Ransomware

Erste Hilfe bei IT-Sicherheitsvorfällen

Das BSI hat einen Erste-Hilfe-Leitfaden für IT-Sicherheitsbeauftrage, CISOs und Systemadministratoren von KMU und kleineren Behörden veröffentlicht

Der BSI-Leitfaden soll Betroffenen helfen, bei der Bewältigung eines schweren IT-Sicherheitsvorfalls keine Fehler in der Anfangsphase zu begehen, die später dazu führen, dass der Angriff nicht bereinigt oder aufgeklärt werden kann. Das BSI wird dieses Dokument unregelmäßig mit neuen Erfahrungen aktualisieren.

Die wichtigsten Punkte in Kürze

Unser Tipp:

Das Wichtigste ist in solch einer Ausnahmesituation einen kühlen Kopf zu behalten. Dies kann nur gelingen, wenn man gut vorbereitet ist und die Prozesse im Vorfeld mit weniger Stress trainiert wurden. Tun sie dies – unbedingt – immer wieder. Wenn jeder der Vorgehenskette weiß, was er zu tun und zu lassen hat und wen er wie informiert, kann man das Schlimmste verhindern, bzw. den Schaden effizient und effektiv eindämmen. Neben der Datensicherheit sollten auch die datenschutzrechtlichen Meldevorgänge eingearbeitet sein, falls personenbezogene Daten betroffen sind.

Wenn Sie von einem IT-Sicherheitsvorfall betroffen sind, sollten Sie laut BSI die folgenden organisatorischen und technischen Massnahmen beachten.

Organisatorische Maßnahmen

  • Bewahren Sie Ruhe und handeln Sie nicht übereilt. 

  • Richten Sie einen Krisenstab (oder eine Projektgruppe) ein. 

  • Klären Sie regelmäßig folgende Fragen: 

    • Wer macht was bis wann? 

    • Welche Tagesaufgaben können für die Bewältigung des Vorfalls liegen gelassen werden? 

    • Wer trifft die relevanten Entscheidungen? 

    • Sollen Systeme schnell wieder aufgesetzt oder Spuren gesichert werden? 

    • Wer kommuniziert was wann an wen? 

    • Wollen Sie Anzeige erstatten? 

  • Denken Sie an Meldepflichten. 

  • Holen Sie sich bei Bedarf frühzeitig externe Unterstützung. 

  • Kurzfristig für den Notbetrieb wichtige Daten können sich auch an ggf. abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden, welche (noch) nicht betroffen sind.

Technisches Vorgehen

  • Oberste Regel: Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorkonten) auf einem potenziell infizierten System erfolgen, während das System sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist!

  • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel ziehen. Gerät nicht herunterfahren oder ausschalten. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (eigene, durch Dienstleister oder Strafverfolgungsbehörden) erstellen.

  • Identifizieren Sie das/die Schadprogramm/e. Für Ransomware können Sie etwa die Seiten „No More Ransom“ und „ID Ransomware“ nutzen. Sollte es für die Ransomware bereits Entschlüsselungstools geben wird dies dort angezeigt – die Wahrscheinlichkeit hierfür ist jedoch gering. 

    In einigen Fällen steht der Name der Ransomware auch in dem üblicherweise angezeigten Erpresserschreiben oder dieser wird den verschlüsselten Dateien als Dateinamenserweiterung hinzugefügt. 

    Zu einer bekannten Ransomware können Sie dann mit Hilfe gängiger Suchmaschinen Informationen finden.

  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten lokalen System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte lokale Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen. 

  • Fortschrittliche Schadsoftware-Varianten wie Trickbot können sich mit ausgespähten Zugangsdaten für Benutzerkonten (ggf. mit administrativen Rechten) lateral im Netzwerk ausbreiten. Beachten Sie die Problematik eines „Golden Tickets“ und Kompromittierungen von Domaincontrollern und Serversystemen (Active Directory und alle domain-joined Systeme neu aufsetzen). Sollte das nicht schnell möglich sein, muss das Passwort des eingebauten Key Distribution Service Accounts (KRBTGT) zweimal zurückgesetzt werden. Dies invalidiert alle Golden Tickets welche mit dem zuvor gestohlenen KRBTGT-Hash und allen anderen Kerberos Tickets erzeugt wurden . 

  • Alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden. Dies umfasst u. a. Webbrowser, E-Mail-Clients, RDP/VNC-Verbindungen sowie andere Anwendungen wie PuTTY, FileZilla, WinSCP, etc. 

  • Blockieren Sie jede nicht unbedingt benötigte Remote-Verbindung, beobachten Sie den Netzwerkverkehr und lassen Sie Antiviren-Scans laufen um weitere Infektionen und Täterzugriffe auszuschließen. 

  • Prüfen Sie, ob Sie saubere, integre Backups haben. 

  • Im Fall einer bereits erfolgten Verschlüsselung sollten Sie grundsätzlich nicht auf die Erpressung eingehen und kein Lösegeld bezahlen. Stattdessen sollten die Daten in ein sauberes Netzwerk aus Backups zurückgespielt werden. 

  • Eine Persistenz von Schadsoftware im BIOS oder gar der Hardware ist sehr selten und wird bislang nicht von breit verteilter Schadsoftware angewandt. 

  • Um einen zukünftigen weiteren Zugriff der Täter auf das interne Netzwerk und eine erneute Ausbreitung von Schadsoftware auszuschließen, sollte im Fall einer Kompromittierung des AD das Netz unbedingt komplett neu aufgebaut werden. Dies kann nach einer schnellen Bereinigung u.U. auch langfristig nach Sicherstellung der Betriebsfähigkeit erfolgen.