Ransomware und Cyberangriffe – so laufen sie ab | Andreas Papadaniil

Was passiert, wenn es in deinem Unternehmen einen
Ransomware-Angriff gab und du verschlüsselt wurdest? Erstmal:
Niemand weiß, was er tun soll und alle rennen schreiend im Kreis!


Let’s get serious: Über Ransomware spricht Host Christof Layher
in der neuen Folge vom ChaosHacker-Talk mit Andreas Papadaniil,
CEO bei der suresecure. Dieser hat einen starken Background in
Security und beschäftigt sich in seiner Freizeit gerne mit
Kampfsport.


Ransomware-Angriffe sind grundsätzlich schon eine riesige
Belastung, im pharmazeutischen Umfeld sind sie allerdings noch
kritischer, denn hier geht es um Menschenleben sowie die
persönlichsten Daten von Menschen.


Doch wie sieht so ein Angriff in der modernen Welt aus?


90% der Angriffe kommen über einen Email-Anhang oder über einen
Link in einer Mail. Oft klickt man dann auf den Link und es ist
erstmal nichts dahinter – 24 Stunden später wird die Malware
allerdings aktiv geschaltet.


Ein weiteres Szenario sind VPN-Verbindungen. Vor allem bei Remote
Work entstehen hier Schwachstellen.


Den Angreifern geht es zunächst nicht nur darum, Daten zu
verschlüsseln, sondern auch darum, Daten abzugreifen und es sich
im System „gemütlich zu machen“.


Wenn dann so eine Verschlüsselung durch ist, sorgt sie für einen
Betriebsstillstand – Emails gehen nicht, die Telefonanlage ist
platt, man kann niemanden erreichen.


Das Geschäft der Ransomware ist lukrativ und die Gruppen werden
immer professioneller. In den meisten Fällen wird Lösegeld
gefordert. Es gibt mittlerweile sogar Ransomware as a Service mit
Affiliate-Provisionen.


Angriffe sind meldepflichtig, vor allem im Sinne der Prävention.
Doch die Erfolgschancen, diese Angreifer zu finden, ist sehr
gering.


Übrigens kann man auch als kleines Unternehmen hiervon betroffen
sein, die Angreifer arbeiten nämlich einfach mit Email-Adressen,
welche sie einkaufen – beim Angriff gibt es zunächst gar nicht
viel Struktur.


In Deutschland wird es in Zukunft Prüfungen bei kritischen
Infrastrukturen geben. Getestet wird, ob Unternehmen in der Lage
sind, Angriffe zu erkennen und Maßnahmen einzuleiten.


Die IT-Sicherheit muss dem Stand der Technik entsprechen und
Geschäftsführer werden persönlich haften.


Doch wie geht man vor, wenn man verschlüsselt wurde?


Zunächst braucht man einen Krisenstab und muss sich Gedanken über
die Krisenkommunikation machen. Danach startet die Priorisierung,
um zunächst die kritischen Geschäftsprozesse zu retten.


Sollte man nun zahlen oder nicht? Andreas empfiehlt, lieber auf
ein Backup zuzugreifen als zu verhandeln.


Bis man allerdings einen Notbetrieb hergestellt hat, dauert es
meist eine Woche, bis man wieder komplett aufgestellt ist, kann
es 6-12 Monate dauern.


Andreas erzählt, dass Unternehmen und Führung auf solche Angriffe
ganz unterschiedlich reagieren. Das zeigt oft, wie die Kultur
wirklich aussieht.


Solche Angriffs-Situationen kann man aber üben.


Ein gutes Monitoring ist immens wichtig. Genauso viel Geld wie in
Prävention, Virenscanner und Firewalls sollte auch in Erkennung
und Reaktion gesteckt werden.


Security ist auf jeden Fall ein Thema, für das man Experten
(sowohl auf IT- als auch OT-Seite) benötigt, das sollte nicht
jemand „einfach mal mitmachen“. Eine saubere Administration darf
nicht vergessen werden. Hierfür muss Zeit freigemacht werden.


00:00:00 Vorstellung Andreas Papadaniil


00:01:53 Ransomware-Angriffe


00:05:58 Notfall-Prozesse


00:08:19 Professionalisierung


00:13:32 Größe der Unternehmen


00:15:03 Haftung


00:19:27 Maßnahmen


00:25:42 Notbetrieb


00:31:52 Vor dem Angriff


00:42:26 Security-Experten


00:45:11 Operational Tech


00:53:31 Zwei Fragen an Andreas