Freigeben über


RaMP Checkliste – Ransomware-Wiederherstellungsbereitschaft

Diese Checkliste für den Schnellen Modernisierungsplan (RaMP) hilft Ihnen, Ihre Organisation vorzubereiten, damit Sie eine praktikable Alternative zum Bezahlen des Lösegelds haben, das von Ransomware-Angreifern verlangt wird. Angreifer, die die Kontrolle über Ihre Organisation erlangt haben, haben unterschiedliche Möglichkeiten, eine Zahlung von Ihnen zu erpressen. Meist bewegen sich die Forderungen aber in den folgenden beiden Bereichen:

  • Zahlen, um den Zugriff wiederzuerlangen

    Angreifer fordern eine Zahlung basierend auf der Drohung, dass sie Ihnen sonst den Zugriff auf Ihre Systeme und Daten nicht gewähren. Hierfür werden in den meisten Fällen Ihre Systeme und Daten verschlüsselt, und es wird eine Zahlung gefordert, um den Schlüssel für die Entschlüsselung zu erhalten.

    Wichtig

    Die Zahlung des Lösegelds ist keine so einfache und saubere Lösung, wie dies vielleicht erscheint. Da Sie es mit Kriminellen zu tun haben, deren einziges Ziel der Erhalt Ihrer Zahlung ist (und die häufig Amateure sind, die ein von einer anderen Person bereitgestelltes Toolkit nutzen), ist die Unsicherheit hoch, wie gut das Zahlen des Lösegelds wirklich funktioniert. Es gibt keine rechtliche Garantie, dass die Angreifer einen Schlüssel bereitstellen, mit dem Sie Ihre gesamten Systeme und Daten vollständig entschlüsseln können, bzw. dass Sie überhaupt einen Schlüssel erhalten. Beim Prozess zum Entschlüsseln dieser Systeme werden selbst entwickelte Tools der Angreifer genutzt, und dies ist häufig mit einem umständlichen und manuellen Prozess verbunden.

  • Zahlen, um die Offenlegung zu vermeiden

    Angreifer verlangen eine Zahlung, mit der Sie verhindern sollen, dass vertrauliche oder heikle Daten im Darknet (für andere Kriminelle) oder für die Öffentlichkeit bereitgestellt werden.

Die unmittelbarste und effektivste mögliche Maßnahme zur Vermeidung einer Zahlungserzwingung (das gewünschte Ergebnis für Angreifer) lautet wie folgt: Stellen Sie sicher, dass Ihre Organisation Ihre gesamten Unternehmensdaten aus unveränderlichem Speicher, der weder infiziert noch durch Ransomware verschlüsselt wurde und an dem weder vom Angreifer noch von Ihnen Änderungen vorgenommen werden können, wiederherstellen kann.

Die Ermittlung der Ressourcen mit dem höchsten Vertraulichkeitsgrad und deren Schutz auf einer höheren Sicherheitsebene ist ebenfalls von entscheidender Bedeutung. Dieser Prozess erfordert aber mehr Zeit und Aufwand. Wir möchten nicht, dass Sie andere Bereiche aufhalten, aber wir empfehlen Ihnen, den Prozess zu beginnen, indem Sie Geschäfts-, IT- und Sicherheitsakteure zusammenbringen, um Fragen zu stellen und zu beantworten wie die Folgenden:

  • Welche Geschäftsressourcen wären mit dem größten Schaden verbunden, wenn sie kompromittiert werden? Beispielsweise welche Ressourcen würde eine Unternehmensleitung bereitstellen, um eine Erpressungsanforderung zu bezahlen, wenn ein Angreifer sie kontrollieren würde?
  • Wie lassen sich diese Unternehmensressourcen auf IT-Ressourcen wie Dateien, Anwendungen, Datenbanken und Server übertragen?
  • Wie können Sie diese Ressourcen schützen oder isolieren, damit Angreifer, die sich Zugang zur allgemeinen IT-Umgebung verschafft haben, nicht darauf zugreifen können?

Schützen der Sicherungskopien

Sie müssen sicherstellen, dass kritische Systeme und ihre Daten unveränderlich gesichert werden, um sie vor absichtlicher Löschung oder Verschlüsselung durch einen Angreifer zu schützen. Die Sicherungen dürfen nicht bereits durch einen Ransomware-Angriff infiziert oder verschlüsselt worden sein, andernfalls stellen Sie eine Reihe von Dateien wieder her, die Einstiegspunkte für die Angreifer enthalten könnten, die nach der Wiederherstellung ausgenutzt werden können.

Bei Angriffen auf Ihre Sicherungen soll es Ihrer Organisation erschwert bzw. verhindert werden, dass eine Möglichkeit zur Reaktion besteht, ohne dass die Zahlung geleistet wird. Das Ziel sind hierbei häufig Sicherungen und wichtige Dokumentationen, die für die Wiederherstellung benötigt werden, um Sie zum Zahlen des geforderten Lösegelds zu zwingen.

Die meisten Organisationen verfügen nicht über einen Schutz ihrer Sicherungs- und Wiederherstellungsverfahren vor dieser Art von gezielten Angriffen.

Hinweis

Diese Vorbereitungsmaßnahmen führen auch zu einer verbesserten Resilienz in Bezug auf Naturkatastrophen und plötzlich auftretende Angriffe wie WannaCry und (Not)Petya.

Ein Backup- und Wiederherstellungsplan zum Schutz vor Ransomware beschreibt, was vor einem Angriff zum Schutz Ihrer kritischen Geschäftssysteme und während eines Angriffs zu tun ist, um eine schnelle Wiederherstellung Ihres Geschäftsbetriebs mithilfe von Azure Backup und anderen Microsoft-Clouddiensten sicherzustellen. Wenn Sie eine Offsite-Sicherungslösung verwenden, die von einem Drittanbieter bereitgestellt wird, ziehen Sie deren Dokumentation zur Hilfe.

Verantwortlichkeiten von Programm- und Projektmitgliedern

In dieser Tabelle wird der allgemeine Schutz Ihrer Daten vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben. Sie dient als Hilfe beim Ermitteln und Erzielen von Ergebnissen.

Lead Besitzer Verantwortlichkeit
Zentrale IT-Abteilung – Operations oder CIO Führungskräfte-Sponsorship
Programmlead aus zentraler IT-Abteilung – Infrastruktur Fördern von Ergebnissen und teamübergreifender Zusammenarbeit
Infrastruktur-/Backup-Ingenieur Ermöglichen einer Sicherung der Infrastruktur
Microsoft 365 Admins Implementieren von Änderungen an Ihrem Microsoft 365-Mandanten für OneDrive und Protected Folders
Sicherheitstechniker Beratung zu Konfiguration und Standards
IT-Administrator Aktualisieren von Standards und Richtliniendokumenten
Security Governance und/oder IT-Admin Überwachung zur Gewährleistung der Compliance
Team „Benutzerschulung“ Stellen Sie sicher, dass die Anleitung für Benutzer die Verwendung von OneDrive und geschützten Ordnern empfiehlt

Bereitstellungsziele

Erfüllen Sie diese Bereitstellungsziele, um Ihre Backup-Infrastruktur zu sichern.

Vorgehensweise Bereitstellungsziel Besitzer
1. Schützen Sie unterstützende Dokumente, die für die Wiederherstellung erforderlich sind, z. B. Dokumente zum Wiederherstellungsverfahren, Ihre Konfigurationsverwaltungsdatenbank (CMDB) und Netzwerkdiagramme. IT-Architekt oder -Realisator
2. Richten Sie einen Prozess ein, um alle kritischen Systeme automatisch in regelmäßigen Abständen zu sichern und die Einhaltung zu überwachen. IT-Backup-Administrator
3. Richten Sie Prozesse und Zeitpläne ein, um regelmäßig Ihren Plan für Geschäftskontinuität/Notfallwiederherstellung (Business Continuity/Disaster Recovery, BCDR) zu üben. IT-Architekt
4. Beziehen Sie den Schutz von Backups vor absichtlicher Löschung und Verschlüsselung in Ihren Backup-Plan ein:

Starker Schutz – Erfordern Sie Out-of-Band-Schritte (z. B. Multifaktor-Authentifizierung oder eine PIN), bevor Sie Online-Backups ändern (z. B. Azure Backup).

- Höchster Schutz: Speichern von Sicherungen in unveränderlichem Onlinespeicher (z. B. Azure Blob) bzw. vollständig offline oder an einem anderen Standort
IT-Backup-Administrator
5. Lassen Sie Ihre Benutzer OneDrive-Backup und Geschützte Ordner konfigurieren. Microsoft 365-Produktivitätsadministrator

Nächster Schritt

Setzen Sie die Daten-, Compliance- und Governance-Initiative mit Schritt 3. Daten fort.