Revision [99800]

This is an old revision of DSFallRansomWareAngriff made by WojciechLisiewicz on 2022-01-19 10:22:46.

 

Fallbeispiel: Der Ransomware-Angriff

Verschlüsselung der Daten durch Schadsoftware und ihre Folgen

Szenario

A ist Inhaber eines erfolgreichen Architekturbüros, das er in Form einer GmbH (A-GmbH) betreibt. Als A zur Baustelle eines Kunden verreist, meldet sich seine Assistentin B am Nachmittag des 18. 9. 2020 (Freitag) mit der Frage, ob A Wartungsarbeiten an der IT-Infrastruktur angeordnet hat, weil die Systeme nicht richtig arbeiten würden. A bittet B, mit dem betreuenden EDV-Unternehmen E Kontakt aufzunehmen und es mit diesem zu klären.

Nach kurzem Einsatz eines Mitarbeiters von E kann B weiter arbeiten.

Am Montag, 21. 9. 2020, melden weitere Mitarbeiter der A-GmbH Probleme mit ihren Arbeitsrechnern. Die Programme, die auf interne Netzwerkressourcen zugreifen (Dateiserver), funktionieren nicht. Als A an seinem Arbeitsplatz ankommt, kann er seinen Rechner zwar starten, aber auf dem Desktop befinden sich gar nicht die gewohnten Symbole, sondern Dateien mit unbekannten Namenserweiterungen (Endungen), wie ".odveta" oder ".Lazarus+" und vielen weiteren Zeichen. Überall sind kleine Textdateien mit (unter anderem) folgendem Inhalt gespeichert:

Your Files Have Been Encrypted (...)
(...)
Send us following ID: qTCkjsdl+=
(...)
Attention: Using 3rd Party Applications or Recovery Tools May Damage Your Files Permanently
(...) (*)

Ferner sind in den Dateien Anweisungen enthalten, dass

A zieht sofort die betreuenden Mitarbeiter von E hinzu. Sie stellen fest, dass die regulären Backups auf Netzlaufwerken ebenfalls entweder verschlüsselt oder zumindest beschädigt sind. Diese seien notwendigerweise im Netzwerk verfügbar gewesen, weil sie bei Erstellung von Backups (nachts) automatisch eingebunden wurden. Im Unternehmen kann man ab sofort nicht mehr arbeiten - es entgeht pro Arbeitstag ein Umsatz in Höhe von ca. 50.000,- EUR, während kaum Kosten gespart werden können. Zahlreiche Aufträge für die Kunden können bei einem Ausfall länger als eine Woche nur verzögert abgewickelt werden.
Sollten die Daten nicht entschlüsselt werden, sind Daten der letzten 3 Monate verloren - so alt ist das letzte intakte Backup von einem stillgelegten Computer. Können neuere Daten nicht wiederhergestellt werden, sind die laufenden Projekte des Unternehmens um mindestens jeweils 40 Arbeitstage zurückgeworfen, mit der gleichen Folge für die Fertigstellung der Projekte. Die Arbeitszeit im Wert von ca. 2.000.000,- EUR geht verloren, eine weitere Million ist insgesamt für Vertragsstrafen zu erwarten.

Ein externer Berater wird hinzugezogen und stellt Folgendes fest:

Fragen

A. Wie gehen Sie vor? Soll das Lösegeld gezahlt werden?
B. Wie sichern Sie sich gegen einen derartigen Angriff ab?


((1)) Vorgehensweise nach Zwischenfall
Es ist zwischen organisatorischen (umfassenden) und technischen (Teilaufgabe) Maßnahmen zu unterscheiden.

((2)) Organisation / Management
Ruhe bewahren, keine voreiligen Schlüsse und Handlungen und:

((2)) Technik
In technischer Hinsicht sind die wichtigsten Schritte:


((1)) Strategien zur Vorbeugung
Eine Umfassende Vorbereitung auf eventuelle Zwischenfälle mit Bezug auf die Datensicherheit (bzw. ihre Verletzung) wurde in folgenden Artikeln beschrieben:

Einige einfache - insbesondere technische - Vorgaben sind:






Zahlreiche der in der oben vorgenommenen Beschreibung formulierten Vorschläge sowie die Bemerkungen in der Vorlesung / Präsentation stützen sich auf das Arbeitspapier des BSI "Erste Hilfe bei einem Schweren IT-Sicherheitsvorfall". Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.

(**) DMZ = Demilitarisierte Zone
(*) als Beispiel einer entsprechenden Nachricht der Erpresser vgl. folgendes Bild:

Nachricht der Erpresser


CategoryDatensicherheit
There are no comments on this page.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki