Keine Panik nach dem Ransomware-Angriff

Angriffe durch Ransomware sind nach wie vor ein Problem für Unternehmen wie Behörden. Trotz allen Präventionsmaßnahmen sollte man immer auf den schlimmsten Fall vorbereitet sein. Somit werden Panik und die daraus resultierenden Folgefehler vermieden.

Geräte schnell isolieren.
Die vom Ransomware-Angriff betroffenen Systeme sollten umgehend vom Netzwerk isoliert werden, um eine Ausbreitung zu verhindern.
Den Angriffsvektor verstehen.
Es gilt, sowohl für die unmittelbare Reaktion als auch für zukünftige Maßnahmen, nachzuvollziehen, woher der Angriff kam. Wie wurde er durchgeführt und welches Gerät im Netzwerk war als erstes betroffen?
Backups sichern und überprüfen.
Daten sind unersetzlich, weswegen Angreifer häufig speziell nach Backups suchen. Sicherungen sollten vom Netzwerk offline genommen werden, damit die Malware sich nicht darauf ausbreitet.
Generell ist es sinnvoll getrennt aufbewahrte Offline-Backups zu führen.
Projekte und geplante Aufgaben stoppen.
IT-Administratoren sollten alle Ressourcen auf die Ransomware-Attacke konzentrieren und andere Anwendungen und Aufgaben (einschließlich automatisierter Vorgänge wie Backups) stoppen. Nicht zuletzt, um damit die Ausbreitung der Malware auf weitere, in Benutzung stehende Teile der IT-Architektur zu unterbinden.
Potenziell kompromittierte Bereiche unter Quarantäne stellen.
Nach dem Angriff sollten alle potenziell betroffenen Teile der Infrastruktur vom Netz genommen und einzeln untersucht werden.
Nach dem Angriff ist vor dem Angriff: Passwörter ändern.
Egal ob der Angriff von einfacher Natur war oder mit viel Vorarbeit und erbeuteten Authentifikationsdaten durchgeführt wurde: die Passwörter von systemrelevanten Nutzerkonten sollten in jedem Fall geändert werden, um evtl. Folgeangriffen vorzubeugen.
Keine Panik – Kritische Sicherheitssituationen planen und üben
Grundsätzlich sollten im Vorfeld Sicherheitsmaßnamen definiert werden, sodass im Ernstfall eine Blaupause für zu ergreifenden Maßnahmen bereit steht.
Damit wird eine Situation verhindert, in der die IT-Administration besonders hohem Druck ausgesetzt ist und infolge dessen falsche Entscheidungen trifft.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/keine-panik-nach-dem-ransomware-angriff-18079

Back

Name	Purpose	Lifetime	Type	Provider
`CookieConsent`	Saves your consent to using cookies.	1 year	HTML	Website
`fe_typo_user`	Assigns your browser to a session on the server.	session	HTTP	Website
`PHPSESSID`	Temporary cookies which is required by PHP to temporarily store data.	session	HTTP	Website
`__cfduid`	missing translation: trackingobject.__cfduid.desc	30 missing translation: duration.days-session	HTTP	Cloudflare/ report-uri.com

Name	Purpose	Lifetime	Type	Provider
`_pk_id`	Used to store a few details about the user such as the unique visitor ID.	13 months	HTML	Matomo
`_pk_ref`	Used to store the attribution information, the referrer initially used to visit the website.	6 months	HTML	Matomo
`_pk_ses`	Short lived cookie used to temporarily store data for the visit.	30 minutes	HTML	Matomo
`_pk_cvar`	Short lived cookie used to temporarily store data for the visit.	30 minutes	HTML	Matomo
`MATOMO_SESSID`	Temporary cookies which is set when the Matomo Out-out is used.	session	HTTP	Matomo
`_pk_testcookie`	missing translation: trackingobject._pk_testcookie.desc	session	HTML	Matomo