Ransomware-Horror: Warum viele KMU scheitern und wie Sie agieren sollten

Von /
Allgemein

Wie KMU sich auf Cyberangriffe vorbereiten und im Ernstfall richtig handeln

Unser Wohlstand hängt immer mehr von unserer IT-Sicherheit ab. Was die Bundespolitik im Großen macht, steht ebenso für kleine und mittelständische Unternehmen an: Sich vor Ransomware-Angriffen schützen. Denn der Krieg findet leider vermehrt an der Firewall im Netzwerk statt. Wir als Experten können niemals ausschließen, dass es zu einem Befall mit Schadsoftware kommt. Es kann jeden treffen. Dieser Beitrag klärt auf, was im Ernstfall zu tun ist.

Anzeichen für einen Befall mit Ransomware

Es gibt einige Anzeichen dafür, dass in einem Netzwerk etwas schiefläuft und Hacker am Werk sind:

  • Das Netzwerk ist nicht mehr erreichbar
  • Auf dem Netzlaufwerk tauchen Daten auf, die da nicht hingehören
  • Vorhandene Dokumente sehen auf einmal anders aus
  • Dateien lassen sich nicht mehr öffnen
  • Es tauchen unbekannte oder ungewöhnliche Dateiendungen auf

Diese Anzeichen können ein Indiz dafür sein, dass eine Verschlüsselung im Gange ist.

Eine symbolische "Erste-Hilfe Tasche" um gegen den Ransomware-Befall zu wirken.

Erste Hilfe beim Ransomware-Befall: Schnell und besonnen reagieren

Das kann für Panik sorgen. Doch in einem solchen Moment ist nicht Panik angebracht, sondern ein Plan mit konkreten Maßnahmen:

  1. Netzverbindung trennen: Die erste Maßnahme in einem solchen Fall ist es, die Verbindung zum Netzwerk zu kappen. Dazu ist es ratsam, sich vorher zu überlegen, was denn dafür genau nötig ist? Die erste Idee ist vielleicht, das Stromkabel zu ziehen oder am Switch alle Netzwerkkabel zu ziehen. Doch das ist keine gute Idee. Die Server und PCs sollten weiterlaufen. Das ist wichtig, um später forensische Analysen durchführen zu können.
  2. Firewall absichern: Bei der Firewall ist es wichtig, die Konfiguration zu ändern und damit sprichwörtlich sämtliche Türen zuzumachen. Wenn keine Verbindung mehr da ist, unterbricht das automatisch die Arbeit des Hackers. Das kann den Abfluss oder die Verschlüsselung von Daten verhindern.
  3. Sicherheits- und Datenschutzbeauftragte involvieren. Wenn die Verbindung getrennt ist, schließen sich die weiteren Maßnahmen an. Dazu gilt es den Datenschutzbeauftragten und den Sicherheitsbeauftragten zu involvieren. Falls es diese noch nicht in Ihrem Unternehmen gibt, ist das ein dringender Aufruf, sie zu besetzen.

IT-Sicherheitsexperten: Krisenmanager im Schadensfall

Für kleine Unternehmen empfiehlt sich eine externe Besetzung. Externe Experten wissen genau, was im Schadensfall zu tun ist. Sie führen das Unternehmen strukturiert durch die Krise und übernehmen Krisenmanagement, Koordination und Kommunikation und helfen dabei, folgende Fragen zu beantworten:

  • Welche Systeme sind betroffen?
  • Welche Maßnahmen haben Priorität?
  • Welche externen Experten sind zu beauftragen? (z. B. IT-Forensiker oder IT-Security-Dienstleister)
  • Wie wird intern und extern kommuniziert? (z. B. gegenüber Kunden, Partnern oder Medien)
  • Welche rechtlichen Verpflichtungen bestehen? (z. B. Datenschutz-Meldungen gemäß DSGVO)

Der Desaster Recovery Plan: Der Weg zurück in die Normalität

Im Desaster Recovery Plan geht es darum, wie Sie kritische Systeme – zumindest im Notbetrieb – wieder ins Laufen kommen. Im Angriffsfall gibt es keinen pauschalen Fahrplan. Jedoch muss die Geschäftsleitung auf jeden Fall im Krisenstab involviert sein. Denn es gilt, Entscheidungen fürs Unternehmen zu treffen. Diese Entscheidungen haben direkte Kostenauswirkungen. Beispielsweise geht es darum, ob (teure) IT-Forensik nötig ist.

Und es geht um einen Plan für die kommenden Tage. Kann die Produktion weiterlaufen? Oder müssen die Mitarbeiter nach Hause, weil die Anlagen stillstehen? Diese Entscheidung trifft die Geschäftsleitung. Das kann nicht der IT-Leiter entscheiden. Denn es kann schnell um die Existenz des Unternehmens gehen.

Stehen bei einem Unternehmen wichtige Produktionsanlagen still, ist die größte Frage, wie diese wieder ans Netz gehen können. Schließlich muss das Unternehmen Geld verdienen. Spätestens an diesem Punkt ist für den Unternehmer klar, dass ein Ransomware-Angriff keine günstige Geschichte ist.

Beispielhafte Tastatur mit "Restart" Taste für die gesamte IT-Infrastruktur.

Manchmal hilft nur der IT-Neustart auf der grünen Wiese

Nach dem Notbetrieb geht es darum, den regulären Betrieb wieder aufzunehmen. Wenn Sie nicht ausschließen können, dass das ganze Serversystem noch infiziert ist, hilft nur ein Neustart. Dann muss das komplette System auf der grünen Wiese neu aufgesetzt werden. Die vorhandenen Datenbestände werden dann in das neue System eingespielt. Dafür ist es wichtig, das Spielfeld der IT zu verlassen und andere Abteilungen mit ins Boot zu holen.

Hier ist das Backup ein wichtiges Thema. Doch, wie lange dauert die Wiederherstellung einer kompletten Anlage? Da geht es nicht um 10 Minuten oder eine Stunde, sondern das kann mehrere Tage dauern.

Dabei hilft ein Plan, der vorgibt, welche Systeme Priorität haben. Das E-Mail-Archiv hat etwa weniger Priorität als das ERP-System oder der Datenbank-Server. Oder Sie stellen fest, dass manche Systeme so alt sind, dass sie gar nicht mehr zu ersetzen sind. Ist die Hardware infiziert, stellt sich die Frage, ob diese überhaupt wieder ans Netz gehen kann. Oder ob das zu riskant ist.

Prävention: Lernen aus dem Vorfall

Ein Cyberangriff ist immer auch eine Gelegenheit, um aus Fehlern zu lernen und sich für zukünftige Angriffe besser zu rüsten. Unternehmen sollten nach einer erfolgreichen Wiederherstellung folgende Fragen klären:

  • Wie konnte es zum Angriff kommen? (z. B. fehlende Sicherheitsupdates, Phishing-Angriffe, schwache Passwörter)
  • Welche technischen Maßnahmen sind nötig? (z. B. bessere Firewalls, Multi-Faktor-Authentifizierung, regelmäßige Backups)
  • Wie können Mitarbeiter besser geschult werden? (z. B. Erkennung von Phishing-Mails, Sensibilisierung für Cybergefahren)
  • Gibt es ein Notfallhandbuch oder Krisenübungen für solche Vorfälle?

Das Risiko für Ransomware-Angriffen ist da: Werden Sie aktiv

Jeder Geschäftsführer und jeder IT-Verantwortliche muss sich heute mit dem Risiko eines Angriffs auseinandersetzen. Es geht darum, das Risiko selbst und die Folgen zu bewerten – vor allem für den Worst-Case. Möchten Sie sich dafür externe Expertise holen, kommen wir gerne ins Spiel. Sprechen Sie uns gerne, wenn Sie Unterstützung bei Ihrem IT-Sicherheitskonzept benötigen.

Jetzt kostenfreies Beratungsgespräch sicher!

Anrufen: +49 (0) 2246 92 39 0

E-Mail schreiben | Remote Support