Skip to main content
Allgemein

Alles verschlüsselt, Geschäft lahmgelegt! Meine Erfahrung mit dem erfolgreichen Umgang mit einem Ransomware-Angriff.

By 26. Feber 2025No Comments20 min read

Vor Kurzem hatten David Brucker und ich das zweifelhafte Vergnügen, einen Ransomware-Angriff bei einem großen, weltweit agierenden Unternehmen zu managen.

Ich möchte meine Erfahrungen mit Ihnen teilen, um Ihnen zu helfen, einen solchen Angriff zu bewältigen, falls er für Sie jemals Realität werden sollte. Beachten Sie, dass diese Geschichte eine realistische Darstellung der Ereignisse ist, wie ich sie wahrgenommen habe. Der Artikel folgt keinem spezifischen Framework für Geschäftskontinuität, Disaster Recovery oder anderen theoretischen Ansätzen der Cybersicherheit.

Insgesamt war es eine Erfahrung mit vielen Höhen und Tiefen, einem hohen Maß an Adrenalin, nahezu 24/7-Arbeit und einer gehörigen Portion Chaos. Doch um direkt einen Spoiler zu liefern: Das Unternehmen konnte das Geschäft in einer angemessenen Zeit wieder zum Laufen bringen – ohne ein Lösegeld zu zahlen. Sie können diese Erfolgsgeschichte also als Inspiration nutzen, um sich auf einen Ransomware-Angriff vorzubereiten.

Diese Geschichte ist in die folgenden Abschnitte unterteilt:

  1. Aktuelle Strategien von Hackern, die Ransomware nutzen
  2. Wie starke Führung Chaos verhindern kann
  3. Die vier wesentlichen Arbeitsströme nach einem Ransomware-Angriff
  4. Blocker, die Sie daran hindern können, die Krise erfolgreich zu meistern
  5. Wie man nach einem überstandenen Ransomware-Angriff weitermacht
  6. Die richtige Sichtweise auf Ransomware-Prävention
  7. Wie man sich auf eine ransomware-basierte Krise vorbereitet

Ransomware jenseits der Verschlüsselung

Ransomware wird oft als reine Verschlüsselung von Daten wahrgenommen. Doch das ist längst nicht mehr die ganze Wahrheit. Heutzutage verfolgen Ransomware-Gruppen die Strategie, Ihre Daten zu exfiltrieren, bevor die Verschlüsselung überhaupt beginnt. Eine reine Wiederherstellung der Daten reicht daher nicht aus. Sie stehen weiterhin vor der Drohung, dass Unternehmensdaten veröffentlicht werden, wenn Sie nicht zahlen.

Selbst wenn Sie nicht zahlen, weil Sie Ihre Daten wiederherstellen können und die gestohlenen Daten nicht so wichtig erscheinen, bleibt das Problem bestehen, dass diese Gruppen öffentlich machen, dass Sie gehackt wurden. Falls Sie ein börsennotiertes Unternehmen sind oder regulatorische Vorgaben wie die DSGVO erfüllen müssen, kommen Sie um eine öffentliche Kommunikation nicht herum.

Ein weiterer Punkt, der zum Thema Verschlüsselung erwähnt werden muss: Es wird zunehmend schwieriger, einen öffentlich verfügbaren Entschlüsselungsschlüssel zu finden, da die Verschlüsselung inzwischen individuell angepasst wird. Falls Sie sich dafür interessieren, wie das funktioniert, empfehle ich den Artikel meines Kollegen David Brucker, der dieses Thema hervorragend erläutert hat.

Darüber hinaus sollten Sie sich bewusst sein, dass Sie unter Druck gesetzt werden, eine Entscheidung zu treffen. Manche Angreifer setzen Ihnen eine Frist von sieben Tagen, bevor sie drohen, Ihre Daten zu veröffentlichen oder die Entschlüsselungsschlüssel zu zerstören. Andere kontaktieren direkt das Managementteam und setzen es durch Erpressung unter Druck, z. B. durch die Androhung von Sammelklagen, falls personenbezogene Daten veröffentlicht werden. Auch Drohungen mit DDoS-Angriffen und anderen Attacken nach Ablauf einer Frist werden gemeldet.

Da sind sie also hin, all meine persönlichen Informationen. Vielleicht habe ich hier und da meinen Status ein wenig aufgewertet, aber ich wollte seriös wirken und das Geld wert sein. Bitte versuchen Sie nicht, die Telefonnummer anzurufen, die ich angegeben habe. Ich weiß nicht einmal, ob diese überhaupt existiert 😉

Die Antwort kam noch am selben Tag, und inzwischen hasse ich diese langen E-Mails. Ich dachte immer, Geschäftsleute würden versuchen, sich kurz zu fassen…

Chaos mit starker Führung verhindern

Ransomware trifft plötzlich, ohne Vorwarnung, und meistens zu einem Zeitpunkt, der für niemanden in den Kalender passt – häufig am Wochenende oder an Feiertagen. Es kann jedoch auch mit geschäftlichen Routinen wie einer Hauptversammlung, der Veröffentlichung von Quartalsberichten oder wichtigen Verkaufszeiten zusammenfallen.

Wenn ein Unternehmen von Ransomware betroffen ist, kommt die Arbeit zum Stillstand. Idealerweise werden die Systeme sofort nach Entdeckung des Problems heruntergefahren und die Netzwerkkonnektivität unterbrochen. Dadurch wird die Aktivität der Ransomware isoliert.

Dennoch gibt es plötzlich viele Unklarheiten, und die IT gerät in eine Art Panikmodus, in dem jeder versucht, irgendetwas zu tun, das hilfreich sein könnte. In diesem Stadium passieren viele Dinge unkoordiniert. Deshalb ist es entscheidend, eine starke Führung zu haben, die klare Anweisungen gibt und alle Aktivitäten in verschiedene Arbeitsströme lenkt.

Es spricht nichts dagegen, diese Rolle extern zu besetzen. Das kann sogar vorteilhaft sein, da externe Personen die Situation aus einer neutralen Position betrachten und Entscheidungen nicht von potenziellen individuellen sozialen Abhängigkeiten innerhalb des Unternehmens beeinflusst werden.

Die vier wichtigen Arbeitsströme

Bevor wir über die Arbeitsströme sprechen, stellen Sie sicher, dass alle Standorte heruntergefahren werden, um das Problem sofort zu isolieren, sobald jemand von dem Angriff erfährt. Trennen Sie jegliche Internet- und interne Netzwerkverbindungen und schalten Sie Hardware aus, wo immer möglich – ziehen Sie den Stecker! Idealerweise gibt es einen strukturierten und informierten Prozess, um diese Eindämmung durchzuführen.

Nun müssen die Arbeiten in Ströme organisiert werden – oder formeller gesagt, in Projekte innerhalb des Krisenmanagementprogramms. Es gibt vier wichtige Arbeitsströme, die alle parallel laufen müssen:

1. Projektmanagement & Managementkommunikation

Letztendlich ist das Krisenmanagement ein Projekt, das auch als solches behandelt werden muss. Sie müssen Arbeitspakete erstellen, Zeitpläne definieren, den Fortschritt verfolgen und eine enge Kommunikation mit den Hauptstakeholdern – meist C-Level-Management und Unternehmensinhabern – aufrechterhalten.

Ein Unternehmen steht nach einem Ransomware-Angriff in der Regel still, und jeden Tag geht Geld verloren. Wenn die Kommunikation auf Managementebene schlecht läuft, können falsche Erwartungen oder unnötiger Druck einen guten Wiederherstellungsplan zunichtemachen.

Sie müssen auf viele Fragen vorbereitet sein, vor allem darauf, wann das Unternehmen wieder betriebsbereit ist und warum es die Zeit benötigt, die es benötigt. Zeitabschätzungen werden ein großes Thema sein. Grundregel: Rechnen Sie mit dem Doppelten der von den Teams geschätzten Zeit.

Für alles, was Sie tun, müssen Sie erklären können, warum. Das Management hat einen starken Drang, das Geschäft wieder in Gang zu bringen. Sie müssen eine Strategie haben, die die richtigen Erwartungen weckt und dem Management das Vertrauen gibt, dass ein Plan vorhanden ist – und dass dieser Plan der beste ist, dem man folgen kann.

Während einer Krise müssen Sie Ihre Schlüsselressourcen schützen – am besten, indem Sie das Management von diesen Ressourcen fernhalten, damit sie sich auf die Wiederherstellung konzentrieren können. (Öffentliche Kommunikation wird hier nicht behandelt.)

2. Angreiferkommunikation und Lösegeldabwicklung

Früher oder später werden Sie eine Nachricht finden, in der Anweisungen zur Durchführung des Lösegeldverfahrens gegeben werden. Diese enthält in der Regel eine .onion-Website, die über einen Tor-Browser aufgerufen werden kann, sowie einen „Kundenreferenzcode“. Wenn Sie diesen Code auf der .onion-Seite eingeben, gelangen Sie zu Ihrem persönlichen Support-Chatfenster.

Sie benötigen eine Strategie für die Kommunikation mit den Angreifern. Letztendlich sind Ihre Daten verschlüsselt, und Sie wissen nicht, ob eine Wiederherstellung möglich ist. Es kann Situationen geben, in denen Sie gezwungen sind, mit den Angreifern über die Höhe des Lösegelds zu verhandeln. Ja, Sie haben richtig gehört: Auch Angreifer sind Geschäftsleute, mit denen Sie den Preis verhandeln können 😉 Selbst wenn Sie wissen, dass Sie Ihre Daten wiederherstellen können, bleibt das Problem der exfiltrierten Daten bestehen.

Bereiten Sie Verhandlungsstrategien für mindestens die folgenden Fragen vor:

  • Welche Daten wurden exfiltriert, und wie kann ich sicherstellen, dass die Angreifer die Wahrheit sagen?
  • Wie kann ich sicherstellen, dass die Angreifer in der Lage sind, meine Daten zu entschlüsseln, falls erforderlich?
  • Welche Strategie könnte helfen, den Lösegeldbetrag zu reduzieren?
  • Wie kann ich Zeit gewinnen, wenn ich eine neue Strategie benötige oder unvorbereitet bin?
  • Wie gewinne ich mehr Zeit, wenn es eine Entscheidungsfrist gibt?

Seien Sie auch darauf vorbereitet, dass Sie gefragt werden, ob der Chat in ein privates Fenster verlegt werden soll. Dies bedeutet, dass die Kommunikation an ein einziges Gerät gebunden ist. Versuchen Sie, so flexibel wie möglich zu bleiben.

Das Wichtigste: Was auch immer Sie tun, stimmen Sie es eng mit dem Management ab – idealerweise haben Sie Entscheidungsträger bei jeder Kommunikation mit den Angreifern an Ihrer Seite. Dennoch verstehen auch Angreifer, dass bestimmte Entscheidungen (z. B. der Kauf von Kryptowährungen) Zeit erfordern.

Wenn die Entscheidung getroffen wird, das Lösegeld zu zahlen, müssen Sie eine beträchtliche Menge Bitcoin organisieren und überweisen. Daher ist es sinnvoll, im Voraus einen guten Plan für dieses Thema zu haben. Aus Unternehmenssicht ist es oft besser, einen externen Dienstleister einzuschalten, der diese Aufgabe übernimmt und Ihnen eine Rechnung für „erbrachte Dienstleistungen“ stellt.

3. Informationsgewinnung & Forensik

Wenn Sie gehackt und Ihre Systeme verschlüsselt wurden, können Sie keinem System in Ihrer Umgebung mehr vertrauen. Selbst wenn Sie das Lösegeld zahlen, wissen Sie nie, ob ein Backdoor zurückgelassen wurde, das in ein paar Monaten erneut zuschlagen könnte. Im Krisenmodus müssen Sie daher viele Fragen beantworten:

  • Wie wurde ich gehackt?
  • Wann wurde ich gehackt?
  • Wie verlief die Angriffskette?
  • Wer ist der Angreifer?
  • Welche Systeme sind betroffen und welche nicht?
  • Sind meine Backups sicher und verwendbar?

Sie müssen so viele Informationen wie möglich sammeln, um diese und weitere Fragen zu beantworten. Wenn Sie beispielsweise herausfinden, welches Ransomware-Derivat Sie getroffen hat, können Sie möglicherweise öffentliche Informationen über die Muster der jeweiligen Hackergruppe finden. Darüber hinaus könnten Sie andere Unternehmen finden, die von dieser Ransomware betroffen waren, und einige von ihnen sind vielleicht bereit, Ihnen Einblicke in ihre Erfahrungen zu geben.

Aus technischer Sicht müssen Sie jede verfügbare Information zusammenführen. Dies betrifft hauptsächlich Protokolle und Erkenntnisse, die von vorhandenen Tools generiert werden. Bedenken Sie, dass Angreifer in der Regel Protokolle auf betroffenen Maschinen löschen oder verschlüsseln – ein zentrales, schreibgeschütztes Protokoll-Repository ist daher unerlässlich. Auch Cloud-Dienste für Sicherheitsprodukte sind eine gute Informationsquelle, da sie in der Regel nicht von Verschlüsselung oder Löschung betroffen sind.

Im Laufe der Zeit werden sich die anfänglichen Fragen in Hypothesen umwandeln, die bestätigt werden müssen:

  • Der Angriff fand am X des Monats statt.
  • Nur mit Active Directory (AD) verbundene Systeme sind betroffen.
  • Der Domain-Administrator wurde durch X erreicht.
  • Alle Backups vor dem Datum X sind sicher.

Das Umwandeln von Hypothesen in bestätigte Fakten ist entscheidend für die Wiederherstellung. Kommunizieren oder handeln Sie niemals auf Basis von Annahmen.

Wenn Sie feststellen, dass bestimmte Systeme mit hoher Wahrscheinlichkeit nicht betroffen sind oder Sie entscheiden, bestimmte Systeme aufgrund gespeicherter kritischer Daten zu behalten, müssen Sie eine gründliche forensische Untersuchung auf Backdoors durchführen. Für jedes System, das Sie wieder in Betrieb nehmen, müssen Sie nahezu 100% sicher sein, dass es keine Backdoors aus dem Angriff enthält.

4. Wiederherstellung & Verbesserung

Wenn Sie keinen Wiederherstellungsplan haben, müssen Sie einen entwickeln. Falls Sie einen haben, sollten Sie darauf vorbereitet sein, dass dieser Plan möglicherweise nicht wie vorgesehen funktioniert. In diesem Fall müssen Sie viele Ad-hoc-Änderungen in Betracht ziehen. Wichtig ist, dass Ihre essenzielle Dokumentation bei Bedarf zugänglich ist. Der beste Plan ist wertlos, wenn die Dokumentation auf Servern liegt, die verschlüsselt oder anderweitig nicht erreichbar sind.

Zuallererst müssen Sie wissen, was wiederhergestellt werden muss. Sie können nicht alles gleichzeitig angehen, daher ist es notwendig, Prioritäten zu setzen. In der Regel richtet sich dies nach der geschäftlichen Kritikalität. Eine sinnvolle erste Priorisierung könnte folgendermaßen aussehen:

  1. Erste Wiederherstellungswelle: Alles, was mit Geschäftsprozessen verbunden ist, die Einnahmen generieren.
  2. Zweite Wiederherstellungswelle: Alles, was mit Geschäftsprozessen verbunden ist, die Ausgaben tätigen – wie z. B. das Bezahlen von Rechnungen.
  3. Dritte Wiederherstellungswelle: Alles andere.

Jede dieser Kategorien kann weiter nach geschäftlicher Wichtigkeit priorisiert werden. Ein weiterer Faktor für die Priorisierung könnten Staging-Umgebungen sein. Um das Geschäft wieder zum Laufen zu bringen, sollte der Fokus zunächst auf Produktionssystemen liegen.

Für die Wiederherstellung müssen Sie möglicherweise Änderungen in Ihrer Umgebung vornehmen. Basierend auf den Erkenntnissen aus der Informationsgewinnung und Forensik können Sie feststellen, dass bestimmte Dinge nicht mehr wie zuvor funktionieren. Daher müssen Sie eine sicherere Umgebung wiederherstellen, um zu verhindern, dass Sie erneut durch dieselbe oder eine leicht modifizierte Angriffskette gehackt werden. Dies könnte die Konfiguration von Clients oder Servern, als unsicher identifizierte Automatisierungsskripte, Benutzerprivilegien und Ähnliches betreffen.

Als technische Basis für die Wiederherstellung benötigen Sie eine neue, saubere und durch Firewalls geschützte Netzwerkzone, in der Sie Dienste wiederherstellen. Verwenden Sie nicht Ihre alte Umgebung – diese gilt ab jetzt als unzuverlässig. Stellen Sie sicher, dass ein Plan für die Netzsegmentierung vorliegt, der auf die neue Netzwerkumgebung angewendet werden kann. Idealerweise erhält jeder Dienst sein eigenes VLAN, das durch eine Firewall geschützt ist, die standardmäßig alles blockiert. Firewall-Regeln sollten nach einem Whitelisting-Ansatz implementiert werden, der die Kommunikation auf das Nötigste beschränkt.

Viele Firewall-Regeln werden während der Wiederherstellung benötigt, also stellen Sie sicher, dass Sie einen effizienten Prozess dafür haben, der auch ohne die üblichen Service-Management-Systeme funktioniert. Netzwerkthemen werden während des Wiederherstellungsprozesses am drängendsten sein. Abhängig von Ihrer bisherigen Netzwerkarchitektur könnte das Netzwerk der erste große Faktor sein, der Ihren Wiederherstellungsplan aushebelt, falls Sie einen hatten.

Bevor Sie Systeme wiederherstellen, definieren Sie eine Wiederherstellungsprozedur, die alle Schritte abdeckt, um Risiken bei der Wiederherstellung und im späteren Betrieb zu eliminieren. Die Prozedur könnte Folgendes umfassen:

  • Anforderungen zur Härtung der Systeme.
  • Obligatorische Untersuchungen für Systeme, bei denen Unsicherheiten bestehen, ob sie sicher sind.
  • Zu installierende Software (z. B. Antivirus).
  • Einzuspielende Updates für Betriebssysteme und Komponenten.

Die Wiederherstellung erfolgt systematisch, indem ein System nach dem anderen wiederhergestellt wird, und zwar in einer isolierten Umgebung. Ein Server wird ohne Netzwerkverbindung hochgefahren, gehärtet und gemäß der Wiederherstellungsprozedur überprüft. Wenn er als sicher bestätigt wird, wird er in sein neues Ziel-VLAN verschoben. Nach Ihrer Priorisierungsliste fahren Sie so fort, bis alles wiederhergestellt ist.

Denken Sie daran, dass viele Teams während der Wiederherstellung reibungslos zusammenarbeiten müssen. Sorgen Sie dafür, dass effiziente Kommunikationskanäle vorhanden sind, um den Wiederherstellungsprozess zu unterstützen.

Ihre Gegner in einer Krise

Während einer Krise können Sie auf verschiedene Probleme und Einschränkungen stoßen, die Ihre Wiederherstellungsprozesse behindern.

Die wichtigste Ressource, die Sie in einer Krise managen müssen, ist Ihre Belegschaft. In Krisenzeiten ist es entscheidend, Menschen zu haben, die daran gewöhnt sind, miteinander zu arbeiten und die Systeme sowie die Umgebung kennen. Sie können Ihre Belegschaft nicht einfach mit Externen auffüllen, die Ihr Unternehmen noch nie zuvor gesehen haben. Die erfahrenen Mitarbeiter, die Ihnen zur Verfügung stehen, sind Ihre wichtigste Ressource, um eine Krise zu überstehen – und Sie müssen diese schützen:

  1. Am wichtigsten: Halten Sie sie arbeitsfähig.
    Schicken Sie Ihre Mitarbeiter nach Hause, wenn sie müde sind, oder geben Sie ihnen einen freien Tag, wenn sie überarbeitet sind. Eine Pause einzulegen und dann mit voller Konzentration weiterzuarbeiten, ist wichtiger, als müde von einem Fehler zum nächsten zu springen.
  2. Halten Sie sie von unnötiger Arbeit fern.
    Konzentrieren Sie sie auf die wesentlichen Aufgaben und vermeiden Sie, dass sie sich mit irrelevanten Themen beschäftigen müssen.
  3. Halten Sie das Management und andere störende Personen fern.
    Lassen Sie das technische Schlüsselpersonal in Ruhe arbeiten, ohne dass sie von Führungskräften oder anderen Mitarbeitern unterbrochen werden.
  4. Sorgen Sie für ihren Komfort.
    Geben Sie ihnen alles, was sie brauchen, um die Motivation aufrechtzuerhalten. Wenn jemand einen dritten Bildschirm, außergewöhnliches indisches Essen oder eine spezielle Red-Bull-Edition benötigt, fragen Sie nicht – liefern Sie es einfach. Wenn jemand Unterstützung bei täglichen Aufgaben wie dem Bringen der Kinder in den Kindergarten oder dem Waschen der Wäsche benötigt – organisieren Sie Hilfe.

Wie zu Beginn des Artikels erwähnt, herrschen Chaos und viele Unbekannte. Die Menschen brauchen jemanden, dem sie vertrauen können und der sie durch schwierige Zeiten führt. Sie brauchen eine Führungskraft, die das Vertrauen gibt, dass jede Krise gemeistert werden kann.

Haben Sie jemanden, der ruhig bleibt, Zuversicht verbreitet und Struktur in die Aktivitäten bringt. Kämpfen Sie gegen die „kopflosen Hühner“ – starke Führung ist alles.

Es könnte sinnvoll sein, diese Rolle extern zu besetzen, da interne Führungskräfte möglicherweise nicht die volle Unterstützung aller haben oder durch Kollegialität beeinflusst sind. Externe Führungskräfte können eine neutrale Position einnehmen und Entscheidungen ohne emotionale Einflüsse treffen. Es gibt Spezialisten für das Management von Krisenereignissen – Sie müssen sie nur kennen und bei Bedarf engagieren.

Wenn Sie sich für eine externe Unterstützung entscheiden, denken Sie daran, dass diese in die Unternehmenskultur passen muss, um effizient arbeiten zu können. Sollten Sie während einer Krise das Gefühl haben, dass es Unterschiede zwischen den Unternehmenszielen und der externen Wahrnehmung gibt, zögern Sie nicht, den externen Krisenmanager auszutauschen.

Die Krise ist überstanden. Und jetzt?

Das Geschäft läuft wieder. Aber was kommt jetzt?

Es kann viele Überbleibsel geben, die noch Zeit und Mühe erfordern, um wieder vollständig in Betrieb zu sein. Trotzdem sollten Sie versuchen, den regulären Betrieb wieder aufzunehmen und diese Themen strukturiert und projektartig zu bearbeiten.

Viele Aktivitäten, die während des Krisenmodus stattgefunden haben, sind möglicherweise nicht dokumentiert. Außerdem könnte sich Ihre Infrastruktur verändert haben. Führen Sie eine vollständige Überprüfung Ihrer Umgebung durch und versuchen Sie, alles in einen gut dokumentierten Zustand zu bringen.

Während der Wiederherstellung haben Sie möglicherweise erkannt, dass es Verbesserungsmöglichkeiten aus IT- und Sicherheitsaspekten gibt. Fordern Sie Ihre Umgebung heraus und entwickeln Sie ein IT- und Sicherheitsprogramm, das sich auf Projekte konzentriert, die eine nachhaltige Weiterentwicklung Ihrer IT und deren Sicherheit sicherstellen.

Besprechen Sie die Krise gemeinsam mit den Teams und lernen Sie daraus, wie Sie es beim nächsten Mal besser machen können. Falls Sie noch keinen Plan für Geschäftskontinuität und Katastrophenwiederherstellung hatten, ist jetzt der perfekte Zeitpunkt, einen solchen zu erstellen.

Kann ich mich vor Ransomware schützen?

Die kurze Antwort lautet: Nein. Sie können nie zu 100 % sicher sein, dass Sie nicht gehackt und mit Ransomware infiziert werden. Aber Sie können die Wahrscheinlichkeit eines solchen Vorfalls so weit wie möglich reduzieren.

Härtung und Überwachung

Härten Sie Ihre Umgebung, um Angreifer so weit wie möglich daran zu hindern, Fuß zu fassen, und verlangsamen Sie sie bei ihrem weiteren Vorgehen. Denken Sie bei der Härtung daran, dass ein funktionierendes Geschäft wichtiger ist, als eine „Goldmedaille“ für die strengste Sicherheit zu gewinnen, die die Geschäftsprozesse jedoch lahmlegt. Angemessene Maßnahmen zur Härtung sind ein eigenes Thema und werden hier nicht im Detail behandelt. Ein schneller Tipp von mir: Schaffen Sie Makros ab. Die meisten Ransomware-Angriffe stammen aus Word- oder Excel-Dateien mit Makros. Das Deaktivieren von Makros bringt Ihnen bereits einen großen Vorteil.

Eine gehärtete Umgebung verhindert zwar keinen geduldigen Angreifer, verschafft Ihnen jedoch Zeit, einen Hacking-Versuch zu erkennen. Neben technischen Maßnahmen, um Ihre Systeme abzusichern, benötigen Sie daher auch ein effektives Monitoring und Alarmsystem, um Angreifer zu erkennen, bevor sie Schaden anrichten.

Eine hervorragende Maßnahme, um Härtungsmaßnahmen umzusetzen, Sicherheitslücken zu identifizieren und ein effizientes Monitoring aufzubauen, sind regelmäßige Red-Teaming-Aktivitäten, die darauf abzielen, Ihre Domäne zu übernehmen. Nach einer Red-Teaming-Übung analysieren Sie, wo Schwachstellen lagen, und setzen zusätzliche Härtungsmaßnahmen um. Sehen Sie sich außerdem die verwendeten Techniken an und überlegen Sie, wie Sie diese durch Monitoring erkennen können. Dies hilft Ihnen, Hacker zu bekämpfen, indem Sie sich selbst in kontrollierter Weise „hacken“.

Am besten ist es, externe Experten für diese Red-Teaming-Aktivitäten einzusetzen und den Anbieter jedes Jahr zu wechseln. Dadurch erhalten Sie unterschiedliche Perspektiven auf Ihre Umgebung.

Bewusstsein

Sicherheitstechnologien sind nur eine zusätzliche Schicht, die ein Unternehmen dabei unterstützt, menschliche Fehler zu minimieren. Das Fundament der Cybersicherheit sind die Mitarbeiter – sie sind es, die sich entscheiden, einen schädlichen Link zu klicken, ein Sicherheitspatch nicht zu installieren oder unsichere Firewall-Regeln zu erstellen.

Investieren Sie in hochwertige Schulungen zum Thema Cybersicherheitsbewusstsein und fördern Sie eine Kultur, in der Sicherheit die Aufgabe aller ist und nicht nur die eines isolierten Sicherheitsteams. Beachten Sie, dass das Schreiben einer Richtlinie zwar aus Compliance-Sicht akzeptabel ist, jedoch das Verhalten nur minimal ändert. Der Schlüssel zum Erfolg liegt darin, den Inhalt einer Richtlinie so zu vermitteln, dass sich die Mitarbeiter daran erinnern können.

Wie man sich vorbereitet

Es gibt ein Mantra in der Cybersicherheit: Es ist nicht die Frage, ob Sie gehackt werden, sondern wann. Und einmal gehackt zu werden, schützt Sie nicht davor, ein weiteres Mal gehackt zu werden. Also, wie können Sie sich vorbereiten?

Ich halte es kurz, da die Erstellung eines vollständigen Plans für Geschäftskontinuität und Katastrophenwiederherstellung ein eigenes Buch füllen könnte. Beginnen Sie damit, meinen Artikel noch einmal zu lesen, und finden Sie heraus, wo Ihnen möglicherweise ein Plan fehlt. Versuchen Sie, dies zu ändern – gemäß dem Pareto-Prinzip können Sie mit einem vernünftigen Zeit- und Ressourcenaufwand 80 % eines soliden Plans abdecken. Die letzten 20 % für einen perfekten Plan sind harte Arbeit, aber möglicherweise nicht entscheidend, um den „Krieg“ gegen Ransomware zu gewinnen. 😉

Vielen Dank an Jimmy Heschl für die Überprüfung dieses Artikels und sein Feedback!

Vielen Dank fürs Lesen.

Related Posts

Allgemein

Komplexes Passwort vs. Buffer Overflow? And the winner is…

David Brucker2. Oktober 2023
Allgemein

Einfallstor IP-Kamera – Von Shodan zur Reverse Shell (RCE)

David Brucker2. März 2023
Allgemein

Create your own Darknet website to protect your organization from Tor traffic

David Brucker4. September 2022

Nachweisbare Erfolge...

„Die mindsetters GmbH hat uns mit ihrem umfangreichen Red Teaming Assessment einen echten Schritt nach vorne gebracht. Die Zusammenarbeit war transparent, zielführend und hat uns gezeigt, wie wir unsere Sicherheitsmaßnahmen noch weiter optimieren können. Absolute Empfehlung!“

Herbert Frohner
Global CIO – NovaTaste GmbH

“From zero to ISO27001 certification in 4 months – thank you, mindsetters for pushing us through this mission impossible. After a year, we can confirm we not only received a certification but, more importantly, a running and effective ISMS!”

Ivan Skowronski
Konux GmbH

Sixt Logo

... und geprüfte Expertise

Sichern Sie Ihr Unternehmen!

Unsere Experten stehen Ihnen zur Verfügung, um Ihre Cybersicherheit zu verbessern.

Kostenloses Erstgespräch

mindsetters GmbH
Urstein Süd 15
A-5412 Puch bei Hallein

info@mindsetters.com
+43 664 88988214
+43 664 1081527

Impressum | Datenschutz