Ein Blick hinter die Kulissen unseres CERT: Eine vollständige Intervention bei einem Ransomware-Angriff
David Quesada, Leiter des CERT Advens, erläutert die einzelnen Schritte der Incident-Response unseres Computer Emergency Response Teams. Exklusives Interview!
Was ist ein Ransomware-Angriff?
Ein Ransomware-Angriff (auch Erpressungstrojaner genannt) besteht darin, dass ein bösartiges Programm an ein Ziel gesendet wird, das – sobald es aktiviert ist – alle Dateien und Daten des betroffenen Informationssystems verschlüsselt. Anschließend wird ein Lösegeld im Austausch gegen einen Entschlüsselungsschlüssel gefordert.
Was sind die Frühwarnzeichen eines Ransomware-Angriffs?
Es gibt schwache Signale, aber sie sind schwer zu erkennen.
Das Ziel des Angreifers ist es, so lange wie möglich unentdeckt zu bleiben. Nach dem Eindringen in ein IT-System kann er Monate warten, bevor er den Angriff auslöst. Hinweise können ungewöhnliche Verhaltensweisen sein, wie z. B. Aktivitäten in der Nacht oder ungewöhnliche Netzwerkübertragungen.
Was passiert, sobald der Angriff entdeckt wird?
IT-Systeme reagieren nicht mehr oder verhalten sich merkwürdig. Der Benutzer bemerkt unerwartete Vorgänge auf seinem Arbeitsplatz – z. B. funktioniert eine Software nicht mehr oder der Desktop-Hintergrund ändert sich. Dann erscheint oft eine Textdatei mit dem Titel „Read me“, die die typische Nachricht enthält:
„Wir haben Ihre Daten verschlüsselt. Rufen Sie diese Nummer an, um sie gegen Zahlung von XX € wiederherzustellen.“
Sollte man den Angreifer kontaktieren?
Wir raten dringend davon ab, den Angreifer direkt zu kontaktieren oder in Verhandlungen einzutreten. Es gibt keine Garantie, dass Sie Ihre Daten zurückbekommen – und Sie sparen dadurch nicht unbedingt Zeit.
Jede Minute zählt. Wenn ein Benutzer den Angriff entdeckt, sollte er sofort das Cybersicherheitsteam oder – falls nicht vorhanden – den IT-Support informieren und keinesfalls versuchen, das Problem selbst zu lösen.
Was sind die ersten Schritte des CERT Advens bei einem Ransomware-Angriff?
Die Identifikationsphase erfolgt in mehreren Schritten – vergleichbar mit „Erste-Hilfe-Maßnahmen“.
Das CERT führt zunächst eine telefonische Ersteinschätzung durch, um das Ausmaß des Schadens zu analysieren, bereits durchgeführte Maßnahmen zu verstehen und priorisierte Sofortmaßnahmen per Notfall-E-Mail zu übermitteln, während das Team sich auf den Einsatz vor Ort vorbereitet.
Das Team versucht, innerhalb von 24 Stunden beim Kunden in Frankreich zu sein. In der Zwischenzeit muss der Kunde:
- das System vollständig vom Internet trennen,
- das Active Directory deaktivieren, um eine Ausbreitung zu verhindern,
- nicht verschlüsselte Daten sichern.
Gleichzeitig aktiviert das Management den Krisenmanagementplan (falls vorhanden), einschließlich eines möglichen Business-Continuity-Plans: Was ist betroffen? Wie? Warum? Welche Auswirkungen hat die Verschlüsselung? Welche Dienste müssen unbedingt weiterlaufen?
Was passiert vor Ort?
Sobald das CERT eintrifft, wird eine Schadensanalyse durchgeführt und die ersten Maßnahmen für die nächsten 2–3 Tage festgelegt.
Das CERT führt eine tiefgehende Untersuchung durch: Es wird ermittelt, wie stark das System betroffen ist und wo der Angriff begann. Um effizienter zu arbeiten, kann ein EDR-System eingesetzt werden. Anschließend können bestimmte Schlüsselserver oder -arbeitsplätze unter starker Überwachung wieder hochgefahren werden.
Parallel dazu unterstützt das CERT die Kundenkommunikation – intern wie extern.
Bei Advens kann ein Team von „freiwilligen Feuerwehrleuten“ einspringen, um zusätzliche Expertise bereitzustellen – z. B. für Medienauftritte.
Was passiert in der Phase „Eindämmen und Beheben“?
Nach etwa einer Woche wird ein sogenannter „Vertrauenskern“ aufgebaut – ein vollständig gesicherter Bereich des Systems. Während der Krise kann der Angriff weiterlaufen oder sich verändern, daher ist Vorsicht und Agilität gefragt.
Das CERT bleibt aktiv in der Krisenzelle des Kunden eingebunden, um Analysen zu teilen und Prioritäten für die Wiederherstellung festzulegen.
Zwei Szenarien sind möglich:
- Ein BIA (Business Impact Analysis) existiert bereits – das spart Zeit.
- Es gibt keine Vorbereitung – das kostet Zeit, da Prioritäten erst definiert werden müssen.
Wie wird das System wiederhergestellt?
Die Wiederaufbauphase kann 4 bis 6 Wochen oder länger dauern.
Sobald das System wieder funktionsfähig ist, zieht sich das CERT schrittweise zurück. Andere Advens-Teams übernehmen – z. B. für den Aufbau eines SOC, die Definition neuer Prozesse oder Schulungen.
Am Ende erstellt das CERT einen Abschlussbericht mit:
- forensischen Analysen,
- einem Zeitstrahl des Vorfalls,
- einem Angriffsdiagramm,
- technischen und strategischen Empfehlungen.
Der Kunde übernimmt dann die letzten Schritte der Wiederherstellung – mit oder ohne Unterstützung durch Advens.
