Ransomware: So reagieren Sie richtig in 7 Schritten

Was ist Ransomware?

Ransomware-Attacken (aus dem Englischen ransom für „Lösegeld“) sind Sicherheitsvorfälle, bei denen die Systeme der Betroffenen angegriffen und die gespeicherten Daten (teilweise) verschlüsselt werden. Auch eine komplette Sperrung des Systems ist möglich. Die Entschlüsselung der Daten wird dann durch die Zahlung eines entsprechenden Lösegeldes erpresst. Daher kursieren auch andere Bezeichnungen wie Erpressungs- oder Kryptotrojaner.

Unternehmen werden dadurch oft in ihrer Betriebsfähigkeit massiv eingeschränkt. Daneben werden in der Regel auch unternehmensinterne Daten aus den betroffenen Systemen abgezogen, (etwa bei Vorhandensein von Backups) neben der Verschlüsselung auch mit der Veröffentlichung der Daten zu drohen.

Für Unternehmen sind die potenziellen Auswirkungen dramatisch: Betriebsunterbrechungen, Datenverluste und finanzielle Einbußen können die Folge sein, oft verbunden mit hohen Wiederherstellungskosten und einem Imageschaden.

Welche Varianten von Ransomware gibt es?

Es wird zwischen zwei Arten von Ransomware differenziert:

• Crypto-Ransomware: bei der sogenannten Crypto-Ransomware bleibt den Betroffenen der Zugriff auf das System und die Nutzung des Systems weitgehend erhalten. Die Ransomware verschlüsselt jedoch den Zugriff auf Daten. Die Angreifer fordern von den Betroffen ein Lösegeld für die Bereitstellung des Schlüssels, der für die Entschlüsselung erforderlich ist.
• Locker-Ransomware: die Locker-Ransomware sperrt nicht einzelne Daten, sondern direkt den gesamten Zugriff auf das Betriebssystem. Der Bildschirm zeigt lediglich die Lösegeldforderung an. Eine Nutzung des Systems ist bei dieser Art nicht mehr möglich.

Diese Kategorien werden in weitere Unterkategorien aufgeteilt, unter anderem abhängig von der angedrohten Folge bei Nichtzahlung des Lösegeldes. So wird bei Leak- bzw. Doxware mit der Veröffentlichung und bei Destructive-Ransomware hingegen mit der Zerstörung der Daten gedroht.

In der jüngsten Vergangenheit sind vor allem folgende Ransomware-Varianten besonders berüchtigt geworden:

• WannaCry: 2017 infizierte WannaCry in nur wenigen Tagen mehr als 200.000 Computer in über 150 Ländern. WannaCry nutzte eine Schwachstelle im Windows-Betriebssystem aus und konnte sich dadurch rasant verbreiten. Zwar veröffentlichte Microsoft noch vor dem Bekanntwerden und dem Beginn der Attacke ein Update, welches die Schwachstelle behob. Nutzer:innen, die dieses Update jedoch nicht bzw. nicht rechtzeitig installiert hatte, vielen der Ransomware zum Opfer. Als Crypto-Ransomware verschlüsselte es die Daten der Geschädigten. Die WannaCry-Ransomware stellt bis heute eine Bedrohung dar, jedoch nicht mehr so wie früher.
• Emotet: der Emotet-Trojaner trat erstmals im Jahre 2014 auf und ist bis heute eine der bekanntesten und gilt als eines der gefährlichsten Schadprogramme. Ursprünglich verbreitete sich Emotet wie so viele Ransomware über Phishing. Die Funktionalität der Ransomware hat sich jedoch in den Jahren stetig angepasst und weiterentwickelt. Nicht nur ist Emotet in der Lage seinen Code leicht zu verändern, um eine Erkennung zu verhindern. Bei einer Infektion lädt Emotet zusätzliche Malware herunter, die das System noch weiter infizieren und angreifen. Emotet agiert insofern als ein "Türöffner" für weitere Schadprogramme.

Zunehmend verbreitet ist das Konzept der Ransomware-as-a-Service (RaaS): Dabei werden fertige Ransomware-Produkte über das Darknet angeboten. So können auch Kriminelle ohne vertiefte technische Fähigkeiten Ransomware-Angriffe ausführen, indem sie die quasi fertige Softwarelösung Schadsoftwareentwickler einkaufen.

Das macht die Bedrohung durch Ransomware für Unternehmen noch unberechenbarer und erhöht die Zahl der potenziellen Angreifer enorm.

Wie ist der Ablauf einer Ransomware-Attacke?

Unabhängig von der konkreten Art der Schadsoftware gliedert sich eine Ransomware-Attacke in mehrere Phasen.

Vor dem eigentlichen Angriff sammeln die Angreifer Informationen über potenzielle Ziele. Zum einen können die Angreifer dabei auf öffentliche verfügbare Informationen zurückgreifen. Dies kann etwa die Unternehmenswebsite sein oder Informationen aus den sozialen Netzwerken. Anhand dieser öffentlichen Informationen können die Angreifer unter Umständen schon an E-Mail-Adresse, Telefonnummer, Namen, etc. gelangen. Daneben werden auch Netzwerkscans eingesetzt, um anfällige Netzwerke oder Schwachstellen zu identifizieren.

Die Auswahlkriterien der Angreifer umfassen meist eine geringe Komplexität des Angriffs, den Wert der Unternehmensdaten sowie das finanzielle Potenzial des Unternehmens.

1. Initiale Infiltration

Der Angriff beginnt in der Regel mit einer Infektion, die meist über Phishing-E-Mails, manipulierte Anhänge oder bösartige Links erfolgt. Auch infizierte Software-Downloads oder das Ausnutzen von Sicherheitslücken in veralteten Systemen können den Einstieg ermöglichen.Die Infiltrationsphase beinhaltet zudem regelmäßig Vorkehrungen der Angreifer, den Zugang bzw. Zugriff auf die Systeme aufrechtzuerhalten (sog. Persistenz).

Selten handelt es sich bei Ransomware-Attacken um eine Attacke, die im Alleingang von einer Person von Anfang bis Ende geplant und durchgeführt wird. Mit dem technischen Fortschritt hat sich auch die Cyberkriminalität weiterentwickelt. Zahlreiche Ransomware-Angreifer bedienen sich sog. Erstzugriffvermittlern (Initial Access Broker), welche groß angelegte Malware-Kampagnen durchführen.

Der Angriff ist dabei in die Breite gestreut ("Spray and Pray") und es wird eine hohe Anzahl an schädlichen Nachrichten versendet. Dadurch soll die Erfolgsquote erhöht werden.  

2. Ausbreitung im Netzwerk

Sobald die Ransomware in das System eingedrungen ist, versucht sie, sich im Unternehmensnetzwerk weiter auszubreiten. Dies geschieht häufig durch die Nutzung von Sicherheitslücken oder schwachen Passwörtern. Die Schadsoftware kann sich schnell auf mehrere Geräte und Server ausbreiten, um möglichst viele Systeme zu infizieren.

Die Ausbreitung erfolgt dabei über sog. laterale Bewegungen. Das bedeutet, dass die Angreifer sich im Netzwerk bewegen und weitere mit dem Netzwerk verbundene Geräte infizieren und dadurch die Reichweite des Angriffs vergrößern.

Die Ausbreitung im Netzwerk geht einher mit der Erweiterung von Berechtigungen (sog. Privilege Escalation). Die Angreifer versuchen hierbei, ihre Handlungsmöglichkeiten innerhalb des Netzwerks zu erweitern und an weitere Systemrechte zu gelangen. Dies hat erneut zum Ziel, dem Angriff eine möglichst große Reichweite zu verleihen und größtmöglichen Schaden anzurichten.

Häufig wiederholen sich die einzelnen Schritte. Die Ransomware verbreitet sich, erweitert die Berechtigungen, um sich weiter auszubreiten und somit eine noch größere Anzahl von Geräten zu infizieren und fängt dann wieder von vorne an.

3. Datenabzug

Die Angreifer bewegen sich oftmals lange Zeit unentdeckt im Netzwerk und identifizieren in dieser Zeit Daten, deren Extraktion wertvoll erscheint (z. B. durch den Verkauf der Daten oder durch die geforderte Lösegeldsumme). Oft werden hier schrittweise Daten in kleinen Mengen abgezogen, sodass Sicherheitssysteme keinen Alarm beim Abzug großer Datenmengen schlagen.

Der Datenabzug wird oftmals dazu verwendet, der eigentlichen Erpressungsforderung unter Androhung der Veröffentlichung der Daten Nachdruck zu verleihen.

4. Verschlüsselung der Daten

Erst im nächsten Schritt beginnt die Ransomware, Daten oder ganze Systeme zu verschlüsseln. Die Daten sind nun ohne den Entschlüsselungsschlüssel unbrauchbar, und der normale Geschäftsbetrieb wird stark beeinträchtigt. Je nach Art und Ausbreitung der Ransomware können dabei auch die Funktionen zur Systemwiederherstellung deaktiviert werden und auch Backups beeinträchtigt werden.

5. Forderung von Lösegeld

Mit dem Abschluss der Verschlüsselung werden die Betroffenen über den Angriff informiert. Die Benachrichtigung erfolgt oftmals über ein Pop-Up auf dem Bildschirm. Die Angreifer verlangen in der Regel eine Zahlung in Kryptowährungen (wie Bitcoin), um die Entschlüsselung der Daten anzubieten.

6. Androhung zusätzlicher Konsequenzen

In vielen Fällen drohen die Angreifer zusätzlich, sensible Unternehmensdaten oder sensible Daten der Beschäftigten zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Dies wird als Double Extortion bezeichnet und erhöht den Druck auf das Unternehmen, da nicht nur Datenverlust, sondern auch Reputationsschäden drohen.

Wie sollte man im Falle eines Ransomware-Angriffs reagieren? Der 7-Schritte-Plan

Als aller erstes heißt es: Ruhe bewahren und nicht übereilt handeln. Die Maßnahmen sollten wohl überlegt sein, um zu vermeiden, aus Hektik und Stress heraus Fehler zu begehen, die im schlimmsten Fall die Situation sogar noch verschärfen.

Auf keinen Fall sollte als erste Option die Zahlung der Lösegeldsumme in Betracht gezogen werden. Es gibt keine Garantie, dass die Angreifer nach der Zahlung den Entschlüsselungsschlüssel bereitstellen bzw. hierzu überhaupt in der Lage sind oder die Lösegeldforderung nicht nachträglich erhöht wird oder dass keine weiteren Angriffe folgen.

Es ist wichtig, die Situation zunächst genau zu bewerten und mit Fachleuten zu besprechen, bevor eine Entscheidung getroffen wird. Auch sollten die rechtlichen Implikationen einer Lösegeldzahlung geprüft werden.

Wenn ein Ransomware-Angriff auf ein Unternehmen erfolgt, ist schnelles und gezieltes Handeln entscheidend, um den Schaden zu minimieren.

Hier sind die wichtigsten Schritte, die im Falle eines Angriffs unternommen werden sollten:

Schritt 1: Isolation der Systeme

Zunächst sollten die betroffenen Systeme sofort vom Netzwerk getrennt werden, sobald der Angriff entdeckt wird. Dadurch wird eine weitere Ausbreitung der Ransomware unterbunden. Alle infizierten Geräte sollten offline genommen und isoliert werden. Beschäftigte sollten darüber informiert werden, sich nicht an in den Systemen anzumelden.

Schritt 2: IT- und Sicherheitsteam informieren

Das interne IT- und Sicherheitsteam muss unverzüglich über den Vorfall informiert werden. In vielen Fällen wird es notwendig sein, externe IT-Sicherheitsexperten hinzuzuziehen, die auf Cyberangriffe und Incident Response spezialisiert sind. Eine schnelle Reaktion durch Fachleute kann dabei helfen, den Angriff besser einzugrenzen.

Schritt 3: Angriff dokumentieren

Jeder Schritt des Angriffs sollte so detailliert wie möglich dokumentiert werden. Dazu gehören die Art der Ransomware, die Lösegeldforderungen und die betroffenen Systeme. Diese Informationen sind wichtig für die spätere Analyse, das Melden des Vorfalls und eventuelle Versicherungsansprüche.

Schritt 4: Kontakt zu Behörden und Aufsichtsbehörden herstellen und den Vorfall melden

In vielen Fällen ist es ratsam, Strafverfolgungsbehörden wie die Polizei oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu informieren. Bei Datenschutzverletzungen muss zudem in der Regel die zuständige Datenschutzbehörde kontaktiert werden. Ggf. müssen auch Personen, deren personenbezogene Daten vom Angriff betroffen sind, direkt informiert werden.

Schritt 5: Backup-Strategien überprüfen

Es sollte geprüft werden, ob aktuelle und nicht infizierte Backups der betroffenen Systeme und Daten vorhanden sind. Sofern saubere Backups existieren, können die Daten daraus wiederhergestellt werden. Zumindest der Schaden aus der Verschlüsselung kann so begrenzt werden.

Schritt 6: IT-Sicherheit verstärken

Nach der Bewältigung des Vorfalls sollten Unternehmen ihre IT-Sicherheitsmaßnahmen evaluieren und verstärken, um zukünftige Angriffe zu verhindern. Dazu gehören regelmäßige Sicherheitsaudits, Schulungen für die Beschäftigten, die Implementierung von Sicherheitssoftware und die Überarbeitung von Backup-Strategien.

Ein gut durchdachter Notfallplan für Ransomware-Angriffe kann dabei helfen, den Schaden zu minimieren und die Geschäftskontinuität so schnell wie möglich wiederherzustellen.

Schritt 7: Kommunikation mit Geschäftspartnern, Kunden, Beschäftigten und betroffenen Personen

Neben der Meldung an Aufsichtsbehörden ist auch eine gute Kommunikation nach innen und außen vonnöten. Beschäftigte müssen informiert werden und es sollte auch klare Sprachregelungen für eine etwaige Außenkommunikation geben. Auch Geschäftspartner müssen oder sollten ggf. informiert werden.

Insbesondere wenn das angegriffene Unternehmen Dienstleister und Auftragsverarbeiter ist, kann hier eine unverzügliche Information rechtlich erforderlich sein. Sofern auch Personen außerhalb des Unternehmens betroffen sind, müssen auch diese informiert werden. Gute Kommunikation hilft dabei, rechtlichen Pflichten zu genügen, PR-Schäden gering zu halten und ggf. Ansprüche im Nachgang zu vermeiden.

Ist ein Ransomware-Angriff ein meldepflichtiger Datenschutzvorfall?

Ja, Ransomware-Attacken sind in der Regel der zuständigen Behörde als Datenschutzvorfall zu melden. Nach Art. 33 Abs. 1 S. 1 DSGVO hat der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten dies unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Regelmäßig werden auch personenbezogene Daten durch den Angriff kompromittiert und in der Gesamtschau besteht meist ein voraussichtliches Risiko für die Rechte und Freiheiten der betroffenen Personen. Neben der Datenschutzaufsichtsbehörde müssen ggf. die betroffenen Personen informiert werden, wenn der Vorfall ein hohes Risiko für sie darstellt, etwa bei möglichen Folgen wie Identitätsdiebstahl oder finanziellem Verlust.

Es ist daher entscheidend, den Vorfall schnell und strukturiert zu bewerten, um alle rechtlichen Pflichten zu erfüllen und mögliche Sanktionen und Ersatzansprüche zu vermeiden.

Ein Ransomware-Angriff kann zudem ein Bußgeld und Schadensersatzforderung nach sich ziehen. Ein Bußgeld setzt voraus, dass der Verantwortliche vorsätzlich oder fahrlässig gegen die Vorgaben der DSGVO verstoßen hat. In der Regel wird Datenschutzvorfällen in Form von Ransomware-Angriffen bei Einhaltung der Meldepflicht und der sonstigen Pflichten kein Bußgeld verhängt.

Denn Auslöser für den Datenschutzvorfall ist das strafrechtliche Verhalten Dritter und welches meist außerhalb der Sphäre des Unternehmens liegt. Zudem ist zu beachten, dass nach § 43 Abs. 4 BDSG die Informationen aus einer Meldung nach Art. 33 DSGVO nicht in einem Bußgeldverfahren verwendet werden dürfen.
Ausnahmsweise können jedoch auch gegen die betroffenen Unternehmen ein Bußgeld verhängt werden, und zwar wenn die Ransomware gerade aufgrund mangelnder oder gar fehlender Sicherheitsmaßnahmen erst Erfolg haben konnte. So erging es einem britischen Unternehmen.

Die britische Datenschutzaufsichtsbehörde (Information Commissioners Office, ICO) verhing gegen dieses Unternehmen ein millionenschweres Bußgeld, da mangelnde technische und organisatorische Maßnahmen maßgeblich für den Erfolg der Ransomware waren. Ähnliche Überlegungen gelten für etwaige Schadensersatzansprüche.

Dabei ist zunächst wichtig zu wissen, wer hierbei möglicherweise einen Schadensersatzanspruch geltend machen könnte. In Betracht kommen etwa Kunden bzw. Vertragspartner des betroffenen Unternehmens, wenn das betroffene Unternehmen aufgrund der Ransomware-Attacke nicht im Stande war, Verpflichtungen einzuhalten und zu erfüllen.

Darüber hinaus können betroffene Personen Schadensersatzforderungen stellen, wenn sie durch den Datenschutzvorfall konkrete Schäden erlitten haben, wie z. B. Identitätsdiebstahl, finanzielle Verluste oder Rufschädigung.

Entscheidend, ob eine Schadensersatzpflicht des betroffenen Unternehmens besteht, ist auch hier, ob das Unternehmen den Angriff zu vertreten hat. d. h. der Angriff erst durch mangelnde Maßnahmen erfolgreich war.

An den weitreichenden Folgen eines Ransomware-Angriffs zeigt sich, wie entscheidend es ist, präventive Sicherheitsmaßnahmen zu ergreifen und im Falle eines Angriffs schnell und korrekt zu handeln.

Kann man die Ransomware wieder entfernen?

Eine allgemeingültige Lösung, um Ransomware wieder zu entfernen bzw. zu löschen, existiert bislang nicht. Der Erfolg ist stark davon abhängig, zu welchem Zeitpunkt die Ransomware-Attacke erkannt wurde, um welche Art von Ransomware es sich handelt und wie intensiv die Attacke ist bzw. war.

Ob und wie die Schadsoftware wieder entfernt werden kann, hängt somit schlichtweg von der konkreten Art der Ransomware-Attacke ab.

Die Vorgehensweise zum Entfernen von Ransomware unterscheidet sich danach, ob es sich um Crypto- oder Locker-Ransomware handelt. In jedem Fall muss vor dem Versuch die Ransomware zu löschen, wie bereits oben angeführt, das System isoliert und das IT- und Sicherheitsteam miteinbezogen werden.

• Crypto-Ransomware: zunächst sollte ein Netzwerk- bzw. Systemscan durchgeführt werden, um die Bedrohungen zu identifizieren. Unter Umständen kann die Schadsoftware in diesem Schritt auch gelöscht werden. Mit Hilfe eines Entschlüsselungs-Tools kann versucht werden, die verschlüsselten Daten wieder zu entschlüsseln. Daneben bzw. sofern eine Wiederherstellung der betroffenen Daten mittels des Tools nicht oder nicht vollständig möglich ist, kann (wie zuvor beschrieben) die Datenwiederherstellung auch durch Backups oder Sicherungskopien unternommen werden.
• Locker-Ransomware: die Besonderheit hierbei besteht darin, dass es den Nutzer:innen bei dieser Art der Ransomware gar nicht möglich ist, dass infizierte System zu nutzen. Folglich können Tools zur Entfernung der Ransomware oder Backups meist gar nicht ausgeführt werden. Um dennoch einen Versuch zum Entfernen der Ransomware durchzuführen, kann der Rechner im Abgesicherten Modus gestartet werden. Es besteht dann die Möglichkeit, dass die Bildschirm-sperrende Aktion nicht geladen wird und Programme und Tools zur Bekämpfung der Schadsoftware genutzt werden können.

Kann man die Daten nach einer Ransomware-Attacke wiederherstellen?

Grundsätzlich besteht die Möglichkeit, die betroffenen Daten wiederherzustellen. Für eine erfolgreiche Wiederherstellung ist jedoch unabdingbar, dass Backups zur Verfügung stehen und die Backups aktuell und unversehrt sind. Die Wiederherstellung darf dabei nur von Backups erfolgen, die nicht ebenfalls von der Ransomware betroffen und infiziert wurden.

Um sicherzustellen, dass die Ransomware nicht erneut auf das System zugreift oder weiterverbreitet, sollten die wiederhergestellten Systeme schrittweise und unter strikter Überwachung hochgefahren werden. Dadurch wird die Identifizierung möglicher Sicherheitslücken ermöglicht und im Falle einer erneuten Bedrohung kann sofort eingegriffen werden.

Bevor die Systeme vollständig in den Regelbetrieb zurückkehren, muss eine gründliche Überprüfung auf verbleibende Schadsoftware durchgeführt werden. Dies beinhaltet den Einsatz von Antivirenprogrammen und spezialisierten Tools zur Erkennung von Ransomware. Auch Netzwerk-Logs sollten analysiert werden, um sicherzustellen, dass keine Rückstände der Ransomware verbleiben.

Unternehmen sollten priorisieren, welche Daten und Systeme zuerst wiederhergestellt werden müssen, um den Geschäftsbetrieb so schnell wie möglich fortzusetzen. Kritische Daten und Anwendungen sollten daher als erstes wiederhergestellt und getestet werden.

Nachdem die Daten wiederhergestellt wurden, ist es wichtig, deren Integrität und Vollständigkeit zu überprüfen. Dabei sollte sichergestellt werden, dass keine Daten beschädigt wurden und alle notwendigen Dateien verfügbar sind. Fehlende oder beschädigte Daten müssen, wenn möglich, aus weiteren Backups wiederhergestellt werden.

Welche Maßnahmen gibt es zum Schutz vor Ransomware?

Einen allumfassenden Schutz vor Ransomware-Attacken gibt es nicht. Die Arten von Ransomware und die Möglichkeiten, einen solchen Angriff auszuführen, sind mittlerweile so vielfältig und entwickeln sich stetig weiter, dass es ein hundertprozentiger Schutz nicht erreichbar ist.

Ziel ist es also, das Risiko und die potenziellen Auswirkungen eines Ransomware-Angriffs so gering wie möglich zu halten. Die Prävention von Ransomware-Angriffen ist dabei das beste Mittel. Präventive Maßnahmen können Angriffe bestenfalls verhindern oder zumindest die Schwere ihrer Auswirkungen abmildern.

Auch können dabei Prozesse etabliert und erprobt werden, um im Ernstfall schnell handlungsfähig zu sein. Diese sollten schnellstmöglich eingeführt und regelmäßig überprüft werden. Hierzu gehören unter anderem folgende Maßnahmen:

• Implementierung von robusten Firewalls und Intrusion Detection/Prevention Systemen (IDS/IPS);
• Aktualisierung und Patch-Management für Betriebssysteme und Anwendungen;
• Einsatz von Antivirus- und Anti-Malware-Software auf allen Endgeräten;
• Sinnvolle Kompartmentalisierung und Abschottung von unterschiedlichen System- und Netzbereichen;
• Aussagekräftige Protokollierung;
• Regelmäßige Durchführung von Sicherheitsaudits und Penetrationstests, um Schwachstellen aufzudecken.

Neben diesen technischen Maßnahmen müssen auch organisatorische Maßnahmen ergriffen werden, um auf die Gefahren von Ransomware-Angriffen aufmerksam zu machen. Denn eine der größten Schwachstellen und Einfallstore für Ransomware-Angriffe ist der Mensch.

Daher müssen regelmäßig Sicherheitsschulungen und Awarenessmaßnahmen für die Beschäftigten durchgeführt werden, um sie für Ransomware-Angriffe zu sensibilisieren. Auch der flächendeckende Einsatz von Multi-Faktor-Authentifizierung ist eine wirksame präventive Maßnahme. .

Die Leistungen bietet ISiCO im Bereich Ransomware und Cyberangriffe an

Unsere Expert:innen von ISiCO können Sie umfassend und in allen Lagen zum Umgang mit Ransomware- und anderen Cyberangriffen beraten. Unsere Leistungen sind darauf ausgerichtet, Sie, Ihr Unternehmen und Ihre Netzwerke und Systeme präventiv gegen eine Ransomware-Attacke zu schützen.

Präventive Maßnahmen sind das beste Mittel gegen Ransomware-Angriffe. Diese sollten schnellstmöglich eingeführt und regelmäßig überprüft werden.

Hierzu gehören unter anderem

• Implementierung von robusten Firewalls und Intrusion Detection/Prevention Systemen,
• Durchführung regelmäßiger Sicherheitsschulungen und Awarenessmaßnahmen für Mitarbeiter, um sie für Phishing-Angriffe zu sensibilisieren sowie
• die Regelmäßige Durchführung von Sicherheitsaudits und Penetrationstests, um Schwachstellen aufzudecken.

Daneben unterstützen wir Sie durch sofortiges Handeln im Falle eines Ransomware-Angriffs. Dies kann die Auswirkungen minimieren und eine schnelle Wiederherstellung Ihrer Daten ermöglichen. Wir sind für Sie erreichbar und können im Angriffsfall sofort geeignete Maßnahmen einleiten.

Wir geben Ihnen u.a. die notwendigen Hinweise für erste wesentliche Schritte zur Angriffseindämmung, unterstützen Sie bei der Auswahl eines Forensik-Teams und der Umsetzung datenschutzrechtlicher und ggf. IT-sicherheitsrechtlicher Maßnahmen.

Nach einem Angriff unterstützen wir Sie auch bei der strukturierten Nachbereitung und Umsetzung der leidlich gewonnen Erfahrungswerte. So können wir Sie bei der kontinuierlichen Verbesserung Ihres Sicherheits- und Compliance-Niveaus im Rahmen der regelmäßigen Bewertung und Verbesserung im Rahmen von Plan-Do-Check-Act-Zyklen begleiten.