Ransomware-Angriffe gehören über alle Branchen hinweg nach wie vor zu den häufigsten und gefährlichsten Cyberattacken. Für kleine und mittelständische Betriebe mit begrenzten IT-Ressourcen kann ein solcher Verschlüsselungsangriff schnell existenzbedrohend werden. Dawn Cappelli, Head of OT-CERT bei Dragos, verrät im Interview, wie sich IT-Teams in KMU auf einen solchen Angriff vorbereiten können – und wie sie im Notfall richtig reagieren.
Jeder Betrieb kann heute zum Opfer eines Ransomware-Angriffs werden. Was können die Unternehmen denn tun, um sich auf den Fall der Fälle vorzubereiten?
Dawn Cappelli: Wer Ziel eines Ransomware-Angriffs wird, sollte zunächst versuchen, seine Systeme wieder unter Kontrolle zu bekommen und die verschlüsselten Daten wieder herzustellen, und zwar ohne das Lösegeld zu bezahlen. Man darf aber nicht vergessen, dass es in einer OT-Umgebung, die in der Regel ungleich komplexer ist als eine klassische IT-Landschaft, wesentlich schwieriger ist, die Folgen eines solchen Angriffs in den Griff zu bekommen. Daher empfehlen wir Unternehmen, unabhängig von ihrer Größe regelmäßig Übungen mit dem Management und den unterstützenden Rechtsexperten durchzuführen, um sich unter Echtbedingungen mit dem Ablauf und den möglichen Konsequenzen einer solchen Attacke vertraut zu machen. Viele Fragen, die dabei auftauchen, sind alles andere als leicht zu beantworten und wollen sorgfältig analysiert, diskutiert und erwogen werden.
Welche juristischen und regulatorischen Aspekte muss man besonders im Blick behalten?
Dawn Cappelli: Das hängt natürlich ganz vom jeweiligen Unternehmen ab – nicht zuletzt von der Frage, ob es der KRITIS-Gesetzgebung oder anderen Vorgaben unterliegt – und verändert sich auch sehr dynamisch. Primär gilt es aber zu klären, wie die Folgen im Worst Case und in realistischen Szenarien aussehen, welche Risiken und Sanktionen im Falle eines längeren Ausfalls drohen und ob das Unternehmen die vom Gesetzgeber geforderten angemessenen Präventivmaßnahmen umgesetzt hat. All diese Informationen sollten die Rechts- und Compliance-Verantwortlichen allerdings lange vor dem Vorfall einholen und kontinuierlich aktualisieren. Darüber hinaus lohnt es sich, ebenfalls schon im Vorfeld Kontakt zu etablierten Branchenexperten – etwa den Sachverständigen des BSI – aufzunehmen, damit man sie im Falle eines Angriffs zeitnah hinzuziehen kann.
Muss man bei einem Angriff auch die Strafverfolgungsbehörden informieren? Und wenn ja: Wen und wann?
Dawn Cappelli: Die Strafverfolgungsbehörden können mit ihrem Knowhow und ihrer Erfahrung im Bereich Ransomware eine wertvolle Hilfe sein – sowohl bei der Incident Response als auch bei der Klärung der juristischen und regulatorischen Fallstricke. Ob das Hinzuziehen sinnvoll ist, muss das Management im Zusammenspiel mit der Rechtsabteilung im Einzelfall entscheiden. Unabhängig davon, wie diese Entscheidung ausfällt, empfehlen wir aber nachdrücklich, im Vorfeld mit den Behörden in der jeweiligen Kommune, im Bundesland und im Bund zu sprechen, um deren Sichtweise kennenzulernen, und um zu erfahren, wie die jeweiligen Institutionen bei entsprechenden Fällen üblicherweise vorgehen.
Dann kommen wir jetzt zur Gretchenfrage: Sollte man im Notfall zahlen oder nicht?
Dawn Cappelli: Auch da gibt es natürlich keine pauschale Antwort. Generell raten die Strafverfolgungsbehörden weltweit eher davon ab, weil das Lösegeld ja unmittelbar der cyberkriminellen Szene zugutekommt. Fundiert entscheiden können das Unternehmen aber erst, wenn klar ist, welche Daten betroffen sind, mit welcher Software verschlüsselt wurde und wie hoch der Betrag ist. Und auch dann bleibt es eine unglaublich schwere Entscheidung über die Zukunft des Unternehmens – deshalb ist es ja so wichtig, möglichst viele Parameter vorher zu evaluieren und die Konsequenzen in Tabletop-Übungen durchzuspielen.
Wissen typische, mittelständische Unternehmen im Notfall denn überhaupt, wie man in kurzer Zeit Kryptowährungen beschafft?
Dawn Cappelli. Das ist tatsächlich ein wichtiger Punkt – die meisten Unternehmen verfügen diesbezüglich über keinerlei Erfahrungen. Grundsätzlich ist der Kauf von Bitcoin und anderen Kryptowährungen heute aber keine Wissenschaft. Man eröffnet einen Account bei einer der großen, professionellen Crypto-Börsen, und kann dort wie bei jeder anderen Banktransaktion Geld in Kryptowährungen tauschen. Trotzdem sollte man das Thema nicht auf die leichte Schulter nehmen, sondern mit den kaufmännischen und juristischen Verantwortlichen diskutieren – immerhin kann so eine Transaktion durchaus heikel sein und etwa gegen staatliche Sanktionen und Embargos verstoßen.
Wie groß ist denn die Gefahr, nach Zahlung des Lösegelds sofort wieder attackiert und ein zweites Mal abkassiert zu werden?
Dawn Cappelli: Die meisten Cyberkriminellen betreiben Ihre Aktivitäten heute wie ein professionelles Business. Ihnen ist klar, dass es sich herumsprechen würde, wenn sie ein zahlungswilliges Opfer sofort wieder angreifen – und künftige Opfer dann eher nicht mehr bereit wären, zu bezahlen. Aus diesem Grund scheuen die meisten Gruppierungen davor zurück, Opfer mehrfach ins Visier zu nehmen. Wenn ein Unternehmen die ausgenutzten Sicherheitslücken allerdings nicht zeitnah schließt, kann es leicht geschehen, dass eine ganz andere Gruppierung diese ausnutzt. Deshalb ist es wichtig, unmittelbar nach einem Angriff eine forensische Analyse durchzuführen, um herauszufinden, was genau passiert ist und wie man sich davor schützen kann.
Was sollten KMUs konkret tun, um die Folgen eines Angriffs zu minimieren?
Dawn Cappelli: Typischerweise richten sich Ransomware-Angriffe in der Industrie gegen HMI-Anwendungen, Operator Interface Terminals (OIT), Alarm- und Reporting-Systeme, proprietäre Applikationen, PLC – und ICS-Anwendungen, und – nicht zu vergessen – die Konfigurationsfiles der Netzwerk- und Security-Geräte. A und O ist es daher, Backup-Kopien aller kritischen Konfigurationsdateien anzufertigen und offline zu hinterlegen. Diese Backups müssen alle Dateien enthalten, die man braucht, um seine Systeme im Falle eines Totalverlusts neu aufzusetzen – also vor allem die Konfigurations- und Installationsdaten. Dazu gehört es auch, alle Lizenzschlüssel und Lizenznummern zu erfassen, und am besten die jeweiligen Produktversionen und die Kontaktdaten der Hersteller zu notieren. Diese Backups müssen dann auch regelmäßig getestet werden. Nur so behält man die Gewissheit, dass sich die Systeme im Notfall auch wirklich wiederherstellen lassen.
Was gilt es bei der Vorbereitung noch zu berücksichtigen?
Dawn Cappelli. Wie in vielen Notfallszenarien sind auch bei einem Ransomware-Angriff die ersten Minuten entscheidend. Unternehmen sollten deshalb schon im Vorfeld dokumentieren und testen, wie sich ihre gesamte Umgebung bei einem Angriff rasch und effizient herunterfahren lässt. Auf diese Weise lässt sich die Reichweite des Angriffs – und damit auch der potenzielle Schaden – oft wirkungsvoll eindämmen.
Und auch der weitere Ablauf lässt sich wahrscheinlich gut trainieren, oder?
Dawn Cappelli: Ja, regelmäßige Übungen, bei denen alle Beteiligten unter Echtbedingungen verschiedene Angriffsszenarien durchspielen, haben sich aus unserer Sicht sehr bewährt. Wir empfehlen, turnusmäßig Attacken durchzuspielen, bei denen die Angreifer jeweils unterschiedliche ICS- und OT-Systeme ins Visier nehmen. So zwingt man die Operations-Teams zum Beispiel, ganz konkret darüber nachzudenken, wie sie handlungsfähig bleiben, wenn sie die Transparenz und Kontrolle über ihre HMIs verloren haben. Das ist Gold wert, um die Abläufe bei einem Angriff zu verstehen, vorauszuplanen und zu dokumentieren – und es hilft dem Team, die interne und externe Kommunikationskette bei einem Angriff einzuüben. Das ist wichtig, um im Ernstfall nicht jedes Rad neu erfinden zu müssen, und hilft, einen kühlen Kopf zu bewahren.
Die Kommunikation bei einem Angriff ist ein ganz eigenes Thema. Welche Kanäle sollten Unternehmen im Rahmen der Cyber Incident Response nutzen – und welche lieber nicht?
Dawn Cappelli: Das ist in der Tat ein wichtiger Aspekt. Bei Ransomware-Angriffen und physischen Attacken kann es immer passieren, dass elektronische Kanäle wie E-Mail and Chat ausfallen oder von den eingedrungenen Angreifern abgehört werden. Unternehmen sollten also alternative Geräte und Medien griffbereit haben, um mit internen und externen Ansprechpartnern kommunizieren zu können. Am sichersten ist es, wenn es sich dabei um vom Unternehmen gemanagte Geräte handelt. Die Erfahrung zeigt aber, dass mitunter auch private Smartphones verwendet werden müssen.
Ist der Betrieb solcher speziellen Kommunikationskanäle nicht extrem aufwändig?
Dawn Cappelli: Nun, die meisten Großunternehmen halten heute für Notfälle standardmäßig gespiegelte Kommunikationsumgebungen vor, die sie bei Bedarf jederzeit aktivieren können. Für KMU ist das in der Regel überdimensioniert. Aber auch da wird bei einem Angriff jeder externe Berater gleich im ersten Schritt einen alternativen, von der kompromittierten Infrastruktur entkoppelten Kanal hochziehen. Und das muss auch gar nicht teuer sein – es gibt etliche kostenlose Optionen, die innerhalb eines Tages implementierbar sind.
Was würden Sie empfehlen?
Dawn Cappelli: Wichtig ist aus unserer Sicht vor allem ein breiter Mix an Optionen, um alle Empfänger abdecken zu können – neben E-Mail und Voice sollten also auch Video-, Chat- und Filesharing-Tools vorhanden sein. Mit Blick auf die Sicherheit der Kommunikation legen wir sehr hohen Wert auf Ende-zu-Ende-Verschlüsselung und robuste Sicherheit – etwa starke Multifaktor-Authentisierung und sichere Passwörter. All das lässt sich heute aber in der Regel über kostenlose Software-Tools realisieren und wunderbar im Vorfeld vorbereiten.
Und was ist, wenn abgesetzte Standorte ohne eigenen Internet- und Telefonzugang betroffen sind, oder wenn der Zugang selbst vom Ausfall betroffen ist?
Dawn Cappelli: Das ist ebenfalls ein wichtiger Punkt, für den es im Vorfeld zu planen gilt. Mit 4G oder 5G Routern und WLAN-Hotspots lassen sich heute praktisch alle Standorte anbinden. Unsere Incident Response Teams hatten aber auch schon einige Szenarien, in denen der Empfang lediglich über Satelliten-Telefone möglich war.
Haben Sie noch andere Tipps, die Unternehmen bei der Kommunikation im Notfall helfen?
Dawn Cappelli: Ja, einen auf jeden Fall: In vielen Industrieumgebungen sind nach wie vor klassische Funkgeräte im Einsatz, und die können im Falle eines Cyberangriffs als abhörsicherer, sofort nutzbarer Kanal wertvolle Dienste leisten.
Vielen Dank, das hilft alles sehr weiter. Zum Schluss vielleicht noch eine ganz grundsätzliche Frage: Können kleine und mittelständische Unternehmen diese umfassende Vorbereitung wirklich leisten?
Dawn Cappelli: Sie müssen sich auf jeden Fall proaktiv Gedanken zu dem Thema machen, und ihre Reaktion auf einen Angriff Schritt für Schritt planen. Wenn es an die Details dieser Planung geht, werden viele KMUs in der Tat an einen Punkt kommen, an dem ihre internen Ressourcen und ihr eigenes Knowhow ausgeschöpft sind – dann bleibt aber immer noch die Option, externe Consultants und Systemintegratoren hinzuzuziehen, die sie beratend, konzeptionell und technisch unterstützen können. All das ist wirtschaftlich auf jeden Fall günstiger, als unvorbereitet in einen Angriff zu geraten.
Wir danken für das Gespräch.
