Ransomware Verschlüsselung – Erste Hilfe Maßnahmen!

Ist es leider trotz aller Vorkehrungen doch passiert, stellt sich die entscheidende Frage…

Was tun wir jetzt!?

Ok, gehen wir die ersten Maßnahmen Schritt für Schritt durch. Die hier geschriebenen Empfehlungen gelten eher für kleine und mittelständische Unternehmen. Sie basieren auf selbst gemachten Erfahrungen, leider aus diversen Cyber Angriffen, bei denen ich im Team mit anderen Kollegen helfen konnte. Es handelt sich in erster Linie um Tips zu technischen Gegenmaßnahmen, die sich meiner Erfahrung nach bewährt haben. Es obliegt natürlich Euch selbst, eigene Entscheidungen zu treffen oder von Empfehlungen abzuweichen. Dieser Beitrag soll nur eine erste Hilfestellung aus der Praxis sein, falls man gar keine Idee hat, was jetzt passiert und zu tun ist.

Ruhig bleiben!

Das will zwar selten jemand hören, es ist aber so und ist die erste Prämisse! Fahrt Euren Puls runter! Panischer Aktionismus macht jetzt evtl. mehr kaputt, als dass er hilft! Denkt besser eine Minute länger über die nächsten Schritte nach und bewahrt kühlen Kopf! Vielleicht hilft das lesen dieses Artikels etwas dabei. Trotzdem natürlich zügig arbeiten und am Ball bleiben jetzt! Denkt auch (noch) nicht darüber nach, wie das passieren konnte, dieser Teil der Aufarbeitung kommt später und ist jetzt NICHT wichtig!

Arbeitsgeräte

Wenn Ihr diesen Beitrag lest, wollt Ihr Euch hoffentlich „nur“ zu diesem Thema informieren.

Solltet Ihr jedoch bereits betroffen sein, hoffe ich, dass Ihr diesen Beitrag mit einem Gerät liest, welches NICHT eventuell kompromittiert ist! Ansonsten beschafft sofort und egal wie ein Gerät, welches NICHT kompromittiert ist und noch NICHT mit dem kompromittierten Netzwerk verbunden ist und war! Pragmatischerweise könnte das (erstmal) ein privates Smartphone sein. Ihr werdet aber sehr bald ein / mehrere Notebooks / PC’s brauchen, die im Zweifel komplett neu installiert wurden und einen separaten Internet Zugang haben, bspw. einen Smartphone Hotspot.

Das Team zählt nun mehr denn je!

Das was jetzt auf Dich/Euch zukommt, schafft niemand allein! Also arbeitet ruhig, dennoch zielstrebig, koordiniert und vor allem:

• KEIN Vorwurf
• KEIN Fingerpointing
• KEIN Streit
• Der Gegner ist ein Verbrecher, der ungebeten bei Dir / Euch einbrach – Also niemand von Euch ist an dieser Situation „schuld“!

Jetzt zählt einzig:

• TEAMWORK!
• Saubere Koordination aller Maßnahmen und Beteiligten
• Kluge Verteilung der einzelnen ToDo’s
• Klare fachliche und organisatorische Führung! Jetzt braucht es mindestens EINEN besser ZWEI Krisenmanager!
• Achtet darauf, dass das Team in den ersten Tagen nicht völlig „ausbrennt“, denn das wird jetzt kein Sprint, das wird ein ziemlich langer Marsch!
• Niemand geht von Bord und Urlaub ist bis auf Weiteres gestrichen! Es geht um die Company, nicht den Einzelnen!
• Alle Kräfte bündeln, Aufgaben gerecht ein- und verteilen!

Grundlegende Tipps, bevor Ihr startet!

• Gibt es evtl. ein Notfall Handbuch für diese Situation? Ein guter Zeitpunkt es herauszuholen und mit der Abarbeitung zu beginnen!
• Hat Deine Company eine Cyber-Versicherung? Dann sind die dort vereinbarten Bedingungen für den Fall eines Cyber Angriffs JETZT und ohne schuldhaftes Zägern zu beachten und abzuarbeiten!
• Wen aus Deiner Company / welchen IT Dienstleister musst Du jetzt informieren? Jetzt anrufen und in aller Kürze und nur die wichtigsten Infos weitergeben, du wirst sehr schnell Unterstützung vor Ort brauchen!
• Alle Systeme – vor allem aber die Server – bleiben eingeschaltet!!!
  Das klingt jetzt komisch, aber was immer auch gerade passiert, Ihr werdet es durch Ausschalten nicht mehr stoppen! Die Forensiker müssen ggfs. auch den RAM Inhalt analysieren. Aber den löscht Ihr durch Ausschalten oder Herunterfahren, also wird der aktuelle Sytemstatus NICHT verändert! Bei virtuellen Systemen sollte maximal ein „Hold“ bzw. „Pausieren“ erfolgen. Physische Systeme lässt Du weiterlaufen!
• Bitte keine wilden „Alle Kabel müssen ab“ Orgien bitte! Es wird ein wahnsinniger Aufwand, beim Wiederanlauf alles wieder korrekt zu patchen und in Betrieb zu nehmen!
  Stattdessen: Ist eventuell eine Endpoint Lösung im Einsatz, mit der ich alle Systeme sofort isolieren (in Quarantäne schicken) kann? Dann wär das jetzt der richtige Zeitpunkt dafür!
• Solltet Ihr zufällig Vorgänge, Aktivitäten beobachten oder eine Erpresser-Meldung sehen, dann Handy raus, abfotografieren! (Beweissicherung)
• Gibt es bereits eine Forderung oder andere Kommunikation des Angreifers? Jetzt noch NICHT darauf reagieren! Dafür ist später noch Zeit, auch wenn evtl. schon Druck ausgeübt wird! Die Täter werden ihrerseits auch nicht vorschnell handeln, das zeigt die Efahrung! Also erstmal auf Zeit spielen, bis professionelle Unterstützung dabei ist!

RED Devices / Green Devices

Es gilt jetzt auch hinsichtlich der Geräte den Überblick zu behalten, denn ab sofort existieren zwei Geräteklassen in Eurer Infrastruktur.

Red Devices

Alle Geräte, die vorher oder nachher mit dem Netzwerk verbunden waren, sind gelten als kompromittiert und werden als sog. „RED Device“ eingestuft und auch markiert! Im Zweifel reichen zur Markierung (erstmal) rote Post It’s mit der Beschriftung „RED“ auf all diesen Geräten, und zwar um den Überblick zu behalten! Diese Marker werden erst wieder entfernt, wenn das Gerät neu installiert, mindestens aber intensiv auf Schädlingsfreiheit geprüft wurden! Ich bevorzuge, wie übrigens viele andere, erstere Variante!

Achte also darauf, dass ab sofort NIEMAND mehr mit einem solchen Gerät arbeitet. Sorge auch dafür, dass SOFORT all diese Geräte außer Betrieb genommen werden!

Bei Laptops und PC’s tut’s jetzt auch der Netzschalter!

Green Devices

GREEN Devices beschaffen, installieren, bereitstellen!
Ihr werdet „cleane“ Geräte brauchen, die definitiv nicht kompromittiert sind! Diese Geräte bezeichne ich als Green Devices. Installiert also im Zweifel ein, zwei oder mehr Notebooks neu, damit Ihr umgehend wieder handlungsfähig werdet! Nein, ein Virenscan ist nach meiner Auffassung nicht ausreichend, nur neu installierte Geräte sind DEFINITIV „clean“! Wenn das mit Eurem eigenen Notebook nicht geht, weil evtl. doch wichtige Daten lokal gespeichert sind (höre ich immer wieder), verwendet man zunächst „unwichtige“, kompromittierte Geräte und installiert diese neu. Mit diesen kann und sollte jetzt eh niemand mehr arbeiten! Idealerweise hat man sich auf so einen Fall vorbereitet und es liegen wenigstens ein, zwei „frische“ Notebooks, mit allen notwendigen Tools und Infos im Safe.
Übrigens: Diese Geräte werden selbstverständlich NICHT mit dem selben Netzwerk, wie die kompromittierten Systeme verbunden!

Netzwerke und Systeme isolieren!

Jetzt gilt es so schnell wie möglich einen Datenabfluss und die Weiterverbereitung des Schadcode im Netzwerk und dos auf weitere Systeme zu verhindern, sofern dies überhaupt noch möglich ist.

• Deaktiviert alle Netzwerk-Verbindungen!
• Vom Internet
• Zum Internet
• WLAN
• LAN

Aber wie am Besten?! Hier ein paar Tipps und Ideen aus eigener Erfahrung:

• Wenn technisch möglich, schaltet bitte keine Netzwerk Geräte aus, Ihr müsst sie schon sehr bald wieder in Betrieb nehmen!
• Internet Verbindungen kappt Ihr zügig an der Firewall, indem Ihr bspw. sog. „Deny ALL“ Policies erstellt und diese oder deren Prio on Top setzt. Das für alle Zonen durchführen, falls ein Zonenkonzept umgesetzt wurde. Ansonsten gilt klassich Top -> Down pro Interface Paar (Source <-> Destination), also muss die Deny Policy immer ganz oben stehen!
• Wenn wir schonmal da sind, vergesst nicht, alle IPSec Tunnel herunterzufahren und auch die SSL-VPN Verbindungen zu kappen, wenn die Firewall auch diese Funktionen bereitstellt. Anderenfalls deaktiviert alle IPSec- und SSL-VPN Gateways – JETZT! MS Direct Access am Start?! Das Publishing / DNAT sollte mit den Deny Policies an der Firewall deaktiviert werden.
• LAN Verbindungen kappt Ihr idealerweise direkt an den Switches, aber ohne gleich alle Kabel abzureißen! Deaktiviert einfach alle Switch-Ports. Startet mit den Access/Distribution Switches, dann an dem/den Core/TOR Switch(es).
  Ausnahmen:
  • Management Interfaces (Firewall, ggfs. Out of Band Netze)
  • Uplinks (Trunks, LAGs, BAGGs, Portchannels), also dem Backbone.
    So gibt’s keinen Kabelsalat und Ihr könnt diese später dediziert wieder hochfahren, ohne lange Wege in Kauf zu nehmen.

Wie man mehrere Ports an einem Switch oder Stack deaktiviert, könnt Ihr in diesem Beitrag nachlesen.

• WLAN deaktiviert Ihr am besten am WLAN-Controller oder Controller AP eines Mesh-WLAN! Dort einfach alle SSID’s deaktivieren und mit dem Handy prüfen, dass sie nicht mehr ausgestrahlt werden. Ja, auch wenn die 140 Handscanner der Logistik damit jetzt offline gehen! Es hilft JETZT nix!
• Server-Verbindungen virtueller Systeme trennst Du am Hypervisor, bei physischen Servern den Switchport oder eben doch das Kabel ab. ABER beschriften und/oder Skizze anfertigen, damit später alles wieder zügig gepatcht werden kann.

Beispiele, um gleichzeitig alle Netzwerkkarten, aller VMs eines Vmware- Hosts oder -Clusters, oder eines Hyper-Host oder -Clusters zu deaktivieren findet Ihr in diesem Beitrag.

• Testen! Testet bitte auch, ob Eure Aktivitäten Erfolg hatten! Pragmatisch einen Hotspot auf und versuchen, Verbindungen von außen auf Eure Strukturen herzustellen. Das sollte jetzt alles nicht mehr gehen. Eine vergessene Verbindung oder ein Schlupfloch und alles war vergebens, also Konzentration bei diesem Abschnitt!

Ihr habt kein Know How, wie das alles geht oder wovon ich da schreibe und wollt trotzdem etwas tun?!

Zieht den Strom an allen Netzwerk-Switches, der Firewall und allen anderen aktiven Netzwerk Geräten. Im Zweifel auch dem Internet-Router und aktiviert sofort den Netzwerk Experten Eures Vertrauens!

Ihr werdet umgehend wieder ein isoliertes Netzwerk mit aktiven Geräten brauchen, aber das ist erstmal besser, als gar nichts zu tun!

ABER: Virtuelle Server, auf dem gleichen Host, an den gleichen Portgruppen werden weiterhin miteinander kommunizieren!

Die richtige Hilfe organisieren!

Im Fall eines Cyber Angriffs benötigen nahezu alle Unternehmen irgendwann Hilfe von externen Kräften. Bei der Auswahl der Unterstützung achtet darauf, dass Ihr die richtigen Fachkräfte, für das richtige Thema beauftragt. Der eigene Dienstleister ist sicher Ansprechpartner No. 1, es schadet jedoch keineswegs auch eine 2. Meinung zu hören oder Spezialthemen anderweitig zu vergeben. Dienstleister, die jetzt vehement als „Platzhirsch“ auftreten und auf ihren „Partnerschaftsstatus“ pochen, sind definitiv der FALSCHE Partner! Dennoch ist es natürlich von Vorteil, wenn ein Partner schnell Ressourcen mit entsprechenden Skillsets bereitstellen kann und diese idealerweise auch noch selbst koordiniert.

Aber ACHTUNG: Die Überwachung der Tätigkeiten und vor allem Fortschritte dieser Fachkräfte obliegt IMMER Euch! Zu oft kosten Dienstleister mit falschen Skillset noch mehr Geld und Zeit.

Situation und aktuellen Status erfassen

Nachdem die ersten Schritte oben erledigt sind und im Zweifel bereits erste Unterstützung organisiert wurde, gilt es die aktuelle Lage detailliert zu erfassen. Das isnd bspw. Datum / Uhrzeit und Stichpunkte zur Entdeckung des Vorfalls. Du startest jetzt also das Logbuch zum Vorfall. Klingt pedantisch – diese Infos werden aber nochmal wichtig! Da Du vermutlich (erstmal) kein Gerät nutzen kannst, (siehe meinen Hinweis zu „RED Devices“ oben) tut es jetzt auch ein Blatt aus dem Drucker und ein Kugelschreiber!

• Was genau hast Du beobachtet? Wann genau war das (Uhrzeit)?
• Was hast Du dann genau und in welcher Reihenfolge getan?
• Wie ist der aktuelle Status der Systeme?

Systemdokumentation auf- oder vorbereiten

Es wird in den nächsten Stunden und Tagen wichtig, dass eine Dokumentation der Systeme vorliegt und sollte es keine geben, adhoc eine erstellt wird. Im Zweifel handschriftlich! Die hoffentlich bereits anrollenden Helfer werden diese Informationen umgehend brauchen!
Die wichtigsten Zugangsdaten (IP’s, FQDN’s, Benutzernamen, Passwörter, SSH Keys, MFA), welche ich / wir bspw. immer benötigen im Überblick:

• Netzwerk Geräte, also:
  • Switches (Core/TOR)
  • Router
  • Firewall
  • Proxies
  • VPN Gateways
  • …
• Endpoint Security (EDR/XDR/ZTNA) Lösungen
• Monitoring Systeme (NAGIOS, PRTG, etc…)
• SIEM Systeme
• virtuelle Umgebung
  • vSphere Admin
  • Hyper-V local Admin
  • Proxmox Root Account
  • SAN Zugänge
• die Breaking Glass Accounts
  • Domain Admin
  • lokale Windows Adminstratoren
  • Zugänge zu Backup Systemen
  • Cloud Administratoren

All diese Informationen werden sofort aufbereitet, damit sie den Dienstleistern oder anderen Unterstützern zur Verfügung gestellt werden können.

Forensische Anlayse – APT-Dienstleister – SIRT

Im nächsten Schritt werden die forensischen Untersuchungen beginnen, denn man MUSS idealerweise herausfinden, wo die Quelle allen Übels lag und diese kann sehr unterschiedlich sein! Es gibt seitens des BSI eine offizielle Liste sog. „Advanced Persistent Threat“ Dienstleister, kurz APT-Dienstleister. Auch bekannt als sog. SIRT’s (Security Incident Response Teams). Sollte Eure Cyber-Versicherung also keinen konkreten Dienstleister vorgeben (das machen Cyber-Versicherungen nämlich im Regelfall) oder Ihr keine Cyber-Versicherung abgeschlossen haben, kann man sich hier die Liste der APT-Dienstleister als PDF herunterladen und den gewünschten Dienstleister entsprechend sofort kontaktieren. Ich empfehle einen Blick auf die Leistungsmerkmale ab Seite 16. und hier gilt: Je mehr der Dienstleister abdeckt, desto besser! Beachtet bitte, dass die meisten Dienstleister auch eine sog. Krisenkommunikation sicherstellen können. Bedeutet, der Dienstleister sucht nicht nur anhand von IOC’s die Quelle des Übels und dokumentiert die Auswirkungen, sondern koordiniert bei Bedarf auch aktiv alle weiteren Maßnahmen und wichtig: Liefert am Ende auch einen verwertbaren, abschließenden Report, den unter anderem auch Behörden, Versicherungen etc. einfordern werden. Das kann, speziell bei engen Ressourcen extrem hilfreich sein, haben diese Dienstleister in der Regel doch sehr viel, Erfahrung mit Vorfällen dieser Art!

Um einen kleinen Einblick zu bekommen, mal ganz vereinfacht dargestellt, was genau passiert, wenn ein SIRT sich an die Arbeit macht:

Zunächst sind selbstverständlich alle „Arbeiten“ innerhalb der Infrastruktur einzustellen, es darf jetzt bis zum Abschluss der ersten Beweissicherung nichts mehr verändert werden.

• SIRTs arbeiten übrigens auch gerne Remote, geht es doch schneller und unnötige Kosten werden vermieden. Schafft also eine Möglichkeit, dass die Kollegen im Zweifel „irgendwie“ zugreifen können. Das kann im Notfall auch ein Teamviewer auf deinem Green Device sein, denn es macht absolut Sinn, dass jemand das SIRT jetzt durchweg unterstützt und dem Team zur Seite steht. Umso schneller gibts Ergebnisse und ZEIT wird ab jetzt ein Riesen Faktor!
• Das SIRT wird sich also zuerst einen Überblick über die Lage verschaffen. Dabei hilft jetzt die oben erstellte System-Dokumentation und das „Gedächtnisprotokoll“. Das SIRT ist zwar keine Ermittlungsbehörde, arbeitet in ihrer Methodik durchaus ähnlich! Sehen, Interviewen, Zusammenhänge herstellen, Beweise sichten, Fakten sammeln, Schlussfolgerungen ziehen.
• Es wird dann u.a. „forensiche Images“ von Servern erstellen, um den Datenbestand (Logfiles, Memory, etc.) sicherzustellen und im eigenen LAB bspw. zu analysieren. Das können auch vmdk’s oder vhdx-Files virtueller Systeme sein.
• Alle Informationen werden also zusammengetragen und es wird primär versucht herauszufinden, wie die Angreifer ins Netz kamen, welche Scripte und Toolsets verwendet wurden, welche Zero Days im Zweifel verwendet wurden (um deren Hashes zu sichern) und verschiedenes mehr.
• Abschließend wird ein gutes SIRT Anweisungen geben, welche Schritte als Nächstes durchzuführen sind und idealerweise die Hardware Infrastruktur für den Wiederanlauf freigeben.

Vorbereitungen Desaster Recovery / Wiederanlauf

Netzwerke

Egal wie man es dreht, es muss in jedem Fall ein Notfall-Netz errichtet werden. Dieses Netzwerk gab es quasi vor dem Angriff noch nicht. Dieses Netzwerk (und es ist nur das erste von vielen neuen Netzen) dient in erster Linie dazu, die Arbeitsfähigkeit der Administratoren, Forensiker, Dienstleister herzustellen. Ja, ein Internetzugriff hinter einem Hotspot war erst einmal ausreichend, aber schon recht bald wird diese Lösung nicht mehr skalieren.

Notfall Netzwerk

Deshalb errichtet der Firewall Administrator möglichst schnell ein Notfall-Netzwerk. Dieses terminiert selbstverständlich an der Firewall, sämtlicher Traffic aus (und zu) diesem Netzwerk wird selbstverständlich überwacht und auch SSL Deep Inspection wird aktiviert, um auch den verschlüsselten Traffic vollständig zu überwachen. In dieses Netz dürfen jetzt ausschließlich Green Devices! Internet Zugriff reciht zunächst hierfür aus. Sukzessive wird der Firewall Administrator aus diesem Netz Zugriffe auf diverse Systeme erlauben müssen, denn bspw. Forensiker müssen früher oder später auch mal live an das ein oder andere Gerät.

Wiederanlauf Netzwerk(e)

Eins ist klar, wer jetzt noch immer keine Netze durch eine Firewall segmentiert hatte, sollte spätestens JETZT damit beginnen. Fakt ist aber, dass alle Systeme, die wiederhergestellt werden, nie wieder im kompromittierten Netzwerk positioniert werden können! Es muss also schnell ein neues Netzwerk Konzept her. Euer Dienstleister sollte das beherrschen. Die alten Systeme verbleiben also in ihren Netzen und sind ausgeschaltet, die neuen Systeme werden vom Backup wiederhergestellt, allerdings in ihre neuen Netze. Das ist ganz vereinfacht die Strategie, welche ich (und übrigens auch viele andere) regelmäßig empfehle.

Infrastruktur

Backup! Backup! Backup!

Restore! Restore! Restore!

Nie war es wichtiger als jetzt und noch wichtiger: Die Backups sollten vor Änderungen geschützt werden, aka „Immutable Backups“. Ich gehe davon aus, dass die Strategie längst umgesetzt und implementiert ist. Anderenfalls hat man jetzt ein ernstes Problem. Ich/Wir konnten wirklich vielen Unternehmen in der Not helfen, aber ohne unbeschädigte Backups, die idealerweise auch performant wiederhergestellt werden können, ist die Lage annähernd aussichtslos. Wo keine Daten sind, kann nichts wiederhergestellt werden!

Deshalb jetzt oder auch bei erster Gelegenheit:

• Status der Backup Systeme prüfen
• Status der Backup-Daten prüfen
• Bei proprietären Cloud Backups, den Status der gespeicherten Daten beim Provider prüfen. Das reine Listing der Files kostet ja noch nix… 😉
• Bei S3 Backups ebenfalls den Status der Daten über die Webseite des Providers oder eben mit einem S3 Browser checken. Auch das ist noch kostenlos. 😉

Nach der Prüfung sofort mit dem zuständigen Kollegen die Restore Strategie besprechen:

• Welche Systeme werden wir für den Restore sofort brauchen?
  • Backup Server + Software
  • Backup Speicher (Lokal, Lokale Kopie, Remote Speicher)
  • Restore Speicher (SAN, DAS, NAS, etc…?)
• Haben wir genug Platz für die Wiederherstellung und Prüfung der Daten?
• Haben wir ausreichend Compute Ressourcen für die Inbetriebnhame und Prüfung der zurückgesicherten Daten?
• Wie lange dauert die Wiederherstellung geschätzt? Das kann man nur abschätzen, wenn man das bereits getestet hat, anderenfalls muss der Transfer eben jetzt beim ersten Restore einer kleineren Datenmange geprüft werden.
• Welchen Internet-Anschluss können wir für den Restore der Cloud / Remote Daten verwenden? –> Jetzt brauchen wir den Netzwerker!!!
• In welches Netzwerk stellen wir die Systeme wieder her? Das / die alte(n) Netz(e) sind kompromittiert, bzw. befinden sich kompromittierte Systeme in diesen(m) Netz(en), werden also selbstverständlich NICHT wieder verwendet! –> Notfall Netzwerk bzw. – Konzept!!!

Die „Waschanlage“

Zurückgesicherte Daten werden grundsätzlich mit min. zwei unterschiedlichen Virenscannern überprüft. Baut Euch hierfür bspw. 4 virtuelle Maschinen, die ausschließlich zum Scannen wiederhergestellter Daten verwendet werden. In virtuellen Umgebungen werden dann einfach die vmdk’s oder vhdx-Files an die VMs gemappt und so gescannt. Sollte es um reine Filedaten gehen, ebenfalls durch die Waschanlage damit. Transfer von „alten“ Daten auf neue Systeme erfolgt ebenfalls über virtuelle „Transfer“ Platten, die zunächst immer gescannt werden, bevor sie an neue Systeme übergeben werden. Achtet bitte auf diese „Schleuse“! Da es ein Engpass werden kann, bereitet in JEDEM Fall mehrere soclher VM’s vor!

Client Wiederanlauf / Deployment

Ihr habt ein Client Deployment System? Prima, dann baut das jetzt asap auf, denn ihr werdet sämtliche Clients neu betanken müssen. Denkt daran, zuerst den Virenscanner auszubringen! 😉

Habt ihr die Software Pakete gesichert oder müsst Ihr die jetzt neu erstellen? Habt ihr die Software oder müsst ihr die ggfs. noch herunterladen? Es gibt viel zu tun! Auch organisatorisch. Koordiniert die Abgabe der RED-Devices und Ausgabe der GREEN-Devices! Das kann eine organisatorische Herausforderung sein, speziell wenn man evtl. mehrere Standort hat! Also Software Verteilung am Standort bereitstellen oder kommen besser alle ins Head Quarter, weils schneller geht?

Spätestens jetzt sollten sukzessive die wichtigsten Unterstützer da sein und die ersten Stunden des Angriffs überstanden sein.

Weitere Themen

Natürlich sollte man sich im Vorfeld mit weiteren Themen befassen, um dies nicht JETZT ERST tun zu müssen:

• VoIP Kommunikation? Die wird gestört oder offline sein. Was tun wir?
• Email Kommunikation? Die Collaboration Plattform an sich ist weg, was tun wir stattdessen?
• Anfragen von der Presse, Behörden, Ämtern? Wer übernimmt das…?
• Die Abteilungen haben keine Ahnung was hier los ist? Wer koordiniert die interne Kommunikation und wie?
• Öffentliche Kommunikation des Vorfalls? Machen wir das? Dürfen wir das? Wenn ja, wie?
• Wer informiert eigentlich unsere Kunden und wie?

In eigener Sache…

Ich führe regelmäßig bei Kunden eintägige, deutschsprachige Workshops und Vorlesungen durch, um IT-Abteilungen, technisch Interessierte, aber auch CEO’s für eine solche Situation zu sensibilisieren. Ich berichte hierbei aus eigenen Erfahrungen rund um das Thema Ransomware und gehe speziell auf die Phase nach dem Impact ein. Bei Interesse kontaktiert mich unter troubleshooter(at)troublenet.de.

Viel Kraft und Erfolg!

Natürlich sind die bis hierhin beschriebenen Empfehlungen nur die ersten Schritt und helfen erfahrungsgemäß evtl. über die ersten 48h. Natürlich bin ich auch mit keiner Silbe auf die Alarmierung von Behörden und die evtl. notwendige Meldung gemäß DSVGO eingegangen, dafür gibt es genug Literatur, die man unbedingt VORHER konsumieren sollte! Selbstverständlich gehört auch ein konsistentes, aktuelles IT Notfall Handbuch in jedes Unternehmen, welches zudem spezielle Anweisungen, passend zum Unternehmen und dessen Systeme und Prozesse beinhaltet. Ich weiß jedoch aus Erfahrung, dass das eben nicht immer so ist und so hoffe ich, dass mein Beitrag Euch über die ersten Stunden hilft. Zumindest so lange, bis professionelle Hilfe mit Erfahrung in diesem Bereich vor Ort ist und Euch hoffentlich schnell und erfolgreich durch diese harte Zeit führt. Das Beste wäre allerdings, dass Euch dieser Impact gar nicht erst trifft!

Meldestellen der Bundesländer zu DSGVO „Datenpanne“ nach Art. 33 DSGVO

Bundesland	URL
Baden-Württemberg	https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/
Bayern	https://www.lda.bayern.de/de/datenpanne.html
Berlin	https://www.datenschutz-berlin.de/datenschutz/datenpanne/datenpannenformular/
Brandenburg	https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/
Bremen	https://www.datenschutz.bremen.de/wir-ueber-uns/online-meldungen/datenschutzverletzung-melden-15665
Hamburg	https://datenschutz-hamburg.de/service-information/datenpanne-melden
Hessen	https://datenschutz.hessen.de/service/meldung-nach-art-33-ds-gvo
Mecklenburg-Vorpommern	https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/
Niedersachsen	https://www.navo.niedersachsen.de/navo2/portal/csend/8916/fileget/artikel_33.html
Nordrhein-Westfalen	https://ldi-fms.nrw.de/lip/form/display.do?%24context=8EDA2A31F9C2078C16F6
Rheinland-Pfalz	https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenpanne-art-33-ds-gvo/
Saarland	https://www.datenschutz.saarland.de/online-dienste/meldung-datenpanne
Sachsen-Anhalt	https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzverletzung/page
Sachsen	https://formulare.datenschutz.sachsen.de/form/provide/52/;jsessionid=17BC8D5493D20C7578F9DEA640A8A3DF
Schleswig-Holstein	https://www.datenschutzzentrum.de/meldungen/
Thüringen	https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/Wir_ueber_uns/Infomaterial/Meldung__Art_33_DSGVO_v2.pdf

Weitere wichtige Verweise und Quellen

• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf?__blob=publicationFile&v=3
• https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Kritische-Infrastrukturen-und-meldepflichtige-Unternehmen/Ich-habe-einen-IT-Sicherheitsvorfall-Was-soll-ich-tun/ich-habe-einen-it-sicherheitsvorfall-was-soll-ich-tun.html
• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.pdf?__blob=publicationFile&v=19