Wiederherstellung nach einem Ransomware-Angriff: Ein umfassender Leitfaden zur Datenrettung

Zusammenfassung

Ransomware-Angriffe häufen sich: 85 % aller Unternehmen, die an einer Umfrage aus dem Jahr 2022 teilnahmen, gaben an, schon einmal Opfer eines solchen Angriffs gewesen zu sein. Einige dieser Unternehmen zahlten zwar Lösegeld, waren aber trotzdem nicht in der Lage, ihre Daten wiederherzustellen, und fielen ein zweites Mal einer Attacke zum Opfer. Ransomware kann den Geschäftsbetrieb eines Unternehmens fast völlig lahmlegen. Umso wichtiger sind starke Cybersicherheitsmaßnahmen, eine umfassende Backup-Strategie und ein zuverlässiger Notfallplan. Unternehmen sollten die Integrität ihrer Backups kritisch unter die Lupe nehmen und Incidence-Response-Schritte üben, damit sie im Ernstfall wissen, wie sie ihre Daten so schnell und effektiv wie möglich wiederherstellen können.

Erfahren Sie mehr über Best Practices bei Ransomware-Angriffen und den Schutz Ihres Unternehmens.

Was umfasst die Wiederherstellung nach Ransomware-Angriffen?

Ransomware gehört heute zu den größten Cyberbedrohungen für Unternehmen. Laut dem Report „Datensicherungstrends 2023“ ist die Zahl der Unternehmen, die Ransomware-Angriffen zum Opfer fielen, zwischen 2021 und 2022 von 76 % auf 85 % gestiegen. Nur 55 % der Daten, die von den Angreifern verschlüsselt wurden, konnten wiederhergestellt werden. Im Schnitt büßten Unternehmen also 45 % ihrer Daten ein – eine erschreckend hohe Zahl.

Es lassen sich verschiedene Arten von Ransomware unterscheiden. Meistens übernehmen Cyberkriminelle die Kontrolle über die Geräte ihrer Opfer und verschlüsseln darauf gespeicherte Daten, um Lösegeldzahlungen zu erpressen. Besondere Arten von Ransomware sind Scareware und Doxware – Erstere täuscht eine Bedrohung vor, um das Opfer zur Zahlung zu verleiten, Letztere stellt die Veröffentlichung sensibler Daten in Aussicht, falls kein Lösegeld fließt.

Die Wiederherstellung nach einem Ransomware-Angriff umfasst mehrere gezielte Maßnahmen, die Unternehmen ergreifen, um die Auswirkungen des Angriffs einzudämmen. Ausgehend von der Annahme, dass es Hackern gelingen wird, Unternehmensdaten zu verschlüsseln, richten Organisationen ein System aus unveränderlichen Daten-Backups und Konfigurations-Snapshots ein, damit sie ihre Systeme nach der Attacke rekonstruieren können. Ob die Wiederherstellung erfolgreich ist, hängt davon ab, wie effektiv die Datensicherungsprozesse sind und welche Daten durch die Attacke in Mitleidenschaft gezogen wurden.

Vorbereitung auf Ransomware-Angriffe

Angesichts des hohen Risikos von Ransomware-Angriffen gehört die Vorbereitung darauf zur Business-Continuity-Planung jedes Unternehmens. Bei einem erfolgreichen Angriff kann es zu schwerwiegenden Datenverlusten kommen, die im schlimmsten Fall zur Unternehmensschließung führen.

Der wichtigste Vorbereitungsschritt ist die Erstellung eines umfassenden Wiederherstellungsplans, der regelmäßig überprüft und gründlich getestet werden sollte. Dabei sollten Best Practices zur Vorbeugung von Ransomware-Angriffen beachtet werden, einschließlich starker Cybersicherheitsmaßnahmen und einer Backup-Strategie, die alle Szenarien abdeckt.

Umsetzung starker Cybersicherheitsmaßnahmen

Zuallererst sollten Sie Ihr Netzwerk gegen unbefugte Zugriffe und Ihre Systeme gegen Hacker absichern. Dazu gehören folgende Maßnahmen:

• Endpoint-Sicherung: Sichern Sie alle Endpunkte wie Laptops, virtuelle Maschinen (VMs), Server, integrierte Geräte und Mobilgeräte mit Multifaktorauthentifizierung (MFA), starken Passwörtern und Datenverschlüsselung. Installieren Sie Software zur Endpoint-Sicherung und treffen Sie Sicherheitsvorkehrungen nach dem „Zero Trust“-Prinzip.
• Netzwerksicherheit: Schützen Sie Ihr Netzwerk vor unbefugten Zugriffen, nutzen Sie solide Firewalls zur Abwehr von Hackerangriffen und setzen Sie Virtual Private Networks (VPNs) ein, um Ihr Netzwerk zu segmentieren und so das Ausmaß von Sicherheitsverletzungen einzudämmen.
• E-Mail-Sicherheit: Implementieren Sie moderne Lösungen zur Bedrohungsabwehr, um Benutzerkonten zu schützen. Schulen Sie Anwender, was E-Mail-Sicherheit bedeutet und wie sie Anzeichen für Phishing erkennen können.
• Software-Patches: Installieren Sie neue Sicherheits-Patches für Software, sobald sie verfügbar sind, um Sicherheitslücken zu schließen und Hackern ihr kriminelles Handwerk zu legen.

Erstellung einer umfassenden Backup-Strategie

Hacker wissen, wie wichtig Backup-Dateien und -Server sind, und haben es daher oft genau darauf abgesehen. Aus diesem Grund sollten Sie eine zuverlässige, umfassende Backup-Strategie erstellen und bei der Ausarbeitung Ihres Backup-Plans folgende Punkte berücksichtigen:

• 3-2-1-1-0-Regel: Hierbei handelt es sich um eine Weiterentwicklung der ursprünglichen 3-2-1-Backup-Regel. Gemeint ist damit, dass neben den Originaldaten 3 Backups angelegt werden sollten. Diese sollten in mindestens 2 verschiedenen Medienformaten gespeichert werden, 1 davon an einem externen Standort und 1 offline. Die Backups dürfen 0 Fehler enthalten – prüfen Sie sie also gründlich.
• Backup-Typ: Im Rahmen Ihrer Backup-Strategie haben Sie die Wahl zwischen vollständigen, inkrementellen und differentiellen Backups. Vollständige Backups werden in der Regel wöchentlich erstellt, inkrementelle und differentielle dagegen täglich. Ein inkrementelles Backup ist eine separate Datensicherung, in der alle Änderungen seit dem letzten vollständigen oder inkrementellen Backup gespeichert werden. Differentielle Backups sind sehr ähnlich, allerdings werden hier nur Änderungen gegenüber dem letzten vollständigen Backup berücksichtigt. Die Größe der Backup-Datei nimmt mit jedem differentiellen Backup zu.
• Externe und cloudbasierte Backups: Mindestens ein Backup sollte an einem externen Standort gespeichert werden, entweder auf einem gesicherten Remote-Server oder in einer sicheren Cloud, z. B. in einem Amazon S3-Objektspeicher.
• Unveränderliche Backups: Backup-Dateien sollten unveränderlich sein, also schreibgeschützt, damit sie nicht manipuliert oder gelöscht werden können. Der Schutz besteht in der Regel für einen bestimmten vordefinierten Zeitraum. Unveränderliche Backups bieten besseren Schutz gegenüber Ransomware.

Erkennung von Ransomware-Angriffen

Die frühzeitige Erkennung einer Ransomware-Infektion ist entscheidend, da sie einen vollständigen Ransomware-Angriff verhindern kann. Angriffe erfolgen immer in mehreren Phasen. Zunächst dringen Hacker in ein System ein und spionieren es aus, anschließend schleusen sie Daten aus und verschlüsseln diese schließlich. Wer diese Aktivitäten rechtzeitig erkennt, kann die betroffenen Maschinen isolieren und so verhindern, dass sich die Angreifer lateral im Netzwerk bewegen. Hier sind drei Methoden, die bei der Erkennung helfen können:

• Identifizierung von Ransomware-Anzeichen: Zu den häufigen Frühwarnzeichen eines Ransomware-Angriffs gehören ungewöhnlich hohe CPU-Aktivitäten und intensive Lese- und Schreibvorgänge auf Festplatten.
• Überwachung und Analyse von Netzwerkanomalien: Ungewöhnlicher Datenverkehr im Netzwerk, Traffic-Spitzen, eine verminderte Netzwerkbandbreite und anormale Netzwerkanfragen sollten die Alarmglocken schrillen lassen.
• Einsatz von SIEM-Lösungen (Security Information and Event Management): SIEM-Software analysiert mithilfe von Algorithmen des maschinellen Lernens Ereignisprotokolldaten, um Bedrohungen und verdächtige Vorgänge in Echtzeit zu erkennen.

Reaktion auf Ransomware-Angriffe

Im Ernstfall ist schnelles und entschlossenes Handeln gefragt. Je schneller Sie reagieren, desto besser – insbesondere, wenn Sie damit der Verschlüsselung Ihrer Daten zuvorkommen können. Orientieren Sie sich dabei an diesen fünf Schritten:

• Umsetzung des Incident-Response-Plans: Aktivieren Sie sofort Ihren Notfallplan, einschließlich aller Eindämmungs- und Isolierungsmaßnahmen. Informieren Sie die Geschäftsleitung und alle, die an der Abwehr mitwirken sollen.
• Isolation und Eindämmung infizierter Systeme: Ermitteln Sie, welche Systeme betroffen sind, und trennen Sie deren Verbindung zum Intra- und Internet. Erstellen Sie Snapshots und Systemabbilder aller infizierten Geräte.
• Benachrichtigung der zuständigen Behörden und Strafverfolgungsorgane: Je nach den geltenden gesetzlichen Bestimmungen müssen Sie den Angriff den zuständigen Regulierungs- und Strafverfolgungsbehörden melden, z. B. dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Bundesnetzagentur.
• Externe Unterstützung durch Cybersicherheitsexperten: Ziehen Sie bei einem akuten Ransomware-Vorfall externe IT-Support- und Cybersicherheitsspezialisten zurate, beispielsweise von Unternehmen wie Veeam.
• Beurteilung rechtlicher und ethischer Aspekte bei der Vorfallreaktion: Ermitteln Sie alle betroffenen Parteien und informieren Sie sie. Bestimmen Sie, welche rechtlichen Konsequenzen aus der geltenden Datenschutzgesetzgebung und welche ethische Verantwortung sich für Sie ergeben.

Strategien zur Wiederherstellung nach einem Ransomware-Angriff

Ihre Wiederherstellungsstrategie kann von mehreren Faktoren abhängen, darunter:

• Der zeitliche Aufwand für die Wiederherstellung
• Die finanziellen Auswirkungen auf das Unternehmen
• Das Risiko der Veröffentlichung vertraulicher Daten bei Nichtzahlung des Lösegeldes

Im Folgenden sehen wir uns einige Optionen an, darunter Backups, Lösegeldzahlungen, Ransomware-Entschlüsselungstools und Wiederherstellungs-Serviceprovider.

Datenwiederherstellung aus Backups

• Datenwiederherstellung: Daten aus Veeam-Backups lassen sich schnell wiederherstellen, und zwar nach Ihrer Wahl entweder auf die ursprünglichen Server oder in eine VM. Wenn Sie letztere Option wählen, kann die Datenwiederherstellung parallel zur Bereinigung und Neuinstallation der infizierten Server erfolgen. Mit Veeam können Sie aus Backup-Dateien ein Replikat erstellen und eine VM konfigurieren, die im Falle eines Ransomware-Angriffs ein Failover ermöglicht. Weitere Wiederherstellungsoptionen sind Snapshots und flashbasierte Repositories.
• Datenintegrität und -prüfung: Vor der Wiederherstellung müssen Sie in jedem Fall sicherstellen, dass die Backup-Dateien nicht infiziert sind. Dazu können Sie beispielsweise die sichere Wiederherstellungsfunktion von Veeam verwenden, bei der Ihre Backup-Abbilder zuvor auf Viren überprüft werden.
• Datenwiederherstellung aus unveränderlichen Backups: Unveränderliche Backup-Dateien können während der Sperrfrist nicht bearbeitet werden, sodass sie vor Manipulationsversuchen durch Hacker geschützt sind.Dies macht unveränderliche Backups weitestgehend immun gegen Ransomware-Angriffe.

Lösegeldzahlung ja oder nein?

Die Entscheidung, ob Unternehmen nach einem Ransomware-Angriff Lösegeld zahlen sollten, ist ein Dilemma, bei dem Risiken und mögliche Folgen gut gegeneinander abzuwägen sind. Obwohl Strafverfolgungsbehörden wie das FBI von Lösegeldzahlungen abraten, entschieden sich laut dem Ransomware Trends Report 2023 von Veeam dennoch 80 % der betroffenen Unternehmen dazu, den Erpressungsforderungen nachzugeben. Hier sind einige Gründe, warum sich Betroffene auf Verhandlungen mit Cyberkriminellen einlassen:

• Verschlüsselte Backups: Ransomware-Opfer haben mitunter keinen Zugriff auf saubere Backups. Aus dem Ransomware-Trendreport geht hervor, dass bei Angriffen 75 % der Backup-Repositories betroffen sind.
• Opportunitätskosten: Mit jedem Tag der Geschäftsunterbrechung verliert das Opfer Geld und Ansehen. Die Kosten für eine vollständige Wiederherstellungen übersteigen in manchen Fällen das Lösegeld.
• Vertrauliche Daten: Wenn Hacker damit drohen, vertrauliche oder potenziell rufschädigende Daten öffentlich zu machen, ist dies durchaus ernst zu nehmen. Einige Unternehmen entschließen sich in solchen Fällen, die gestohlenen Daten gegen Zahlung auszulösen.

Doch Vorsicht: Erpressungsfälle gehen auch bei Zahlung des Lösegelds nicht immer glimpflich aus. Unserer Untersuchung zufolge erhielten 25 % der Unternehmen, die zahlten, ihre Daten trotzdem nicht zurück. Schlimmer noch, ganze 80 % der Unternehmen, die zahlten, fielen später einem zweiten Ransomware-Angriff zum Opfer.

Aus diesem Grund ist es ratsam, sich mit Optionen zu befassen, die Lösegeldzahlungen überflüssig machen.

Entschlüsselungstools und -methoden

Unter Umständen ist es möglich, Ransomware-Dateien zu entschlüsseln, wobei es auf den Ransomware-Typ und die Verfügbarkeit geeigneter Tools ankommt. Kaspersky, Avast und Bitdefender bieten Tools zur Entschlüsselung an, die bei einigen Ransomware-Typen weiterhelfen können. Erfahrene Cyberkriminelle nutzen jedoch meistens 128- oder 256-Bit-Verschlüsselung, die nahezu unmöglich zu knacken ist. Dennoch kommt es vor, dass Experten in bestimmten Arten von Ransomware Fehler entdecken, die eine Entschlüsselung ermöglichen.

Zusammenarbeit mit professionellen Wiederherstellungsdienstleistern

Wenn Sie nach einem Ransomware-Angriff Ihre Dateien entschlüsseln möchten, empfiehlt es sich, einen professionellen Serviceprovider einzuschalten, der auf die Wiederherstellung in solchen Fällen spezialisiert ist. Einige Anbieter haben sich in diesem Bereich einen starken Ruf erarbeitet, andere sind weniger bekannt. Bevor Sie sich für einen Anbieter entscheiden, sollten Sie sich daher genau ansehen, mit wem Sie es zu tun haben. Idealerweise sollten Sie mit seriösen Profis zusammenarbeiten, die Ihre Situation untersuchen und dann eine ehrliche Einschätzung abgeben, ob die Datenwiederherstellung möglich ist. Die besten Serviceprovider sind weltweit im Geschäft und verfügen über mehrere Forschungslabore. Bedenken Sie allerdings, dass solche Services teuer sind und es keine Garantie gibt, dass Ihre Daten wiederhergestellt werden können.

Best Practices für die Wiederherstellung nach Ransomware-Angriffen

Allen Fallstricken zum Trotz können Unternehmen nach einem Ransomware-Angriff wieder auf die Füße kommen. Nachfolgend vier Best Practices für eine erfolgreiche Wiederherstellung:

• Backups testen und validieren: Backups nützen gar nichts, wenn sie nicht funktionieren. Deshalb sollten Sie Ihre Backup-Dateien regelmäßig auf Manipulationen, Viren und sonstige Malware prüfen, indem Sie sie auf einer VM mounten und validieren.
• Notfallplan für Ransomware-Angriffe erstellen: Für den Fall der Fälle sollten Sie einen Incident-Response- oder Notfallplan parat haben, der alle Zuständigkeiten klar regelt. Machen Sie sich dazu vorab Gedanken, welche Wiederherstellungsmaßnahmen Ihr Team ergreifen muss, wenn Hacker zuschlagen.
• Ernstfall simulieren und Wiederherstellung üben: Testen Sie Ihren Notfallplan, indem Sie Ransomware-Angriffe simulieren. Um Serviceunterbrechungen zu verhindern, können Sie eine Offline-VM verwenden. Wiederholen Sie die Übungen so lange, bis alle wissen, was sie im Ernstfall tun müssen.
• Mitarbeiter in Ransomware-Prävention schulen: Schulen Sie Ihr Personal, damit es Phishing-Angriffe und andere Täuschungsmanöver von Cyberkriminellen erkennt.

Nachbereitung von Ransomware-Angriffen

Nach einem Ransomware-Angriff und der erfolgreichen Wiederherstellung Ihrer Daten sollten Sie gründlich analysieren, wie es dazu kommen konnte. 

• Folgen und Ausmaß des Ransomware-Angriffs abschätzen: Führen Sie im Anschluss an die Wiederherstellung eine Untersuchung durch, um das ganze Ausmaß des Angriffs und die messbaren Folgen in Form von Ausfallzeiten und finanziellen Verlusten zu ermitteln. Untersuchen Sie, wie sich die Hacker Zugriff verschaffen konnten und ob es ihnen gelungen ist, Backup-Dateien zu kompromittieren.
• Sicherheitslücken schließen: Suchen Sie nach Schwachstellen in Ihrer Hard- und Software und beseitigen Sie sie. Schulen Sie dann Ihre Mitarbeiter entsprechend.
• Sicherheit stärken: Sichern Sie Ihre Systeme und überprüfen Sie sämtliche Berechtigungen. Richten Sie zusätzliche VPNs ein, um Ihre Systeme effektiver zu isolieren. Implementieren Sie Multifaktorauthentifizierung.
• Langfristige Strategien zur Risikominimierung umsetzen: Informieren Sie sich bei Organisationen im Cybersicherheitsbereich, z. B. dem BSI, wie Sie Risiken minimieren, Ihr Sicherheitsniveau verbessern und Ihre Systeme wirksam schützen können.

Fazit

Die Wiederherstellung von Daten nach einem Ransomware-Angriff ist möglich und praktisch machbar. Von Lösegeldzahlungen ist abzuraten, da die meisten Unternehmen, die zahlen, dennoch nicht alle Daten zurückerhalten. Die wichtigste Voraussetzung für eine erfolgreiche Wiederherstellung ist die richtige Vorbereitung auf feindliche Attacken. Dazu müssen starke Sicherheitsvorkehrungen getroffen und eine robuste Backup-Strategie umgesetzt werden. Außerdem benötigen Sie einen kohärenten Notfallplan, ein gut geschultes Team und Möglichkeiten zur Ransomware-Früherkennung. Die Backup-Strategie sollte mehrere unveränderliche Kopien umfassen. Mindestens ebenso wichtig ist es, das Sicherheitsniveau kontinuierlich zu verbessern, da Cyberkriminelle immer raffiniertere Ransomware-Methoden entwickeln.

Mehr über die Wiederherstellung nach einem Ransomware-Angriff erfahren Sie in dieser kurzen Videoreihe zu den Ransomware-Trends 2023. Darin verraten wir Ihnen praxisnahe Tipps, wie Sie sich auf Ransomware-Angriffe vorbereiten und davon erholen können.

Verwandte Themen

• 2023 Ransomware Trends Report
• Wie sollten Unternehmen mit Ransomware umgehen?
• Wiederherstellung nach Ransomware-Angriffen: Trendanalysen 2023