Verschlüsselung und Veröffentlichung
Diese kriminellen Banden verschlüsseln aber oftmals nicht mehr „nur“ die Daten ihrer Opfer. Da viele Unternehmen ihre Datensicherungen angepasst haben, veröffentlichen einige Ransomware-Gruppen die Daten ihrer Opfer, wenn diese kein „Lösegeld“ bezahlen.
Um den Druck auf die Verantwortlichen zu erhöhen, wird die Veröffentlichung der Daten teilweise sogar mit einem Countdown versehen.
Daten, die es längst nicht mehr geben sollte
Wird bekannt, dass etwa die Daten des zentralen Dateiservers kopiert wurden, steigt der Druck zusätzlich. Denn vielen Verantwortlichen und Beschäftigten ist häufig bekannt, dass die zentrale Datenablage oft auch ein riesiger Datenfriedhof ist und es etwa aufgrund gesetzlicher Vorgaben, wie der Datenschutz-Grundverordnung, viele dieser Dateien nicht mehr geben dürfte.
Aber neben fehlender Zeit, um die Verzeichnisse zu bereinigen, haben viele Verantwortliche und Betroffene die Sorge, dass sie die Daten irgendwann noch einmal brauchen könnten.
So lagern dann oftmals Gigabyte an Daten in Hunderten oder Tausenden Verzeichnissen, Dokumenten, eingescannten Dateien und „Excel-Listen“ mit sensiblen Mitarbeiter-, Kunden- oder Geschäftsinformationen.
Nicht selten finden sich in den veröffentlichten Verzeichnissen auch „Passwort Listen“ oder die Dokumentation der IT-Infrastruktur.
Die Konsequenzen für die betroffenen Unternehmen
Finden die Interessierten in den veröffentlichten Daten Informationen, wie etwa Zugangsdaten, können diese verwendet werden, um das Unternehmen zusätzlich anzugreifen. So wäre es etwa denkbar, dass die gefundenen Zugangsdaten für Microsoft 365, Einkaufsplattform oder Social-Media-Präsenz genutzt
werden, um sich dort einzuloggen.
Nach einem Passwortwechsel durch den Angreifer verliert das Unternehmen dann zumindest zeitweise den Zugriff darauf. Und das, während viele noch mit der Aufrechterhaltung des Notbetriebs und der Wiederherstellung beschäftigt sind.
Meldung an Aufsichtsbehörde, Betroffene und Vertragspartner
Sind in den Verzeichnissen sensible personenbezogene Daten vorhanden, was vielfach der Fall ist, muss der Vorfall regelmäßig spätestens innerhalb von 72 Stunden an die Datenschutz-Aufsichtsbehörde gemeldet werden.
Je nach Risiko für die betroffenen Personen müssen auch diese über den Vorfall informiert werden. Ist das Unternehmen als Auftragsverarbeiter aktiv oder hat es entsprechende vertragliche Vereinbarungen, müssen auch die Auftraggeber bzw. Vertragspartner über den Vorfall informiert werden.
In einigen Branchen und Organisationen gibt es zudem weitere Meldepflichten, welche berücksichtigt werden müssen.
Schadensersatzforderungen und finanzielle Verluste bis hin zur
Insolvenz
Sind sensible personenbezogene Daten von der Ransomware- Attacke und insbesondere der Veröffentlichung betroffen, besteht darüber hinaus das Risiko, dass betroffene Personen Schadensersatz verlangen oder einklagen.
Aber auch wenn keine Person Schadensersatz verlangt und kein „Lösegeld“ bezahlt wird, dürften die meisten Unternehmen hohe Kosten für die Wiederherstellung der IT und die häufig verbundene Betriebsunterbrechung haben. Immer wieder gibt es sogar Medienberichte über Insolvenzen infolge von entsprechenden Cyberangriffen.
Eintritts- und Schadensminimierung dank Ihrer Mithilfe
Damit es möglichst gar nicht erst zu einem Angriff kommt, versucht Ihre IT-Abteilung sicherlich, Ihre Systeme so gut wie möglich abzusichern. Eine 100%ige Sicherheit wird aber selten erreichbar sein. Denn je strenger die technischen Sicherheitsmaßnahmen, desto mehr wird auch oftmals die alltägliche Arbeit beeinflusst.
Zudem lassen sich in der Praxis auch nicht immer alle möglichen Sicherheitsrisiken durch technische Maßnahmen absichern. Deswegen ergreifen Unternehmen sogenannte organisatorische Maßnahmen. Darunter fällt die Festlegung der Zuständigkeiten und Abläufe, aber auch Richtlinien, Arbeitsanweisungen und Ähnliches. Sofern Ihnen diese nicht bekannt sind, sollten Sie sie erfragen.
Technisches Hacking und Social Engineering
Es gibt Ransomware-Attacken, bei denen die Angreifer sich durch Hacking Zugriff von außen verschafft und zuerst Daten kopiert und dann verschlüsselt haben. Wohl sehr viel häufiger aber kam Social Engineering zum Einsatz, also Manipulation.
Die Angreifer versuchen, einen Beschäftigten so zu manipulieren, dass dieser eine Schadsoftware in einer verseuchten Datei öffnet oder den Kriminellen einen Fernwartungszugang ermöglicht.
Vorsicht bei E-Mails, Anrufen und Warnmeldungen
Die Variationen der Manipulationsversuche sind vielfältig. Mal senden die Angreifer E-Mails mit Schadsoftware, ein anderes Mal geben sie sich als Techniker oder Support-Mitarbeiter aus und bieten ihre Hilfe an. Vielfach erfolgt der Angriff weiterhin per E-Mail.
Damit E-Mails möglichst nicht durch eine Schutzsoftware herausgefiltert werden, senden die Angreifer statt Dateien auch Links zu Onlinespeichern, in denen die Datei, etwa eine angebliche Rechnung oder Bewerbung, gespeichert ist.
Da viele Unternehmen E-Mails absichern, nutzen Angreifer zunehmend auch alternative Kommunikationswege und versenden z. B. Chat-Nachrichten via Microsoft Teams. Ende letzten Jahres wurde etwa berichtet, dass die Gruppe „Black Basta“ zuerst einzelne Benutzer mit Spam-Mails überhäuft, um dann per Microsoft Teams Chat Hilfe anzubieten.
Bitte seien Sie bei derartigen Kontaktaufforderungen sehr vorsichtig. Es wird erwartet, dass entsprechende Nachrichten und insbesondere E-Mails durch den Einsatz von künstlicher Intelligenz zunehmend schwieriger zu erkennen sein werden.
Bestenfalls bringen Sie bereits im Vorfeld in Erfahrung, an wen Sie sich bei Unsicherheiten bezüglich verdächtiger Nachrichten und Kontaktaufnahmen wenden können.
Schadensminimierung durch schnelle Reaktion
Zudem sollten Sie im Vorfeld in Erfahrung bringen, an wen Sie sich in Ihrem Unternehmen wenden können, wenn Sie den Verdacht haben, doch auf einen Kriminellen hereingefallen zu sein, und ob es ggf. interne Handlungsvorgaben gibt. Denn im „Fall der Fälle“ kommt es auf jede Minute an!
Wichtig: Nicht immer ist direkt erkennbar, dass etwa eine Schadsoftware-Attacke erfolgreich war! Eventuell passiert nach dem Öffnen einer entsprechenden Datei augenscheinlich nichts Außergewöhnliches. Im Hintergrund werden jedoch Dateien an die Angreifer übertragen und weitere Geräte im Netzwerk infiziert.
Durch eine schnelle Reaktion kann ein Zugriff der Schadsoftware auf andere Geräte oder ein Upload der Daten verhindert oder zumindest begrenzt werden. In einigen Unternehmen gibt es deshalb etwa die Vorgabe, bei Verdacht auf einen Sicherheitsvorfall die Netzwerkverbindung sofort zu trennen.
Schadensminimierung durch Datenbereinigung
Eine wichtige Maßnahme kann auch eine Datenbereinigung sein. Dies betrifft sowohl Dateien als auch EMails und Datenbanken.
Oftmals sind die Daten sogar mehrfach vorhanden. Im schlimmsten Fall befindet sich etwa eine Rechnung im Buchhaltungsprogramm, in einem digitalen Archiv, als PDF in einem Verzeichnis, nach Empfang oder Versand noch im E-Mail-Programm und im dazugehörigen E-Mail Archiv.
Einige Unternehmen haben sich der Thematik angenommen und einen Datenlebenszyklus (Data Lifecycle Management) etabliert. In diesen Unternehmen werden etwa Dateien in spezifischen Verzeichnissen oder mit bestimmten Labels automatisch gelöscht.
Zudem speichern einige Unternehmen Daten mit einer höheren Sensibilität in speziellen Anwendungen oder selbst verschlüsselten Verzeichnissen.
Damit soll auch verhindert oder zumindest erschwert werden, dass diese Daten nach einer erfolgreichen Ransomware-Attacke lesbar veröffentlicht werden.
Vorbeugen kann wenigstens den Schaden begrenzen
In Gesprächen mit Verantwortlichen hört man oft, dass es keine Frage sei, ob, sondern wann ein erfolgreicher Hacking-Angriff geschehe.
Damit man dann zumindest den Schaden minimiert, sollte jedem im Unternehmen bekannt sein, wer die Ansprechpartner für diesen Fall sind.
Zudem sollten möglichst nur Daten verarbeitet werden, die wirklich benötigt werden – und zwar so sicher wie möglich.
