Ransomware Nicht nur sauber, sondern rein: Eine IT-Waschstraße für Daten

Anbieter zum Thema

Cohesity GmbH (Rüter und Partner Wirtschaftsber. Ges.)

G DATA CyberDefense AG

genua gmbh

Mein Videotermin Suite | Voigtmann GmbH

Vor kurzem hat ein Ransomware-Angriff auf den Dienstleister Südwestfalen-IT bei 72 Kommunen in NRW enormen Schaden angerichtet. Zwar wurden die IT-Endgeräte in einer Art Waschstraße wieder gesäubert, für einen nachhaltigen Schutz müssen aber sämtliche Malware-Spuren in allen Daten auf allen Speicherorten gefunden und entfernt werden. Wer kompromittierte Systeme wiederherstellt, muss diese härten, damit sie nicht gleich demselben Angriff zum Opfer fallen.

Internetseiten, Telefonanschlüsse und Mail-Server ausgefallen. Keine An- und Abmeldung von PKWs möglich. Sozial-, Einwohnermelde- und Standesämter nicht arbeitsfähig: Dieses Worst-Case-Szenario trat Ende 2023 bei 72 Städten und Gemeinden in Nordrhein-Westfalen ein. Ihr IT-Dienstleister wurde Opfer von Ransomware.

Die betroffene Stadt Siegen reagierte schnell und richtete eine Art IT-Waschstraße für 1.400 infizierte Computer ein. Hier wurden sämtliche Daten auf den Rechnern gelöscht und die Systeme neu installiert. Ein paralleles IT-Netzwerk, das von der Stadt Siegen selbst eingerichtet wurde, half bei der Bereitstellung von wichtigen bürgernahen Diensten.

Nachhaltig sicher

Diese und ähnliche Maßnahmen sind für den Notfall extrem sinnvoll. Doch sollten Kommunen dabei beachten, dass sie die Systeme nicht nur säubern, sondern nachhaltig härten. Denn mit einem reinen Löschen der Festplatten auf den Endgeräten und dem Neuaufspielen der Applikationen ist erst die halbe Arbeit erledigt. Gewiefte Angreifer halten sich mehrere Wochen im Zielnetz auf und verstecken ihre Hintertüren auf unterschiedlichsten Geräten, auch wenn ihr Eintritt ins Zielnetz über ein Endgerät eines normalen Mitarbeiters erfolgte. Oft werden heimlich Angriffscodes und Konfigurationen auf Kerndiensten im Netz versteckt wie den Active Directory Services (ADS). Werden diese heimlichen und mächtigen Hintertüren nicht entdeckt, können Angreifer darüber wieder schnell ins Zielnetz eindringen und den Angriff erneut starten.

Beim Wiederaufspielen der Daten und Anwendungen ist es essenziell, diese vorab zu analysieren und mögliche Schwachstellen zu finden. Die Betriebssysteme und lokalen Programme sollten mit Patches gehärtet und ihre lokalen Sicherheitsprogramme und -konfigurationen verstärkt werden, damit sie die Angriffstaktiken erkennen und abwehren können. Geschieht dies nicht, können Angreifer mit denselben Schadcodes durch die bereits einmal erfolgreich genutzte Hintertür wieder eindringen.

Prioritäten verschieben

In der IT-Sicherheit war es üblich, immer höhere Schutzmauern zu errichten, um möglichst alle Angriffe abzufangen. Ein Blick in die Zeitungen genügt aber, um zu lesen, dass jeden Tag Firmen trotzdem Opfer werden von Cyberattacken wie Ransomware. Dieses Sicherheitsprinzip der hohen Mauern versagt, trotz hoher Investitionen in ausgeklügelte Abwehrtechniken, voll besetzte Security Operation Centers und verstärktem Fokus der Führungsetagen auf Cybersicherheit.

Denn Cyber-Akteure folgen keinem Drehbuch. Sie mischen Taktiken, springen zwischen den einzelnen Angriffsschritten hin und her und erfinden täglich neue Ansätze. Daraus ergeben sich Millionen verschiedener Einbruchsmethoden und -techniken und ebenso viele Möglichkeiten, diese zu noch unbekannten Angriffswegen zu kombinieren. Der Vorfall bei Südwestfalen-IT ist nur einer von vielen aktuellen Beispielen.

Kommunen und Behörden müssen damit rechnen, dass ein Angriff erfolgreich sein wird. Daher sollten sie ihre Strategie bei der IT-Security wechseln und sich stärker auf Schadensbegrenzung konzentrieren. Kern dieser neuen Strategie ist eine stärkere Widerstandsfähigkeit und Verfügbarkeit auch während einer Attacke.

Die Folgen des Ernstfalls

Die Verantwortlichen sollten sich unbedingt zusammensetzen und die Folgen eines IT-Vorfalls Attacke ehrlich benennen. Ein erfolgreicher Ransomware-Angriff kann den Großteil der Infrastruktur eines Unternehmens aushebeln. Alle IT-gestützten Werkzeuge sind im Ernstfall betroffen, vom physischen Zugangskontrollserver über VoIP-Systeme und CMDBs bis hin zu allen IT-Diensten und -Werkzeugen.

Wenn Zugangskontrollsysteme außer Betrieb sind, können Mitarbeiter keine Türen öffnen, um in Gebäude zu gelangen oder Räume zu verlassen. Die Folgen: alle Mitarbeiter, Partner und Bürger sind isoliert und niemand weiß, was die anderen tun.

Wer sich vor diesem totalen Blackout wappnen will, sollte unbedingt einen so genannten „isolierten IT-Reinraum“ einrichten. Darin sind essenzielle Kerndaten sowie alle nötigen Werkzeuge abgelegt. IT-Teams finden dort alles, was sie brauchen, um den Vorfall zu untersuchen, den Einbruch einzudämmen und die Systeme gehärtet wieder aufzuspielen, einschließlich aller erforderlichen Sicherheits-, Kollaborations- und Kommunikationstools.

Auf der nächsten Seite: Wie Hunting-Teams Schadsoftwarebestandteile jagen.

(ID:49951782)