Jeder Betrieb kann heute zum Opfer eines Ransomware-Angriffs werden. Was können Unternehmen tun, um sich auf den Fall der Fälle vorzubereiten?
Wer Ziel eines Ransomware-Angriffs wird, sollte zunächst versuchen, seine Systeme wieder unter Kontrolle zu bekommen und die verschlüsselten Daten wieder herzustellen, und zwar ohne das Lösegeld zu bezahlen. Man darf aber nicht vergessen, dass es in einer OT-Umgebung, die in der Regel ungleich komplexer ist als eine klassische IT-Landschaft, wesentlich schwieriger ist, die Folgen eines solchen Angriffs in den Griff zu bekommen. Daher empfehlen wir Unternehmen, unabhängig von ihrer Größe regelmäßig Übungen mit dem Management und den unterstützenden Rechtsexperten durchzuführen, um sich unter Echtbedingungen mit dem Ablauf und den möglichen Konsequenzen einer solchen Attacke vertraut zu machen. Viele Fragen, die dabei auftauchen, sind alles andere als leicht zu beantworten und wollen sorgfältig analysiert, diskutiert und erwogen werden.
Welche juristischen und regulatorischen Aspekte muss man besonders im Blick behalten?
Das hängt natürlich ganz vom jeweiligen Unternehmen ab – nicht zuletzt von der Frage, ob es der KRITIS-Gesetzgebung oder anderen Vorgaben unterliegt – und verändert sich auch sehr dynamisch. Primär gilt es aber zu klären, wie die Folgen im Worst Case und in realistischen Szenarien aussehen, welche Risiken und Sanktionen im Falle eines längeren Ausfalls drohen und ob das Unternehmen die vom Gesetzgeber geforderten angemessenen Präventivmaßnahmen umgesetzt hat. All diese Informationen sollten die Rechts- und Compliance-Verantwortlichen allerdings lange vor dem Vorfall einholen und kontinuierlich aktualisieren. Darüber hinaus lohnt es sich, ebenfalls schon im Vorfeld Kontakt zu etablierten Branchenexperten – etwa den Sachverständigen des BSI – aufzunehmen, damit man sie im Falle eines Angriffs zeitnah hinzuziehen kann.
Muss man bei einem Angriff auch die Strafverfolgungsbehörden informieren? Und wenn ja: Wen und wann?
Die Strafverfolgungsbehörden können mit ihrem Know-how und ihrer Erfahrung im Bereich Ransomware eine wertvolle Hilfe sein – sowohl bei der Incident Response als auch bei der Klärung der juristischen und regulatorischen Fallstricke. Ob das Hinzuziehen sinnvoll ist, muss das Management im Zusammenspiel mit der Rechtsabteilung im Einzelfall entscheiden. Unabhängig davon, wie diese Entscheidung ausfällt, empfehlen wir aber nachdrücklich, im Vorfeld mit den Behörden in der jeweiligen Kommune, im Bundesland und im Bund zu sprechen, um deren Sichtweise kennenzulernen und um zu erfahren, wie die jeweiligen Institutionen bei entsprechenden Fällen üblicherweise vorgehen.
Dann kommen wir jetzt zur Gretchenfrage: Sollte man im Notfall zahlen oder nicht?
Auch da gibt es natürlich keine pauschale Antwort. Generell raten die Strafverfolgungsbehörden weltweit eher davon ab, weil das Lösegeld ja unmittelbar der cyberkriminellen Szene zugutekommt. Fundiert entscheiden können das Unternehmen aber erst, wenn klar ist, welche Daten betroffen sind, mit welcher Software verschlüsselt wurde und wie hoch der Betrag ist. Und auch dann bleibt es eine unglaublich schwere Entscheidung über die Zukunft des Unternehmens – deshalb ist es ja so wichtig, möglichst viele Parameter vorher zu evaluieren und die Konsequenzen in Tabletop-Übungen durchzuspielen.
Wissen typische, mittelständische Unternehmen im Notfall denn überhaupt, wie man in kurzer Zeit Kryptowährungen beschafft?
Das ist tatsächlich ein wichtiger Punkt – die meisten Unternehmen verfügen diesbezüglich über keinerlei Erfahrungen. Grundsätzlich ist der Kauf von Bitcoin und anderen Kryptowährungen heute aber keine Wissenschaft. Man eröffnet einen Account bei einer der großen, professionellen Kryptobörsen, und kann dort wie bei jeder anderen Banktransaktion Geld in Kryptowährungen tauschen. Trotzdem sollte man das Thema nicht auf die leichte Schulter nehmen, sondern mit den kaufmännischen und juristischen Verantwortlichen diskutieren – immerhin kann so eine Transaktion durchaus heikel sein und etwa gegen staatliche Sanktionen und Embargos verstoßen.
Wie groß ist denn die Gefahr, nach Zahlung des Lösegelds sofort wieder attackiert und ein zweites Mal abkassiert zu werden?
Die meisten Cyberkriminellen betreiben ihre Aktivitäten heute wie ein professionelles Business. Ihnen ist klar, dass es sich herumsprechen würde, wenn sie ein zahlungswilliges Opfer sofort wieder angreifen – und künftige Opfer dann eher nicht mehr bereit wären, zu bezahlen. Aus diesem Grund scheuen die meisten Gruppierungen davor zurück, Opfer mehrfach ins Visier zu nehmen. Wenn ein Unternehmen die ausgenutzten Sicherheitslücken allerdings nicht zeitnah schließt, kann es leicht geschehen, dass eine ganz andere Gruppierung diese ausnutzt. Deshalb ist es wichtig, unmittelbar nach einem Angriff eine forensische Analyse durchzuführen, um herauszufinden, was genau passiert ist und wie man sich davor schützen kann.
Was sollten KMU konkret tun, um die Folgen eines Angriffs zu minimieren?
Typischerweise richten sich Ransomware-Angriffe in der Industrie gegen HMI-Anwendungen, Operator Interface Terminals (OIT), Alarm- und Reporting-Systeme, proprietäre Applikationen, PLC- und ICS-Anwendungen, und – nicht zu vergessen – die Konfigurationsfiles der Netzwerk- und Security-Geräte. A und O ist es daher, Backup-Kopien aller kritischen Konfigurationsdateien anzufertigen und offline zu hinterlegen. Diese Backups müssen alle Dateien enthalten, die man braucht, um seine Systeme im Falle eines Totalverlusts neu aufzusetzen, also vor allem die Konfigurations- und Installationsdaten. Dazu gehört es auch, alle Lizenzschlüssel und Lizenznummern zu erfassen, und am besten die jeweiligen Produktversionen und die Kontaktdaten der Hersteller zu notieren. Diese Backups müssen dann auch regelmäßig getestet werden. Nur so behält man die Gewissheit, dass sich die Systeme im Notfall auch wirklich wiederherstellen lassen.
Was gilt es bei der Vorbereitung noch zu berücksichtigen?
Wie in vielen Notfallszenarien sind auch bei einem Ransomware-Angriff die ersten Minuten entscheidend. Unternehmen sollten deshalb schon im Vorfeld dokumentieren und testen, wie sich ihre gesamte Umgebung bei einem Angriff rasch und effizient herunterfahren lässt. Auf diese Weise lässt sich die Reichweite des Angriffs – und damit auch der potenzielle Schaden – oft wirkungsvoll eindämmen.
Und auch der weitere Ablauf lässt sich wahrscheinlich gut trainieren, oder?
Ja, regelmäßige Übungen, bei denen alle Beteiligten unter Echtbedingungen verschiedene Angriffsszenarien durchspielen, haben sich aus unserer Sicht sehr bewährt. Wir empfehlen, turnusmäßig Attacken durchzuspielen, bei denen die Angreifer jeweils unterschiedliche ICS- und OT-Systeme ins Visier nehmen. So zwingt man die Operations-Teams zum Beispiel, ganz konkret darüber nachzudenken, wie sie handlungsfähig bleiben, wenn sie die Transparenz und die Kontrolle über ihre HMI verloren haben. Das ist Gold wert, um die Abläufe bei einem Angriff zu verstehen, vorauszuplanen und zu dokumentieren – und es hilft dem Team, die interne und externe Kommunikationskette bei einem Angriff einzuüben. Das ist wichtig, um im Ernstfall nicht jedes Rad neu erfinden zu müssen und hilft, einen kühlen Kopf zu bewahren.
Die Kommunikation bei einem Angriff ist ein ganz eigenes Thema. Welche Kanäle sollten Unternehmen im Rahmen der Cyber Incident Response nutzen – und welche lieber nicht?
Das ist in der Tat ein wichtiger Aspekt. Bei Ransomware-Angriffen und physischen Attacken kann es immer passieren, dass elektronische Kanäle wie E-Mail and Chat ausfallen oder von den eingedrungenen Angreifern abgehört werden. Unternehmen sollten also alternative Geräte und Medien griffbereit haben, um mit internen und externen Ansprechpartnern kommunizieren zu können. Am sichersten ist es, wenn es sich dabei um vom Unternehmen gemanagte Geräte handelt. Die Erfahrung zeigt aber, dass mitunter auch private Smartphones verwendet werden müssen.
Ist der Betrieb solcher speziellen Kommunikationskanäle nicht extrem aufwendig?
Nun, die meisten Großunternehmen halten heute für Notfälle standardmäßig gespiegelte Kommunikationsumgebungen vor, die sie bei Bedarf jederzeit aktivieren können. Für KMU ist das in der Regel überdimensioniert. Aber auch da wird bei einem Angriff jeder externe Berater gleich im ersten Schritt einen alternativen, von der kompromittierten Infrastruktur entkoppelten Kanal hochziehen. Und das muss auch gar nicht teuer sein – es gibt etliche kostenlose Optionen, die innerhalb eines Tages implementierbar sind.
Was würden Sie empfehlen?
Wichtig ist aus unserer Sicht vor allem ein breiter Mix an Optionen, um alle Empfänger abdecken zu können – neben E-Mail und Voice sollten also auch Video-, Chat- und Filesharing-Tools vorhanden sein. Mit Blick auf die Sicherheit der Kommunikation legen wir sehr hohen Wert auf Ende-zu-Ende-Verschlüsselung und robuste Sicherheit – etwa starke Multifaktor-Authentisierung und sichere Passwörter. All das lässt sich heute aber in der Regel über kostenlose Software-Tools realisieren und wunderbar im Vorfeld vorbereiten.
Und was ist, wenn abgesetzte Standorte ohne eigenen Internet- und Telefonzugang betroffen sind oder wenn der Zugang selbst vom Ausfall betroffen ist?
Das ist ebenfalls ein wichtiger Punkt, für den es im Vorfeld zu planen gilt. Mit 4G- oder 5G-Routern und WLAN-Hotspots lassen sich heute praktisch alle Standorte anbinden. Unsere Incident-Response-Teams hatten aber auch schon einige Szenarien, in denen der Empfang lediglich über Satelliten-Telefone möglich war.
Haben Sie noch andere Tipps, die Unternehmen bei der Kommunikation im Notfall helfen?
Ja, einen auf jeden Fall: In vielen Industrieumgebungen sind nach wie vor klassische Funkgeräte im Einsatz, und die können im Falle eines Cyberangriffs als abhörsicherer, sofort nutzbarer Kanal wertvolle Dienste leisten.
Zum Schluss noch eine ganz grundsätzliche Frage: Können kleine und mittelständische Unternehmen diese umfassende Vorbereitung wirklich leisten?
Sie müssen sich auf jeden Fall proaktiv Gedanken zu dem Thema machen und ihre Reaktion auf einen Angriff Schritt für Schritt planen. Wenn es an die Details dieser Planung geht, werden viele KMU in der Tat an einen Punkt kommen, an dem ihre internen Ressourcen und ihr eigenes Know-how ausgeschöpft sind – dann bleibt aber immer noch die Option, externe Consultants und Systemintegratoren hinzuzuziehen, die sie beratend, konzeptionell und technisch unterstützen können. All das ist wirtschaftlich auf jeden Fall günstiger, als unvorbereitet in einen Angriff zu geraten.
Dragos Inc., Hanover/USA
Das Interview führte für Sie: Michal Vitkovsky
Freier Journalist
5 Tipps: Kommunikation im Notfall
- Stellen Sie die Weichen für eine sichere E-Mail-Kommunikation: Bei einem Ransomware-Angriff ist E-Mail in der Regel der wichtigste interne und externe Kommunikationskanal – auch mit Blick auf die Rückverfolgbarkeit der Ereignisse und die spätere Auditierung und forensische Analyse. Der E-Mail-Kanal ist aber häufig auch ein Teil des Problems: Er kann leicht abgehört werden und ist oft sogar der ursprüngliche Angriffsvektor. Daher sind Unternehmen gut beraten, für Notfallszenarien eine zweite, verschlüsselte E-Mail-Lösung vorzuhalten, etwa über die Proton-Mail-App, die wahlweise via Browser oder auf dem Smartphone verfügbar ist und im Notfall eine sichere Alternative zum Enterprise-Mail-Server bietet.
- Ermöglichen Sie im Notfall verschlüsselte Videokonferenzen: Für tägliche Status-Calls und Planungssitzungen sind sichere Videokonferenzen unverzichtbar. Ähnlich wie im Bereich E-Mail sollte man sich aber auch hier nicht auf die bestehenden, potenziell kompromittierten Microsoft Teams- oder Zoom-Umgebungen verlassen. Dragos hat sehr gute Erfahrungen mit der verschlüsselten und nach strengen Datenschutz-Standards betriebenen App Signal gemacht. Diese ermöglicht Gruppen mit bis zu 40 Teilnehmern und ist wahlweise via Desktop oder Mobilgerät verfügbar.
- Viele Video-Plattformen unterstützen auch SMS, Chat und Telefonie: SMS, Chat und Telefonie spielen bei der klassischen Incident Response oft nur eine untergeordnete Rolle. Es lohnt sich aber trotzdem – und sei es nur als Plan B oder C – auch in diesem Bereich sichere und geschützte Kanäle zu etablieren. Auch hier empfiehlt Dragos die App Signal, die Textnachrichten, Video- und Voice-Calls, Sprachnachrichten und Gruppenfunktionalitäten bietet.
- Prüfen Sie die Internet- und Funkanbindung an isolierten Standorten: Bei der Planung der Notfallprozesse sollten Unternehmen im Vorfeld die Netzzugänge aller Standorte durchgehen: Wenn kein stabiler Internetzugang garantiert ist (etwa in nicht redundant ausgestatteten Kleinstfilialen oder an abgesetzten Lokationen), können 4G- oder 5G-Router die nötige Infrastruktur schaffen. An besonders isolierten Standorten ist mitunter Satellitentelefonie die einzige Option.
- Wenn alle Stricke reißen: Funken Sie: Viele kleine und mittelständische Industriebetriebe nutzen seit Jahrzehnten Funkgeräte, um auf weitflächigen Arealen die Erreichbarkeit ihrer Mitarbeiter sicherzustellen. Im Krisenfall sind diese eine hervorragende Alternative, um lokal schnell einen robusten, abhörsicheren Alternativkanal zu etablieren.
