Ransomware-Angriffe können für Unternehmen verheerende Folgen haben. Daten aus einer Umfrage von Bitkom weisen darauf hin, dass die Situation auch in Deutschland gefährlich ist. Jedes neunte Unternehmen (11 Prozent), das Opfer von Ransomware wurde, hat demnach das erpresste Lösegeld bezahlt. 4 von 10 Ransomware-Opfern (44 Prozent) berichteten, dass ihr Geschäftsbetrieb durch die lahmgelegten Computer und verlorenen Daten beeinträchtigt wurde. Eine proaktive Vorbereitung auf Ransomware-Angriffe kann die Auswirkungen tatsächlicher Vorfälle mit Erpressungssoftware begrenzen. Ransomware-Simulationsübungen sind dabei ein wichtiger Bestandteil jeder Strategie zur Stärkung der Abwehrbereitschaft gegen Ransomware und Cyberkriminalität.
Eine Ransomware-Tabletop-Übung bietet einen praktischen Rahmen, in dem Führungskräfte und Teams die Reaktion auf einen Vorfall vorbereiten und ihre Rolle dabei verstehen können. Ziel ist, ein Bedrohungsszenario durchzuspielen, um die Beteiligten in die Lage zu versetzen, die Auswirkungen eines fiktiven Vorfalls abzumildern. Am Ende steht die Aufgabe, die Reaktionsstrategie entsprechend zu aktualisieren.
Grundsätzlich sind diese Übungen Teil des Krisenmanagements und die Teilnehmer feste (und zusätzliche) Bestandteile des Krisenmanagement-Teams. Durch die Übung führt die Person, die im Fall einer Krise auch die Schirmherrschaft über die Einhaltung und die Koordination der zuvor erprobten Abläufe innehat. Oft wird diese Person als Krisenkoordinator bezeichnet. Dieser moderiert alle Diskussionen, liefert Updates zum Szenario, stellt geeignete Folgefragen und sorgt dafür, dass emotionale Aspekte weitestgehend ausgeblendet werden und die sachliche Durchführung im Vordergrund steht und bleibt.
Fünf Empfehlungen für Ransomware-Tabletop-Übungen
- Schulung und Vorbereitung. Alle Mitarbeiter, die an Ransomware-Übungen teilnehmen, sollten wissen, warum und wie ein Unternehmen mit einem Ransomware-Vorfall konfrontiert werden könnte. Wenn die Tabletop-Übung über das Cybersicherheitsteam hinausgeht, sollten Informationen über die wichtigsten Begriffe, den Zweck der Aktivitäten und die entsprechenden Verfahrensdokumente an alle verteilt werden. Je mehr die Teilnehmer über den Kontext einer Ransomware-Tabletop-Übung wissen, desto besser können sie während der Übung unterstützen und reagieren. Wichtig sind in allen Fällen ausreichend gute und standardisierte Dokumentationsprozesse. Denn im Krisenfall sind diese Dokumente von kritischer Wichtigkeit.
- Kollaborative Umgebung. Ein oft übersehener Aspekt von Tabletop-Übungen ist die Schaffung einer stressfreien, fehlerfreien Lernumgebung. Alle Beteiligten sollen sich wohlfühlen, wenn sie ihre Meinung äußern und einen Beitrag leisten. Die Koordinationsperson sollte erklären, dass es darum geht, Systeme, Fähigkeiten und Prozesse mit dem gemeinsamen Ziel zu bewerten, die Cybersicherheit des Unternehmens zu verbessern. Gute Koordinatoren vergewissern sich, dass sie bei ihrer Ransomware-Tabletop-Übung den richtigen Ton treffen. Hier zeigt sich eine wichtige Eigenschaft der Rolle, nämlich „EQ über IQ“ (emotionale Intelligenz über intellektuelles Leistungsvermögen) zu stellen.
- Realistische Szenarien. Ein realistisches Szenario ist das Herzstück jeder effektiven Tabletop-Übung. Es könnte beispielsweise einen Ransomware-Angriff beinhalten, der mit einer Phishing-E-Mail beginnt und zur Verschlüsselung sensibler Kundendaten führt. Das Szenario sollte die folgenden Komponenten beinhalten: Entdeckung der Sicherheitsverletzung, Benachrichtigung der Strafverfolgungsbehörden, Lösegeldforderung, Wiederherstellung der Systeme unter Verwendung von Backups und den Entscheidungsprozess, ob das Lösegeld gezahlt werden soll oder nicht.
- Variationen des Szenarios. Die Koordinatoren sollten sich im Vorfeld einige plausible „Knackpunkte“ überlegen, die in die Übung eingebaut werden können. In einem Szenario könnte z.B. die Lösegeldforderung exorbitant hoch sein. In einem anderen Szenario könnte innerhalb von 24 Stunden ein zweiter Ransomware-Angriff erfolgen, der auf einem anderen Ransomware-Stamm basiert. Durch Variationen können sich die Teams auf unerwartete Umstände vorbereiten und verschiedene Aspekte des Reaktionsplans auf einen Vorfall testen.
- Bewertung nach der Übung. Koordinatoren sollten nach dem Ablauf eine gründliche Auswertung durchführen. Sie stehen vor der Herausforderung, die Stärken des Teams und die Bereiche, in denen Verbesserungen möglich sind, aufzuarbeiten. Der richtige Notfallplan muss entsprechend dieser Ergebnisse und folgender Fragen überarbeitet werden:
- Was hat während der Übung gut geklappt?
- Wo gab es Kommunikationsprobleme?
- Hat sich das Team an die festgelegten Richtlinien und Verfahren gehalten?
- Wie haben sich unerwartete Herausforderungen auf die Reaktion ausgewirkt?
Wie bereits erwähnt, besteht der Hauptzweck einer Ransomware-Tabletop-Übung darin, eine Organisation in die Lage zu versetzen, ihre Cybersicherheitsvorkehrungen zu verbessern. Die Erkenntnisse aus der Auswertung nach der Übung ermöglichen eine Feinabstimmung der Pläne.
Fazit
In einem Umfeld, in dem die Auswirkungen von Ransomware-Angriffen immer größer und diese selbst immer raffinierter werden, können es sich Unternehmen nicht leisten, unvorbereitet zu sein. Tabletop-Übungen zu Ransomware sind ein proaktiver Ansatz, um die Resilienz zu stärken und eine koordinierte Reaktion im Falle eines tatsächlichen Vorfalls zu gewährleisten. Die obigen fünf Empfehlungen können Unternehmen dabei helfen, die Widerstandsfähigkeit gegen Ransomware-Bedrohungen zu stärken und die Auswirkungen eines Angriffs zu minimieren.
#CheckPoint
