IT-Infrastruktur übernommen haben, beginnt das Endspiel. Sie löschen Backups (Attacking the Backup) und verschlüsseln so viele Daten wie möglich (Encryption).
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe

Es ist passiert!

Frontmatter
Kapitel 6. Erst- und Sofortmaßnahmen
Zusammenfassung
Noch bevor ein Verteidigungsteam zusammengestellt wurde, eventuell sogar bevor alle Manager und Vorstände erreicht werden konnten, muss ein Mitarbeiter der IT einige einsame Entscheidungen treffen, um den Schaden zu reduzieren. Wenn die Indizien für einen Ransomware-Befall zwingend sind, dann sind die hier beschriebenen Sofortmaßnahmen unumgänglich und ggf. in Eigeninitiative durchzuführen.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 7. Open Source Intelligence (OSINT)
Zusammenfassung
Am Anfang des Falls ist über die Details des Angriffs faktisch nichts bekannt. Es gibt noch keine sichergestellten Beweismittel, mit denen man eine Forensik machen kann. Es gibt keine Logs, die man durchsehen könnte. OSINT nennt man die Sammlung und Analyse von Daten aus frei verfügbaren Quellen („open source“), um Informationen für ein bestimmtes Thema zu gewinnen. Im konkreten Anwendungsfall geht es jetzt darum, die Ransomware-Gruppe zu identifizieren und möglichst viel über deren Struktur, die technische Vorgehensweise und das Verhalten in Verhandlungen herauszufinden. Die Ergebnisse einer guten OSINT-Recherche liefern Informationen, die oft auch tagelange forensische Analysen nicht produzieren können.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 8. Schadensausmaß verstehen
Zusammenfassung
Während die IT-Sicherheitsexperten eine OSINT-Recherche vornehmen und die Krisenstäbe einberufen werden, werden idealerweise ein oder zwei IT-Experten des Unternehmens losgeschickt, das Schadensausmaß in der IT zu bestimmen. Die erste Frage im Krisenstab wird nämlich genau darauf zielen: „Was ist alles kaputt?“. Das wichtigste Thema für das Schadensausmaß ist jedoch die Bestandsaufnahme im Backupsystem.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 9. Organisation der Krisenbewältigung
Zusammenfassung
Eine Krise zeichnet sich dadurch aus, dass sie (hoffentlich) selten auftritt. Die Regelprozesse einer Organisation sind daher nicht geeignet, die jetzt notwendigen Maßnahmen effizient und effektiv zu erledigen. Sollte ein präventives Krisenmanagement bereits implementiert sein, kann dieses Kapitel übersprungen werden. Dieses Kapitel beschäftigt sich ausschließlich mit einem sogenannten Ad-hoc-Krisenmanagement.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 10. Aufbau Notbetrieb
Zusammenfassung
Es ist die wichtigste Aufgabe in der Krisenbewältigung, den Betriebsunterbrechungsschaden so gering wie möglich zu halten. Dem muss sich alles unterordnen. Behält man dieses Ziel im Auge, ist die Zwischenschaltung eines Notbetriebs vor der IT-Wiederherstellung in den meisten Fällen ein großer Vorteil. Das Ziel des Notbetriebs ist die möglichst schnelle Wiederherstellung der wichtigsten Wertschöpfungsprozesse. Eine gute Zielvorgabe ist: Ab Woche 2 müssen 80 % der Kernleistungen wieder erbracht werden.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 11. Täterkommunikation
Zusammenfassung
„Wir verhandeln nicht mit Kriminellen!“ Viele Unternehmen haben diese Einstellung, die zunächst nachvollziehbar ist. Durch den Beginn einer Kommunikation mit den Tätern ergeben sich keine Nachteile. Selbst wenn die Bezahlung des Erpressungsgeldes am Ende der Risikobewertung nicht zur Entscheidung ansteht, können andere Ziele erreicht werden und von großem Nutzen sein. Die Verweigerung einer Täterkommunikation ist eine vergebene Chance, den Strafverfolgern mehr Informationen über die Angreifer zu beschaffen. Richtig könnte es daher heißen: „Wir werden niemals Geld an Kriminelle bezahlen.“
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 12. Erpressungsgeldzahlung
Zusammenfassung
Ist die endgültige Forderung verhandelt und haben die Angreifer haben nachgewiesen, dass sie in der Lage sind, die Forderungen zu erfüllen, kann an eine Zahlung gedacht werden. Jede Zahlung an die Kriminellen wird von diesen, zumindest teilweise, in die Rekrutierung neuer Gefolgsleute und die Verbesserung des Tatvorgehens investiert. Jeder Cent ist eine Bestätigung, dass das „Geschäftsmodell Ransomware“ funktioniert und wird weitere Kriminelle motivieren. Wenn gezahlt werden muss, müssen etliche Aspekte berücksichtigt werden.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 13. Krisenkommunikation
Zusammenfassung
Krisen und Katastrophen sind grundsätzlich von hohem öffentlichem Interesse, da sie einzigartig und „beeindruckend“ sind und eine Störung des Alltäglichen darstellen. Da die Bevölkerung großes Interesse daran hat, über Ereignisse und Hintergründe informiert zu werden, verfügen Krisen auch über eine journalistische Relevanz. Eine Gemengelage aus öffentlichem Interesse, Medienwettbewerb und der Macht sozialer Medien führt zur Veröffentlichung besonders aufsehenerregender und reißerischer Nachrichten. Auch Beteiligte der Krisenbewältigung sind von dieser Dynamik betroffen und riskieren Missverständnisse, Fehleinschätzungen und schlechte Entscheidungen. Ohne effektive Krisenkommunikation laufen Verantwortliche Gefahr, das Vertrauen ihrer Stakeholder zu verlieren. Effektive Krisenkommunikation kann dagegen dazu beitragen, die negativen Auswirkungen von Krisen zu reduzieren. Sie schafft, erhält und fördert Vertrauen.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 14. Compliance Stakeholdermanagement
Zusammenfassung
Im Rahmen eines Ransomware-Angriffs ist die Zusammenarbeit mit zusätzlichen Stakeholdern notwendig. In einem ersten Schritt ist es wichtig, alle Verpflichtungen zu identifizieren, die ein Unternehmen im Rahmen einer solchen Krise hat. Diese können gesetzliche oder/und regulatorische Gründe haben. Ganz klassisch sind die Strafverfolgungsbehörden. Eventuell sind aber auch ausländische Töchter, Niederlassungen oder Lokationen betroffen. Dann ist zu entscheiden, ob auch hier Anzeige erstattet werden muss. Genauso verhält es sich mit den Datenschutzaufsichtsbehörden. Für Unternehmen der kritischen Infrastruktur existiert eine Meldepflicht beim BSI. Bestimmte Branchen (Medizintechnik, Lebensmittel) haben eventuell zusätzliche Meldepflichten. Dazu kommen je nach Unternehmen noch vertragliche Pflichten aus NDAs, Geheimhaltungs- und sonstigen Verträgen. Und nicht zuletzt ergeben sich oft auch aus den Versicherungspolicen Melde- und Informationspflichten.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 15. Forensik
Zusammenfassung
Forensik oder hier eigentlich IT-Forensik ist ein Sammelbegriff für all die Techniken und Methoden, Daten zu analysieren, um Erkenntnisse über die Vergangenheit zu sammeln. Die Forensik ist damit eine rückwärtsgewandte Tätigkeit. Es ist das geeignete Mittel, um Aussagen und Fragen über einen Vorgang (z. B. einen Ransomware-Angriff) mit Beweisen zu belegen oder zu widerlegen. Wie viel eine forensische Analyse aussagt, hängt wesentlich von der Datenlage ab. In der klassischen Forensik entstehen Fingerabdrücke und DNA-Spuren gleichermaßen von selbst durch die Aktionen der Täter. Auf einem Computersystem dagegen ist eine Aktion nur dann nachvollziehbar, wenn das Ergebnis noch vorhanden ist (z. B. Malware wurde im Dateisystem abgelegt) oder eine Komponente den Vorgang aufgezeichnet hat (z. B. Login eines Users im Log).
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 16. Wiederherstellung
Zusammenfassung
Die Wiederherstellung des Leistungsumfangs der IT und OT in den Zustand vor dem Angriff soll so schnell wie möglich erfolgen. Allerdings dürfen die Systeme selbst nicht in den gleichen Zustand wie vorher gebracht werden. Offensichtlich war die Absicherung gegen Angriffe nicht hoch genug. Gleichzeitig schwebt über allem die Angst, dass die Verschlüsselung wieder startet oder die Angreifer noch immer Zugriff ins Netz haben. Um dieses Ziel zu erreichen, gibt es mehrere Strategien.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 17. Schäden und Schadenshöhe
Zusammenfassung
Ein Cyberangriff verursacht typischerweise eine Vielzahl von Schadens- und Kostenpositionen. Cyberangriffe können Unternehmen auf sehr unterschiedliche Weise treffen. Die im jeweiligen Einzelfall durch einen Cyberangriff verursachten Schäden sind sehr unterschiedlich, ebenso wie die notwendigen Gegenmaßnahmen. Die Schadenspositionen eines Ransomware-Angriffs teilen sich in Eigenschäden des Unternehmens und Haftpflichtschäden. Diese Hauptkategorien unterteilen sich wiederum in verschiedene unterschiedliche Schadens- und Kostenarten.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe

Ich will nicht, dass es passiert!

Frontmatter
Kapitel 18. Präventives Krisenmanagement
Zusammenfassung
Nicht immer lassen sich Krisen vermeiden, aber jede Krise, die sich vermeiden lässt, sollte vermieden werden. Der beste Weg für ein Unternehmen ist es, Krisenprävention zu betreiben. Der beste Weg, sich auf Krisen vorzubereiten, ist, eine temporäre Organisation zu definieren, die das Unternehmen durch diese Situation führt. Die Vorgaben und Vorbereitungen für diese Krisenorganisation werden in einem Krisenhandbuch niedergelegt. Für die Anwendung eines Krisenhandbuchs gilt das Motto „Nicht geübt ist nicht gekonnt“. Daher sind mindestens jährliche Krisenstabstrainings notwendig.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 19. Moderne Security-Strategien
Zusammenfassung
Eine moderne IT-Sicherheit aufzubauen ist komplex. Die Möglichkeiten in der IT und die Fähigkeiten der Produkte ändern sich schnell. Die Welt der Angreifer ist ständig im Wandel. In der heutigen Welt ist das alte Konzept sich vor dem bösen Internet zu Schützen („Defend the Perimeter“) und abschottende Maßnahmen zu treffen als alleinige IT-Sicherheitsstrategie nicht mehr genug. Mit der Grundhaltung das eines Tages Sicherheitsmaßnahmen überwunden werden („Assume Breach“) müssen weitere Maßnahmen getroffen werden, die entstehende Auswirkungen und Schäden in diesen Fällen minimieren und rechtzeitig alarmieren.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 20. Alarmstufen im Information Security Management System (ISMS)
Zusammenfassung
In einer Zeit steigender Angriffszahlen kann sich kein CISO allein auf präventive Arbeit beschränken. Die Entdeckung und richtige Klassifikation von Vorfällen (Angriff vs. Betriebsstörung) spielen in der reaktiven IT-Sicherheit eine ebenso große Rolle. Je nach aktueller Informationslage muss der CISO die Situation bewerten und Maßnahmen einleiten. Es liegt daher im Eigeninteresse des CISO, dass Alarme in einem geregelten Prozess frühzeitig erkannt, eingestuft und behandelt werden. Das Alarmstufenmanagement definiert die verschiedenen Alarmstufen (z.B. Gelber Alarm, Orangener Alarm, Roter Alarm), die Eskalationen zwischen den Stufen, die Verantwortlichkeiten im Alarmierungsprozess, die Meldewege und natürlich auch technische Maßnahmen die auszuführen sind.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 21. Technische Abwehr von Angriffen
Zusammenfassung
Eine Zertifizierung nach ISO 27001 schützt Ihr Unternehmen nicht vor Ransomware-Angriffen. Um eine IT-Umgebung für die Abwehr von Ransomware fit zu machen, sind diese 33 Mindeststandards nicht verhandelbar. Es sind die Vorgaben, die ohne Wenn und Aber in jeder IT-Landschaft komplett umgesetzt sein müssen, um einen wirksamen Schutz zu etablieren. Viele Stellen im Unternehmen werden sagen: „Das geht nicht“. Wenn Sie nach einem Ransomware-Angriff zwischen den rauchenden Ruinen Ihrer infizierten Domäne, den gelöschten Backups und den verschlüsselten Servern stehen, können Sie dann über die Unsinnigkeit von notierten Abweichungen, Risikoübernahmeformularen, IT-Sparmaßnahmen und möglichst bequemer Administration sinnieren.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 22. Cyber-Security-Schnelltests
Zusammenfassung
Genauso wie die defensiven Schutzmaßnahmen durch Penetrationstests getestet werden, müssen auch die Maßnahmen einer Assume-Breach-Strategie getestet werden. Egal, ob die entsprechenden Leistungen von internen Abteilungen oder externen Dienstleistern erbracht werden, ohne regelmäßige Tests und Übungen ist die Effektivität im Ernstfall nicht gewährleistet. Diesen Test können Sie durch die Beauftragung eines Red-Team-Tests von einem guten Anbieter durchführen lassen. Es ist aber auch möglich, eigene Tests durchzuführen. Schlüsselpunkt einer erfolgreichen Teststrategie ist die regelmäßige Durchführung, ein jährlicher Turnus hat sich bewährt.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 23. Abschluss einer Cyberversicherung
Zusammenfassung
Risiken aus Ransomware-Angriffen lassen sich auch durch Versicherungen decken. Die Cyberversicherung gibt es in Deutschland bereits seit 2007. In den vergangenen Jahren haben sich der Versicherungsumfang und auch das Zeichnungsverhalten der Versicherer kontinuierlich geändert. Hauptsächlich sind diese Änderungen durch die stark ansteigende Anzahl von Cyberangriffen auf Unternehmen geprägt. Der Abschluss einer Cyberversicherung sollte von jedem Unternehmen geprüft werden.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe

Was wird uns die Zukunft bringen?

Frontmatter
Kapitel 24. Die Zukunft der Ransomware
Zusammenfassung
Über die Zukunft der Ransomware lässt sich nur spekulieren. Die Veränderungsgeschwindigkeit in der IT ist hoch. Das betrifft auch die Angreiferseite. Daher wird dieses Kapitel in zwei bis fünf Jahren wohl nur noch als humoristischer Text taugen. Dennoch sind einige Entwicklungen absehbar.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Kapitel 25. Anhang
Zusammenfassung
Eine OSINT-Analyse sollte nicht mehr als 2–4 h benötigen. Damit können sehr früh im Fall erste Infos an die beiden Krisenstäbe geliefert werden. Anbei drei Analysen (nur minimal redaktionell bearbeitet), die das Team der Autoren in den ersten Stunden nach einem Angriff erstellt hat. Zu diesem Zeitpunkt war gerade das Netzwerk abgeschaltet und die Krisenstäbe kamen zusammen. Zu einem so frühen Zeitpunkt den Mitgliedern in den Krisenstäben ein solches Dossier vorzulegen, ist auch aus einem anderen Grund wertvoll. Sie vermitteln ein Gefühl, dass die Krise beherrschbar ist und man nicht nur der Getriebene ist.
Florian Oelmaier, Uwe Knebelsberger, Arthur Naefe
Metadata
Title
Krisenfall Ransomware
Authors
Florian Oelmaier
Uwe Knebelsberger
Arthur Naefe
Copyright Year
2023
Electronic ISBN
978-3-658-41614-0
Print ISBN
978-3-658-41613-3
DOI
https://doi.org/10.1007/978-3-658-41614-0

Premium Partner