Wenn die Prävention versagt: Sechs-Punkte-Plan bei Datenpannen

Pure Storage nennt Planungsschritte, die Unternehmen während eines Angriffs umsetzen sollten

[datensicherheit.de, 15.11.2021] Jeder Ransomware-Angriff bzw. jede Verletzung der Datensicherheit hat ein „Davor“, ein „Während“ und ein „Danach“ – um sich in jede dieser Phasen schützen zu können, gelte es auch zu wissen, wie ein Angriff abläuft, so Pure Storage – und gibt in einer aktuellen Stellungnahme eine Beschreibung sowie Hinweise zur Planung des Verhaltens im Notfall.

Notfallplan in die Tat umsetzen und Schritte zur Schadensminimierung vornehmen!

Ohne Prävention gehe es nicht, aber nur mit Prävention gehe es auf keinen Fall… So – oder so ähnlich – ließen sich die jüngsten Erfahrungen vieler Unternehmen mit der Bedrohung durch Ransomware-Attacken zusammenfassen.
Nachfolgend wird der Verlauf eines Angriffs erläutert und ausgeführt, welche kritischen Entscheidungen Unternehmen treffen müssten, an wen sie sich zuerst wenden und welche weiteren wichtigen Schritte sie bei der Reaktion tätigen sollten. Ziel sei es, den Notfallplan in die Tat umzusetzen und Schritte zur Schadensminimierung vorzunehmen.

Basis der Planung: Was genau während eines Cyber-Angriffs passiert

Pure Storage beschreibt, was genau in der Phase passiert, wenn die „Alarmglocken läuten“ und Unternehmen von einem Cyber-Angriff oder einer Sicherheitsverletzung betroffen sind:

Einnisten der Angreifer in der Zielumgebung
Nachdem sie eine Kampagne gestartet haben, nisteten sich die Angreifer in der Zielumgebung ein. Sie könnten sensible Dateien exfiltrieren, um sie in einem zweiten Angriff zu verwenden, wenn die Verschlüsselungskampagne nicht erfolgreich ist oder um mehr Geld zu fordern.

Einsatz von Exploit-Toolkits für erweiterten Zugriff
Angreifer könnten sogenannte Exploit-Toolkits verwenden, um sich erweiterten Zugriff (d.h. Administratorenzugriff) auf die Umgebung zu verschaffen.

Aufspüren der wichtigsten Systeme
Sobald sie in der Zielumgebung sind, würden sie wichtige Systeme identifizieren, darunter kritische Infrastrukturen wie „Active Directory“, DNS, Backup- und primäre Speichersysteme.

Änderung der Zugangsdaten
Angreifer könnten Zugangsdaten ändern, um legitime Benutzer von den Systemen auszuschließen.

Zerstörung der Backups
Ebenso könnten sie Backups löschen oder beschädigen. Sie könnten auch Front-End-Sicherungsserver verschlüsseln, um Kataloge unbrauchbar zu machen.

Verschlüsselung primärer Benutzerdatendateien
Anschließend könnten die Angreifer die primären Benutzerdatendateien auf den Host-Systemen angreifen und verschlüsseln.

Schlüsselaspekte des Plans: Reaktion und Wiederherstellung in den frühen Stadien eines Angriffs

Zu wissen, was Ransomware-Angreifer oder Hacker vorhaben, sei der erste Schritt. „Jetzt ist es an der Zeit, in Aktion zu treten. Der genaue Wiederherstellungsplan hängt vom Unternehmen und der Sicherheitsverletzung ab, aber dieser Leitfaden der FTC (FEDERAL TRADE COMMISSION) ist ein guter Anfang.“
Zudem gebe es nationale Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen einhalten müssten. Der eigene Leitfaden von Pure Storage soll helfen, um einige wichtige Gespräche mit dem CISO zu führen.

Planungsschritte für Unternehmen während eines Angriffs

Pure Storage nennt Planungsschritte, die Unternehmen während eines Angriffs umsetzen sollten, um den Schaden zu minimieren und die Wiederherstellung zu beschleunigen.

1. Den Angriff begrenzen und die Umgebung abriegeln!
Bei den ersten Anzeichen eines Angriffs gelte es, die betroffenen Systemkomponenten im Netzwerk zu isolieren, „indem sie vollständig abgeschaltet oder in einer privaten Netzwerk-Enklave unter Quarantäne gestellt werden“. So lasse sich die Ausbreitung stoppen und der Schaden minimieren. Indes gelte es, IT-Systeme niemals ganz herunterzufahren oder die Stromversorgung auszuschalten – dadurch werde die Möglichkeit, diese Geräte später forensisch zu analysieren, stark eingeschränkt oder ganz unterbunden.
Dann folge das Aktualisieren der Zugangsdaten und Passwörter auf sauberen Rechnern. „Falls Informationen auf der Website veröffentlicht wurden, müssen Unternehmen diese entfernen und sich an Suchmaschinen wenden, um den Cache zu löschen.“

2. Ausführung des Backup-Kommunikationsplans, falls die E-Mail-Systeme ausfallen!
Unternehmen sollten bereits einen gut definierten Kommunikationsplan aufgestellt haben, und jetzt sei es an der Zeit, ihn anzuwenden.
„Jetzt gilt es, die Führungskräfte und interne Stakeholder über den Angriff zu informieren, sei es über ein Mobiltelefon oder eine alternative E-Mail-Adresse, und so schnell wie möglich IT- und Sicherheitsteams, leitende Angestellte und externe Sicherheitsberater einzuschalten.“

3. Mobilisierung des Notfallteams!
Das Notfallteam sollte sich aus einigen wichtigen Akteuren zusammensetzen. Je nach Unternehmen könnten dies Forensik-Experten, Rechtsberater, „InfoSec“, „IT“, „Investor Relations“, „Unternehmenskommunikation“ und Management umfassen.
Alle Mitglieder dieses Teams sollten klare Anweisungen erhalten, ebenso wie die an der Wiederherstellung beteiligten Personen. Im E-Book „Hacker’s Guide to Ransomware Mitigation and Recovery“ weise der ehemalige Hacker Hector Monsegur darauf hin, dass dies besonders wichtig sei: „Andernfalls sind Netzwerk- und Systemadministratoren auf ihr eigenes Urteilsvermögen angewiesen, um die Bedrohung zu neutralisieren, was meiner Erfahrung nach in der Regel ineffektiv oder sogar katastrophal ist.“

4. Aktivierung eines externen Kommunikationsplans!
Nun sei es an der Zeit, sich mit wichtigen Partnern und Behörden in Verbindung zu setzen. Unternehmen könnten externe technische Partner zur Unterstützung heranziehen, einschließlich ihres Speicheranbieters und anderer IT-Anbieter. „Wenn Geschäftsführer nach einem Angriff mit den Medien, Aufsichtsbehörden und der Rechtsabteilung zusammenarbeiten, ist es hilfreich, eine aktualisierte Liste mit Kontakten in den lokalen Büros der Strafverfolgungsbehörden zu führen.“ Der ebenfalls kontaktierte Cyber-Versicherungsanbieter könne die Deckungen und Einschränkungen erläutern.
Ebenso sei es ratsam, sich gegebenenfalls mit den örtlichen Behörden in Verbindung zu setzen, um etwaige Compliance-Verpflichtungen zu genügen und möglichen Bußen vorzubeugen.
Unternehmen sollten auch ihren Plan zur Benachrichtigung der betroffenen Kunden vorstellen. „Möglicherweise haben sie eine Mitteilung verfasst, um die Informationen zu teilen, zu deren Weitergabe sie verpflichtet sind“ – und Empfehlungen für die Betroffenen formuliert, um klar darzulegen, was als nächster Schritt folgen soll.

5. Start des forensischen Prozesses!
Monsegur: „Vorausgesetzt, Sie verfügen über alle geeigneten Netzwerküberwachungsinstrumente wie SIEMs und Protokolle, kann ein gut geschultes Personal, das nach Anomalien und Ereignissen sucht, einen Angriff in Aktion erkennen.“ Sicherheits- und Zugriffsprotokolle könnten helfen, die Quelle eines Angriffs schnell zu identifizieren. Diese Protokolle könnten auch als Nachweis für die Einhaltung gesetzlicher Vorschriften dienen. „Daher sollten Unternehmen sicherstellen, dass Daten angemessen geschützt sind, auch vor dem Löschen.“
Nun gelte es, die betroffenen Geräte für die forensische Überprüfung zu priorisieren. Das Sicherheitsteam sollte feststellen, „welche Art von Angriff gestartet wurde und in welchem Umfang die Umgebung davon betroffen ist“. Je eher dies geschieht, desto eher könne das Team Patches anwenden und auch ein sauberes Backup wiederherstellen. Danach könnten Unternehmen den Wiederherstellungsprozess in einer gestaffelten Umgebung beginnen.

Tipp: „Bereiten Sie Ihre Umgebung auf spätere Untersuchungen mit Ihren Anbietern oder den Strafverfolgungsbehörden vor“, rät Monsegur. Wenn ein Unternehmen mit der Durchführung einer Untersuchung beauftragt wurde, sei sicherzustellen, dass es eine Übergabe zwischen diesem Unternehmen und den Strafverfolgungsbehörden gebe.

6. Einsatz der gestaffelten Wiederherstellungsumgebung!
Nun sei es an der Zeit, mit der eigentlichen physischen Wiederherstellung zu beginnen. Im Rahmen des Wiederherstellungsplans für den Katastrophenfall sollten Unternehmen eine Wiederherstellungsumgebung einrichten, „die bereits getestet wurde und einsatzbereit ist, damit sie nach einem Ereignis sofort wieder online gehen können“. Dazu gehöre auch eine Sichtverbindung zu neuer Hardware und Systemen, da es keine Garantie dafür gebe, dass sie ihre vorhandene Ausrüstung oder Hardware weiterverwenden könnten. Diese könnte von Behörden oder Ermittlern als Beweismittel beschlagnahmt worden sein oder müsse unter Quarantäne gestellt werden.
Mit „SafeMode-Snapshots“ könnten Unternehmen außerdem sofort mit der Wiederherstellung von unveränderlichen Backups ihrer Daten beginnen. Während eines Schadens-Ereignisses sei diese Funktion besonders wichtig, damit Angreifer sie nicht daran hindern könnten, schnell wieder online zu gehen.

Gut geplant auf die Wiederherstellung vorbereitet sein

„Wenn Unternehmen wissen, mit welchen Herausforderungen sie zuerst konfrontiert werden und welche Sofortmaßnahmen sie in der Frühphase eines Angriffs ergreifen können, können sie Verluste, Kosten und Risiken minimieren.“
Eine entsprechende Plattform für „Storage“ und „Data Management“ könne helfen, in der „Während“-Phase schnell zu handeln. Dazu trage beispielsweise eine ständige Verschlüsselung der Daten im Ruhezustand bei, ohne Leistungseinbußen oder Verwaltungsaufwand. Da sich gesicherte Daten nicht ändern oder löschen ließen, „ist deren Wiederherstellbarkeit gewährleistet, worauf es letztlich ankommt“.

Weitere Informationen zum Thema:

FEDERAL TRADE COMMISSION
Data Breach Response: A Guide for Business

PURESTORAGE
10 Questions to Ask Your Security Team / Guidance for creating a better security strategy for your organization

PURESTORAGE
E-book / Hacker’s Guide to Ransomware Mitigation and Recovery