Nach dem Angriff: die Arbeit eines Incident-Response-Teams
Raus aus der Panik
Kaum ein Unternehmen kann nach einem Ransomware-Angriff seine IT aus eigener Kraft wiederherstellen. Ein Incident-Response-Team leistet nicht nur technische Hilfe, sondern unterstützt auch beim Krisenmanagement.
Incident-Response-Teams, kurz IR-Teams, werden gerufen, wenn das sprichwörtliche Kind in den Brunnen gefallen ist, also ein Sicherheitsvorfall so gravierende Folgen hat, dass er die Arbeits- und eventuell sogar Überlebensfähigkeit der Organisation – also eines Unternehmens oder einer Behörde – bedroht. Incidents können sich in verschiedenen Formen bemerkbar machen – von einer Antivirenmeldung eines Systems über einen Nutzer, der einen Systemausfall meldet, bis hin zur Administratorin, die als Frühaufsteherin die Außenanbindungen kappt und den harten Shutdown einleitet, weil die Systeme gerade live verschlüsselt werden. Der Regelfall liegt (wie immer) irgendwo dazwischen.
Mehr Regel- als Ausnahmefall sind ganz klar Ransomware-Angriffe in diversen Ausprägungen. Neben dem Grad der Betroffenheit sind vor allem Angriffsvektoren und das veränderte Vorgehen der Angreifer in den letzten Jahren ausschlaggebend für die Arbeit in der Fallbewältigung. Denn heute ist es Standard, dass Angreifer nicht nur wie vor ein paar Jahren den Fileserver, sondern ganze Systemlandschaften verschlüsseln, zusätzlich Backdoors installieren und damit Handel treiben, Kundendaten stehlen und verkaufen und selbst beim Löschen mehrschichtiger Backups erfolgreich sind.