Wissensdatenbank Wirtschaftsrecht

aktuelles Dokument:
DSFallRansowWareAngriff
image5
image4
image3
image2
image1
 Alle Kategorien:
  Forschungsdatenbank
  Lehrveranstaltungen
  Lexikon
  Literatur
  Rechtsgebiete
  Rechtsprechung
  Service
  Studium F H S
  Wissensmanagement
ich war hier: DSFallRansowWareAngriff

Revision history for DSFallRansowWareAngriff


Revision [96426]

Last edited on 2021-01-26 11:07:34 by WojciechLisiewicz
Additions:
CategoryDatensicherheit


Additions:
- Vorgehensweise zur Datenwiederherstellung testen,
- alle Systeme aktuell halten und Sicherheitslücken schließen (Aktualisierungen, Patches).


Additions:
- Dienste, die aus dem Internet erreichbar sein sollen, sind in einer DMZ (""**"") bereitzustellen!
(""**"") DMZ = [[https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik) Demilitarisierte Zone]]
Deletions:
- Dienste, die aus dem Internet erreichbar sein sollen, sind in einer DMZ (**) bereitzustellen!
(**) DMZ = [[https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik) Demilitarisierte Zone]]


Additions:
- Zugriff von außen:
- nur aus zwingenden Gründen,
- nur abgesichert sowie
- nur für sichere / abgesicherte Systeme (auch per VPN!)
- insbesondere sind keinerlei unnötige Ports zu öffnen und eine Weiterleitung auf Geräte im internen Netzwerk einzurichten,
- Dienste, die aus dem Internet erreichbar sein sollen, sind in einer DMZ (**) bereitzustellen!
(**) DMZ = [[https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik) Demilitarisierte Zone]]
Deletions:
- Zugriff von außen nur aus zwingend Gründen und nur abgesichert sowie nur für sichere / abgesicherte Systeme (Beispiel: Zugriff per VPN!)
-


Additions:
A ist Inhaber eines erfolgreichen Architekturbüros, das er in Form einer GmbH (A-GmbH) betreibt. Als A zur Baustelle eines Kunden verreist, meldet sich seine Assistentin B am Nachmittag des 18. 9. 2020 (Freitag) mit der Frage, ob A Wartungsarbeiten an der IT-Infrastruktur angeordnet hat, weil die Systeme nicht richtig arbeiten würden. A bittet B, mit dem betreuenden EDV-Unternehmen E Kontakt aufzunehmen und es mit diesem zu klären.
Am Montag, 21. 9. 2020, melden weitere Mitarbeiter der A-GmbH Probleme mit ihren Arbeitsrechnern. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befinden sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt gespeichert:
Deletions:
A ist Inhaber eines erfolgreichen Architekturbüros, das er in Form einer GmbH (A-GmbH) betreibt. Als A zur Baustelle eines Kunden verreist, meldet sich seine Assistentin B am Nachmittag des 18. 9. 2020 (ein Freitag) mit der Frage, ob A Wartungsarbeiten an der IT-Infrastruktur angeordnet hat, weil die Systeme nicht richtig arbeiten würden. A bittet B, mit dem betreuenden EDV-Unternehmen E Kontakt aufzunehmen und es mit diesem zu klären.
Am Montag, 21. 9. 2020, melden weitere Mitarbeiter der A-GmbH Probleme mit ihren Arbeitsrechnern. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befinden sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt gespeichert:


Additions:
Eine Umfassende Vorbereitung auf eventuelle Zwischenfälle mit Bezug auf die Datensicherheit (bzw. ihre Verletzung) wurde in folgenden Artikeln beschrieben:
- [[DSManagementGrundlagen über die grundlegende Vorgehensweise im Sicherheitsmanagement]],
- [[DSMassnahmen über die Maßnahmen zur Sicherstellung der Datensicherheit]]
Einige einfache - insbesondere technische - Vorgaben sind:
- Backup, Backup, Backup => aber richtig! d. h. so, dass es auch im Falle eines Zwischenfalls intakt bleibt und aus ihm schnell eine Datenwiederherstellung möglich ist;
Deletions:
Einfache Vorgaben sind:
- Backup, Backup, Backup => aber richtig


Additions:
A zieht sofort die betreuenden Mitarbeiter von E hinzu. Sie stellen fest, dass die regulären Backups auf Netzlaufwerken ebenfalls entweder verschlüsselt oder zumindest beschädigt sind. Diese seien notwendigerweise im Netzwerk verfügbar gewesen, weil sie bei Erstellung von Backups (nachts) automatisch eingebunden wurden. Im Unternehmen kann man ab sofort nicht mehr arbeiten - es entgeht pro Arbeitstag ein Umsatz in Höhe von ca. 50.000,- EUR, während kaum Kosten gespart werden können. Zahlreiche Aufträge für die Kunden können bei einem Ausfall länger als eine Woche nur verzögert abgewickelt werden.
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup von einem stillgelegten Computer. Können neuere Daten nicht wiederhergestellt werden, sind die laufenden Projekte des Unternehmens um mindestens jeweils 40 Arbeitstage zurückgeworfen, mit der gleichen Folge für die Fertigstellung der Projekte. Die Arbeitszeit im Wert von ca. 2.000.000,- EUR geht verloren, eine weitere Million ist insgesamt für Vertragsstrafen zu erwarten.
Deletions:
A zieht sofort die betreuenden Mitarbeiter von E hinzu. Sie stellen fest, dass die regulären Backups auf Netzlaufwerken ebenfalls entweder verschlüsselt oder zumindest beschädigt sind. Diese seien notwendigerweise im Netzwerk verfügbar gewesen, weil sie bei Erstellung von Backups (nachts) automatisch eingebunden wurden. Im Unternehmen kann man ab sofort nicht mehr arbeiten - es entgeht pro Arbeitstag ein Umsatz in Höhe von ca. 50.000,- EUR, während kaum Kosten gespart werden können. Zahlreiche Aufträge für die Kunden können bei einem Ausfall länger als eine Woche nur verzögert
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup von einem stillgelegten Computer. Können Daten in diesem Umfang nicht wiederhergestellt werden, sind die laufenden Projekte des Unternehmens um mindestens jeweils 40 Arbeitstage zurückgeworfen, mit der gleichen Folge für die Fertigstellung der Projekte. Die Arbeitszeit im Wert von ca. 2.000.000,- EUR geht verloren, eine weitere Million ist für Vertragsstrafen zu erwarten.


Additions:
- von dort aus hatte Schadsoftware ein leichtes Spiel, das komplette Netzwerk von A zu kompromittieren, weil die Netzwerkfreigaben zwar mit einem durchdachten Rechtesystem versehen, dennoch immer auch Freigaben ohne Zugriffsschutz vorhanden waren, über die die Infektionen weiterer Rechner begannen;
Deletions:
- von dort aus hatte Schadsoftware ein leichtes Spiel, das komplette Netzwerk von A zu kompromittieren, weil die Netzwerkfreigaben zwar mit einem durchdachten Rechtssystem versehen waren, dennoch immer auch Freigaben ohne Zugriffsschutz vorhanden waren, über die die Infektionen weiterer Rechner begannen;


Additions:
- Grundregeln der Netzwerksicherheit sind stets zu beachten, d. h.:
- zuverlässige Absicherung des lokalen Netzwerks,
- Zugriff von außen nur aus zwingend Gründen und nur abgesichert sowie nur für sichere / abgesicherte Systeme (Beispiel: Zugriff per VPN!)
-
Deletions:
- Grundregeln der Netzwerksicherheit stets


Additions:
- die Schadsoftware, die eingesetzt wurde, ist eine neue Variante einer bereits bekannten Verschlüsselungsattacke und deshalb konnte sie auch Systeme mit allen verfügbaren Sicherheitsupdates befallen,
Deletions:
- die Schadsoftware, die eingesetzt wurde, eine neue Variante einer bereits bekannten Verschlüsselungsattacke darstellt und deshalb auch Systeme mit allen verfügbaren Sicherheitsupdates befallen konnte,


Additions:
((1)) Vorgehensweise nach Zwischenfall
Es ist zwischen organisatorischen (umfassenden) und technischen (Teilaufgabe) Maßnahmen zu unterscheiden.
((2)) Organisation / Management
Ruhe bewahren, keine voreiligen Schlüsse und Handlungen und:
- systematisch Vorgehen
- Personen, die in der Lage sind, Problem zu verstehen, als Team einsetzen
- Einteilung: Tagesgeschäft <=> Schadensbekämpfung
- Meldepflichten?
- Externe Berater einholen
- Reservetechnik identifizieren (andere Standorte? vor Kurzem ersetzte Systeme?)
((2)) Technik
In technischer Hinsicht sind die wichtigsten Schritte:
- (potenziell) infizierte Systeme niemals mit Admin-Rechten inspizieren!
- infizierte / kompromittierte Systeme isolieren (Netzwerk, Datenträger)
- Angriff identifizieren
- Systeme komplett neu aufsetzen
- mehrfach Zugangsdaten ändern / zurücksetzen
- Netzwerkanalyse / Virenscans
- Backups inspizieren (hoffentlich sind gute vorhanden!)
- Netzwerkstruktur eventuell neu aufbauen (Active Directory)
((1)) Strategien zur Vorbeugung
Einfache Vorgaben sind:
- Backup, Backup, Backup => aber richtig
- Grundregeln der Netzwerksicherheit stets
Zahlreiche der in der oben vorgenommenen Beschreibung formulierten Vorschläge sowie die Bemerkungen in der Vorlesung / Präsentation stützen sich auf das [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html Arbeitspapier des BSI "Erste Hilfe bei einem Schweren IT-Sicherheitsvorfall"]]. Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.
Deletions:
Zahlreiche in der oben vorgenommenen Beschreibung formulierte Vorschläge und Bemerkungen in der Vorlesung / Präsentation stützen sich auf das [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html Arbeitspapier des BSI "Erste Hilfe bei einem Schweren IT-Sicherheitsvorfall"]]. Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.


Additions:
Zahlreiche in der oben vorgenommenen Beschreibung formulierte Vorschläge und Bemerkungen in der Vorlesung / Präsentation stützen sich auf das [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html Arbeitspapier des BSI "Erste Hilfe bei einem Schweren IT-Sicherheitsvorfall"]]. Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.
Deletions:
Zahlreiche in der oben vorgenommenen Beschreibung formulierte Vorschläge stammen aus dem [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html Arbeitspapier des BSI "Erste Hilfe bei einem Schweren IT-Sicherheitsvorfall"]]. Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.


Additions:
Zahlreiche in der oben vorgenommenen Beschreibung formulierte Vorschläge stammen aus dem [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html Arbeitspapier des BSI "Erste Hilfe bei einem Schweren IT-Sicherheitsvorfall"]]. Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.


Additions:
Am Montag, 21. 9. 2020, melden weitere Mitarbeiter der A-GmbH Probleme mit ihren Arbeitsrechnern. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befinden sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt gespeichert:
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup von einem stillgelegten Computer. Können Daten in diesem Umfang nicht wiederhergestellt werden, sind die laufenden Projekte des Unternehmens um mindestens jeweils 40 Arbeitstage zurückgeworfen, mit der gleichen Folge für die Fertigstellung der Projekte. Die Arbeitszeit im Wert von ca. 2.000.000,- EUR geht verloren, eine weitere Million ist für Vertragsstrafen zu erwarten.
Deletions:
Am Montag, 21. 9. 2020, melden andere Mitarbeiter Probleme mit ihren Computern in Büroräumen der A-GmbH. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befindet sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt gespeichert:
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup aus einem stillgelegten Computer. Können Daten in diesem Umfang nicht wiederhergestellt werden, sind die laufenden Projekte des Unternehmens um mindestens jeweils 40 Arbeitstage zurückgeworfen, mit der gleichen Folge für die Fertigstellung der Projekte. Die Arbeitszeit im Wert von ca. 2.000.000,- EUR geht verloren, eine weitere Million ist für Vertragsstrafen zu erwarten.


Additions:
== Verschlüsselung der Daten durch Schadsoftware und ihre Folgen ==
Am Montag, 21. 9. 2020, melden andere Mitarbeiter Probleme mit ihren Computern in Büroräumen der A-GmbH. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befindet sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt gespeichert:
Ferner sind in den Dateien Anweisungen enthalten, dass
- Beispieldateien zur testweise Entschlüsselung übersendet werden sollten,
- Bitcoins zu beschaffen sind (einschließlich Informationen, wie man diese kaufen kann),
- man gegen Zahlung einer noch zu bestimmenden Summe die Entschlüsselung vornehmen werde.
A zieht sofort die betreuenden Mitarbeiter von E hinzu. Sie stellen fest, dass die regulären Backups auf Netzlaufwerken ebenfalls entweder verschlüsselt oder zumindest beschädigt sind. Diese seien notwendigerweise im Netzwerk verfügbar gewesen, weil sie bei Erstellung von Backups (nachts) automatisch eingebunden wurden. Im Unternehmen kann man ab sofort nicht mehr arbeiten - es entgeht pro Arbeitstag ein Umsatz in Höhe von ca. 50.000,- EUR, während kaum Kosten gespart werden können. Zahlreiche Aufträge für die Kunden können bei einem Ausfall länger als eine Woche nur verzögert
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup aus einem stillgelegten Computer. Können Daten in diesem Umfang nicht wiederhergestellt werden, sind die laufenden Projekte des Unternehmens um mindestens jeweils 40 Arbeitstage zurückgeworfen, mit der gleichen Folge für die Fertigstellung der Projekte. Die Arbeitszeit im Wert von ca. 2.000.000,- EUR geht verloren, eine weitere Million ist für Vertragsstrafen zu erwarten.
Ein externer Berater wird hinzugezogen und stellt Folgendes fest:
- die auf Windows Server 2016 basierende Infrastruktur (Active Direktory, Netzlaufwerke) wurde kompromittiert,
- ein Rechner im Netzwerk (Windows 10 Pro) wurde durch Mitarbeiter der E zu Wartungszwecken mit aktivem RDP-Dienst betrieben,
- im Router und in der Firewall von A wurde eine entsprechende Weiterleitung zu diesem Wartungsgerät eingerichtet,
- die Mitarbeiter von E haben zwar ein Mapping des Ports (Port 51888 von außen auf 3389 intern) vorgenommen, aber dennoch war der RDP-Port 3389 auf einem Umweg von außen zugänglich,
- höchstwahrscheinlich wurde in den Wartungsrechner über eine //brute-force//-Attacke eingebrochen;
- von dort aus hatte Schadsoftware ein leichtes Spiel, das komplette Netzwerk von A zu kompromittieren, weil die Netzwerkfreigaben zwar mit einem durchdachten Rechtssystem versehen waren, dennoch immer auch Freigaben ohne Zugriffsschutz vorhanden waren, über die die Infektionen weiterer Rechner begannen;
- der Zugriff erfolgte bereits ca. 2 Wochen vor den erkennbaren Problemen, die Verschlüsselung startete am Freitag, 18. 9.,
- die Schadsoftware, die eingesetzt wurde, eine neue Variante einer bereits bekannten Verschlüsselungsattacke darstellt und deshalb auch Systeme mit allen verfügbaren Sicherheitsupdates befallen konnte,
- die Schadsoftware durch Antivirus-Programm auch nach Attacke und bei gezielter Suche nicht als solche erkannt wurde.
Deletions:
== Verschlüsselungssoftware und ihre schädigenden Folgen ==
Am Montag, 21. 9. 2020, melden andere Mitarbeiter Probleme mit ihren Computern in Büroräumen der A-GmbH. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befindet sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt:
Ferner werden Anweisungen zur Übersendung von Beispieldateien zur testweise Entschlüsselung und Informationen, wie man Bitcoins kaufen kann. Gegen Zahlung einer noch zu bestimmenden Summe wird die Entschlüsselung versprochen.
A zieht sofort die betreuenden Mitarbeiter von E hinzu. Sie stellen fest, dass die regulären Backups auf Netzlaufwerken ebenfalls entweder verschlüsselt oder zumindest beschädigt sind. Diese seien notwendigerweise im Netzwerk verfügbar gewesen, weil sie bei Erstellung von Backups (nachts) automatisch eingebunden wurden.
Ein externer Berater stellt fest, dass der Dateiserver (Windows 2016 Server) über das Netzwerk von außen über den RDP-Port 3389 erreichbar war und kompromittiert wurde. Von dem Server aus konnte sich die Schadsoftware über das ganze Netzwerke ausbreiten.
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup aus einem stillgelegten Computer.


Additions:
(*) als Beispiel einer entsprechenden Nachricht der Erpresser vgl. folgendes Bild:
Deletions:
(*) als Beispiel einer entsprechenden Message vgl. folgendes Bild:



No Differences

Additions:
{{image url="Ransom_Message.jpeg" title="Nachricht der Erpresser" alt="Nachricht der Erpresser" width="640px"}}
Deletions:
{{image url="Ransom_Message.jpeg" title="Nachricht der Erpresser" alt="Nachricht der Erpresser"}}


Additions:
{{image url="Ransom_Message.jpeg" title="Nachricht der Erpresser" alt="Nachricht der Erpresser"}}
Deletions:
{{files}}
{{image url="url" title="text" alt="text"}}


Additions:
(...)## (*)
----
(*) als Beispiel einer entsprechenden Message vgl. folgendes Bild:
Deletions:
(...)##


Additions:
{{files}}
{{image url="url" title="text" alt="text"}}


Additions:
Nach kurzem Einsatz eines Mitarbeiters von E kann B weiter arbeiten.
Am Montag, 21. 9. 2020, melden andere Mitarbeiter Probleme mit ihren Computern in Büroräumen der A-GmbH. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befindet sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt:
Deletions:
Nach kurzem Einsatz eines Mitarbeiters der E kann B weiter arbeiten.
Am Montag, 21. 9. 2020, melden andere Mitarbeiter Probleme mit ihren Computern in Büroräumen der A-GmbH. Die Programme, die auf interne Netzwerkressourcen zugreifen, funktionieren nicht richtig. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befindet sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt:


Additions:
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup aus einem stillgelegten Computer.
Deletions:
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so als ist das intakte Backup aus einem stillgelegten Computer.


Additions:


Revision [95938]

The oldest known version of this page was created on 2020-12-15 10:18:12 by WojciechLisiewicz
Valid XHTML   |   Valid CSS:   |   Powered by WikkaWiki