Am Nachmittag des 27. Juni 2017 gehen bei der Unternehmensgruppe Maersk – einem der grössten Logistik- und Transport-Unternehmen der Welt – IT-technisch die Lichter aus. Im Headquarter in Kopenhagen, in den 574 Büros weltweit wird ein Bildschirm nach dem anderen schwarz. Schnell wird das Ausmass dieser Katastrophe klar. Mitarbeitende rennen durch die Korridore und warnen ihre Kollegen. Konferenzen werden unterbrochen, Rechner werden vom Netzwerk getrennt. Das Netz von Maersk ist jedoch bereits derart beschädigt, dass jede Hilfe zu spät kommt. Am späteren Nachmittag ist das Unternehmen, welches weltweit verantwortlich ist für 76 Häfen und fast 800 eigene Container-Schiffe, komplett ohne IT.

Notpetya ist vermutlich die verheerendste Cyber-Attacke, welche die Welt bisher gesehen hat. Von den Russen eingesetzt, um die Ukraine zu destabilisieren, werden auch internationale Unternehmen Opfer des Angriffs, weil sie eine ukrainische Buchhaltungssoftware einsetzen, die als Träger für die Verbreitung der Malware dient. Zum Glück sind nicht alle Angriffe von einer solchen Zerstörungskraft, dass sie Unternehmen keine Zeit lassen zu reagieren. Mit der richtigen Vorbereitung und den folgenden 8 Schritten kann der Schaden begrenzt werden.


Was es zu tun gibt, wenn es passiert

Wenn Ihre Unternehmung erfolgreich angegriffen wurde, dann gilt es schnell zu reagieren und gleichzeitig einen kühlen Kopf zu bewahren. Sofortmassnahmen zielen primär darauf ab, den Schaden zu minimieren und eine weitere Verbreitung der Infektion im Netzwerk zu verhindern. Letztendlich geht es aber auch darum, den Vorfall vollständig und insbesondere nachhaltig zu bereinigen. Letzteres kann Einfluss haben auf die bestehende IT-Security-Systemlandschaft, eingesetzte Produkte und Konfigurationen – aber auch auf die Organisation und die Zusammenarbeit verschiedener Teams, sowie Awareness- und Schulungsprogramme für die Mitarbeitenden.

Die folgenden 8 Schritte geben einen Überblick, was es zu tun gibt, wenn eines oder mehrere Systeme erfolgreich kompromittiert wurden.

1. Erstbeurteilung: Wir sind infiziert – aber womit?

Das Spektrum eines erfolgreichen Angriffs ist breit. Es reicht von der einfachen Malware, die ausschliesslich lokal einen begrenzten Schaden anrichtet, bis hin zum gezielten Angriff, welcher Ihre Systeme lahmlegen kann oder sich geschickt versteckt und über Monate hin Angreifern einen Zugriff auf Ihr Netzwerk verschafft. Idealerweise lässt sich die Tragweite eines Vorfalls früh erkennen.

Leitfragen:

  • Schlägt eine spezifische Sicherheitskomponente Alarm? Falls ja, die Support-Seite des entsprechenden Herstellers konsultieren für weiterführende Informationen zum Angriff/zur Malware.
  • Handelt es sich um einen bereits bekannten Angriff/bekannte Malware? Die Support-Seite und Datenbanken von AV-Herstellern bieten weiterführende Informationen.
  • Ist ein einzelnes System betroffen oder findet bereits eine Ausbreitung statt? Falls eine Ausbreitung stattfindet: Alle infizierten Systeme umgehend vom Netzwerk trennen (siehe Punkt 3).
  • Um welche Art von Angriff/Malware handelt es sich? Wie kritisch scheint der Incident? Was sind die Auswirkungen auf die betroffenen Komponenten? Je nach Antwort müssen verschiedene Notfall-Szenarien in Kraft treten.

Diese Fragen und Antworten helfen dabei, die nachfolgenden Schritte gezielt anzugehen und die richtigen Personen/Teams innerhalb der Organisation zu informieren.

Ist aufgrund eines Systemverhaltens von einem Malware-Befall auszugehen, es gibt jedoch keine expliziten Hinweise von Sicherheitslösungen auf eine bekannte Malware, sollte Ihr Unternehmen rasch professionelle Hilfe beiziehen. Das Gleiche gilt, wenn von einem gezielten Angriff ausgegangen werden muss. Gezielte Angriffe werden speziell auf Ihre Firma oder einzelne Personen innerhalb Ihrer Firma massgeschneidert. Ob es sich um einen gezielten Angriff handelt, lässt sich in dieser Phase der Analyse meistens nicht abschliessend beurteilen. Die Nichterkennung durch klassische Sicherheitslösungen könnte ein erstes Indiz dafür sein.

2. Alarmierung intern: Schlüsselpersonen und -abteilungen informieren

Je nach interner Organisation und Situation sind folgende Stellen zu informieren:

  • IT-Betriebs-Verantwortlicher: Zur Allokation von Ressourcen für die nächsten Schritte wie z. B. die Isolation und Wiederherstellung der betroffenen Systeme.
  • SOC: Falls ein SOC vorhanden ist, übernimmt dieses Team typischerweise die weitere Recherche zum Malware-Befall und die Suche nach weiteren infizierten Systemen. Ansonsten werden auch diese Aufgaben durch den IT-Betrieb übernommen.
  • IT-Security-Verantwortlicher: Je nach Situation und Verlauf übernimmt der/die IT-Security-Verantwortliche die Kommunikation mit dem Management. Der IT-Security-Verantwortliche entscheidet auch darüber, ob die Mitarbeitenden umgehend informiert werden müssen. Dies ist zum Beispiel der Fall, wenn gefährliche E-Mails im Umlauf sind und das Verhalten der Mitarbeitenden einen entscheidenden Einfluss auf den weiteren Verlauf des Vorfalls hat bzw. mögliche Neuinfektionen zur Folge haben kann.
  • Je nach Vorfall müssen auch Applikations- und Business-Verantwortliche informiert werden.

Kommunikation bleibt während der gesamten Vorfallbewältigung ein wichtiges Thema und muss vorgängig abgestimmt sein. Falls Systeme, Daten oder Services für Partner und Kunden betroffen sind, ist das Management zwingend zu involvieren, wie auch die entsprechenden Kommunikationsverantwortlichen.

3. Isolation: Eine Ausbreitung der Infektion verhindern

Infizierte Rechner oder das entsprechende Netzwerksegment sind umgehend und komplett vom Netz zu trennen, damit eine weitere Ausbreitung der Malware verhindert werden kann. Wichtig: Für allfällige weitere Analysen sollten die betroffenen Systeme jedoch nicht ausgeschaltet werden (siehe Punkt 6).

4. Aufklärung: Umfassende Recherche

Informationen über den Angriff bzw. die Malware helfen bei der Beurteilung für das weitere Vorgehen. Hersteller von Anti-Virus-Software bieten dazu jeweils weitreichende Informationen und Datenbanken, aber auch die Plattform virustotal.com ist eine gute Anlaufstelle. Wenn zum Vorfall keine solchen Informationen vorhanden sind oder Unsicherheiten bestehen, sollte man auf jeden Fall professionelle Hilfe beiziehen.

Bei der Recherche stehen folgende Fragen im Vordergrund:

  • Ist davon auszugehen, dass weitere Systeme befallen werden?
  • Wie können die infizierten Rechner vollständig bereinigt werden? Gibt es dazu bereits spezielle Tools?
  • Was sind typische Indicators of Compromise (IOCs)?
  • Wie können weitere Angriffe verhindert werden (z. B. mit Signaturen, Patches, Konfigurationsanpassungen auf Firewall/IPS)?
  • Welchen Zweck verfolgt die Malware bzw. mit welchen Schäden ist zu rechnen?

Ein weiterer Aspekt der berücksichtigt werden muss: Ein erkannter «Schädling» kann allenfalls auch als Transportmittel für eine unbekannte und viel gefährlichere Bedrohung verwendet werden. Darum sollte man auf jeden Fall auch bei einer bekannten Malware in Recherche investieren.

5. Netzwerk-Scan: Nach weiteren infizierten Komponenten suchen

Das Netzwerk muss zwingend nach weiteren infizierten Systemen durchsucht werden. Die Informationen aus Schritt 4 helfen potenziell infizierte Rechner ausfindig zu machen. Wenn die AV-Lösung mittlerweile die Malware erkennen kann, ist ein solcher Scan trivial. Andernfalls benötigen Sie eine Endpoint Detection & Response Lösung (EDR), welche alle Clients und Server auf die entsprechenden IOCs überprüfen kann. Es bleibt dabei, wenn es sich um eine unbekannte Malware handelt und kein zuverlässiger Scan möglich ist, sollte Ihr Unternehmen umgehend professionelle Unterstützung beiziehen. Mögliche externe Unternehmen, die hier Hilfestellung leisten können, sind vorgängig zu evaluieren, da sonst im Ernstfall sehr viel Zeit verloren geht. Werden weitere infizierte Systeme gefunden, müssen auch diese umgehend isoliert werden.

6. Spurensicherung: Analysematerial sicherstellen

Falls eine weiterführende Analyse des Angriffs in Betracht gezogen wird, müssen die infizierten Systeme entweder unberührt bleiben (mal abgesehen von der Isolation) oder die entsprechenden Daten müssen zuerst komplett sichergestellt werden (z. B. mittels Image). Für die Spurensicherung ist wichtig, dass die betroffenen Systeme unverändert bleiben, damit das Vorgehen der Angreifer möglichst vollständig und in seiner vollen Tragweite nachvollziehbar ist.

7. Wiederherstellung: Den normalen Betrieb wieder ermöglichen

Je nach Wichtigkeit der Systeme müssen diese nun rasch wiederhergestellt werden. Wir empfehlen klar ein komplettes Neuaufsetzen und Einspielen von Backups. Das gezielte Bereinigen von einzelnen Ordnern, Dateien und Registry-Keys ist riskant, da möglicherweise nicht alle infizierten Daten gelöscht werden.

8. Ursache beheben: Einfallstore schliessen

Es ist an dieser Stelle wichtig zu verstehen, was die Ursache der Infektion war. Allfällige Einfallstore, veraltete Signaturen oder Patch-Stände bzw. nicht aktuelle oder fehlerhafte Konfigurationen sind umgehend zu beheben, damit es zu keinen weiteren Infektionen kommen kann. Je nach Ursache und Dringlichkeit müssen diese Massnahmen bereits parallel zur Isolation durchgeführt werden bzw. sobald die entsprechenden Informationen vorliegen. Je nach Angriffsszenario müssen auch die Mitarbeitenden bzgl. korrektem Verhalten informiert bzw. geschult werden.

Diese 8 Schritte können nur dann effizient und erfolgreich durchgeführt werden, wenn sich das Unternehmen entsprechend vorbereitet – dazu später mehr. Widmen wir uns zuerst der Frage, ob mit der Ursachenbehebung der Vorfall bereits abgeschlossen werden kann oder ob in eine weiterführende Analyse investiert werden soll.


Wann sich eine weiterführende Analyse lohnt – Interview mit Experte Marc Ruef von scip

Die meisten Unternehmen konzentrieren sich im Ernstfall primär auf die Isolation und Wiederherstellung der infizierten Systeme. Die Prozesse dazu sind einfach, effizient und effektiv. Infizierte Systeme werden vom Netz getrennt und neu aufgesetzt bzw. mit einem aktuellen Backup bespielt.

Je nach Attacke – z. B. einem gezielten Angriff – kann es sinnvoll sein, den Incident weiter zu analysieren. Wer steckt hinter dem Angriff? Welche Schäden wurden angerichtet? Ist mit weiteren Angriffen zu rechnen? Sind zusätzliche Massnahmen erforderlich? Die Spurensicherung und eine weiterführende Analyse des Vorfalls sind jedoch sehr aufwändig und erfordern spezifisches Know-how und Tools. Aber wann lohnt es sich, einen Angriff genauer zu untersuchen und was gilt es dabei zu beachten? Ich frage dazu Marc Ruef, IT-Security Experte und Geschäftsleitungsmitglied bei der Firma scip AG.

Bei Malware-Befall wird empfohlen, die infizierten Systeme umgehend zu isolieren. Ist dieses Vorgehen immer korrekt? Wenn ein Angreifer schon länger im Netz ist, könnte er die Isolation bemerken und sich rechtzeitig zurückziehen.

In den letzten 20 Jahren konnten wir eine Zunahme bei der konsequenten Isolation beobachten. Dennoch tendieren viele Firmen noch immer dazu, das Risiko und die Auswirkungen eines Malware-Befalls zu unterschätzen. Stattdessen versucht man die Infektion punktuell zu bekämpfen, um Zeit und Geld zu sparen. Dies kann dazu führen, dass die Malware sich im Netz weiter ausbreiten kann. Zudem ist man bei einer Desinfektion nie sicher, ob diese auch wirklich erfolgreich und nachhaltig ist. Isolation und Neuinstallation sind deshalb immer empfohlen.

Dass ein Angreifer Gegenmassnahmen (Isolation, Forensik, Desinfektion) bemerken kann, ist durchaus möglich. Dies ist aber nur in den seltensten Fällen relevant, wenn es sich um eine professionelle und manuell getriebene Kompromittierung handelt. Die meisten Malware-Infektionen geschehen breitflächig und vollautomatisch. Die Angreifer haben weder Zeit noch Interesse, ad hoc zu reagieren.

Unternehmen müssen rasch wissen, welche Massnahmen zu treffen sind, wie die Malware korrekt und vollständig beseitigt werden kann. Welche Quellen und Tools helfen Unternehmen die richtigen Entscheidungen zu treffen?

Nachdem die betroffenen Komponenten isoliert wurden, können sie untersucht werden. Im Idealfall wird eine Kopie der betroffenen Datenträger erstellt und diese im Read-Only Modus analysiert. Herkömmliche Antiviren-Lösungen können dabei helfen, unkompliziert einen Grossteil möglicher Schädlinge auszumachen. Andernfalls muss mit viel Verständnis und Fingerspitzengefühl vorgegangen werden.

Sobald man den Namen der Malware hat, kann man eine Recherche angehen. Schwierig dabei ist, dass es keine einheitliche Namensgebung für Malware gibt: Jeder Antiviren-Hersteller hat seine eigene Bezeichnung. Sie alle bieten aber in der Regel frei zugängliche Datenbanken an, in denen man sich über die Malware informieren kann. Die bereitgestellten Informationen sind meist verlässlich und konklusiv.

Welche minimalen Vorbereitungen sollten Unternehmen für den «Ernstfall» treffen?

Grundlegend wichtig ist, dass frühzeitig und in aller Ruhe Prozesse definiert, spezifiziert und etabliert werden, wie bei einem Zwischenfall reagiert werden will. Denn beim Eintreffen eines solchen kommt stets auch Hektik einher. Das Bewahren eines kühlen Kopfes kann entscheidend sein. So gilt es zu regeln, wie mit den betroffenen Systemen umgegangen werden soll (Isolation und Analyse), welche weiteren Abklärungen und Massnahmen eingeleitet werden müssen, wann und wie es das Management zu informieren gilt und wie sowohl interne als auch externe Kommunikationspolitik auszusehen hat. All diese Punkte sind wichtig und dürfen nicht unterschätzt werden. Schliesslich gilt es nicht nur technische, sondern auch wirtschaftliche und reputationsspezifische Schäden zu vermeiden.

Damit der Betrieb schnellstmöglich wiederhergestellt werden kann, sollten Ersatzsysteme und -komponenten bereitstehen. Diese können aufgesetzt werden, während man sich mit der Infektion selbst beschäftigt.

Die meisten Unternehmen löschen infizierte Systeme bzw. setzen sie wieder neu auf. Dabei gehen IT-forensische Informationen verloren. Für wen und in welchen Fällen lohnt es sich, einen Angriff weiter zu analysieren?

Eine forensische Untersuchung, vor allem, wenn sie vor Gericht verwertbar sein soll, ist sehr aufwändig und kostspielig. Eine solche ist durch «Laien-Forensiker» nicht durchführbar. Obschon sich viele Betroffene eine professionelle forensische Untersuchung wünschen, lohnt sich diese in den wenigsten Fällen. Namentlich nur dann, wenn zielgerichtete Angriffe beobachtet wurden, die strafrechtlich verfolgt werden wollen.

Bei einer weiterführenden Analyse eines Angriffs: Was kann ein mittelständisches Unternehmen selbst tun? Wo ist externe Hilfe unabdingbar? Und kann man sich diese überhaupt leisten?

Das Wichtigste ist in der Regel, dass der Betrieb wieder gewährleistet werden kann. Das betroffene System zu isolieren und ein neues System aufzubauen, kann sofort durch die hauseigenen IT-Administratoren angegangen werden. Falls Zeit und Bedarf gegeben sind, können erste Analysen der Infektion vorgenommen werden. Falls zu einem späteren Zeitpunkt eine professionelle Forensik verlangt wird, darf die initiale Analyse nicht auf dem Live-System erfolgen, sondern muss auf einer Kopie stattfinden. Andernfalls könnten Spuren verfälscht oder verwischt werden.

Das Erstellen einer Sicherheitskopie betroffener Komponenten ist mit Bordmitteln von Linux einfach umzusetzen, erfordert aber ein relativ hohes Verständnis und vor allem zwingend Disziplin. Professionelle Software für das Anlegen eines forensischen Klons ist hilfreich, kann aber teuer sein. Hier lohnt es sich allenfalls, einen externen Partner mit entsprechender Spezialisierung beizuziehen.
Professionelle Hilfe muss nicht zwingend mit hohen Aufwänden und Kosten verbunden sein. Punktuelle Empfehlungen und ein Vier-Augen-Prinzip können schnell und unkompliziert helfen, einen Zwischenfall effizient und effektiv abzuarbeiten.

Zum Abschluss drei kurze Fragen/Antworten:

 

Ransomware und kein aktuelles Backup – Lösegeld zahlen, oder nicht?

Zahlen löst das Problem nicht. Zahlen verschafft aber meistens Zeit.

 

Mehr Prevention oder mehr Detection?

Je mehr Prevention, desto weniger Detection ist erforderlich.

 

Mehr Sicherheit auf dem Endpoint oder im Netzwerk?

Beides ist erforderlich. Endpoint-Security kann aber meistens mehr.

Marc Ruef verfügt über mehr als 20 Jahre Erfahrung im Bereich der IT-Security. Er ist Autor von zahlreichen Büchern, Beiträgen und Blogartikeln, war lange Zeit als Security Consultant tätig und für den Aufbau von Teams zur Durchführung von technischen Security Audits und Vulnerability Assessments verantwortlich. Bei seinen Arbeiten im Bereich der Software-Entwicklung stehen neue Methoden und Systeme zur Umsetzung und Erleichterung von Sicherheitsüberprüfungen im Mittelpunkt. Seit 2004 ist Marc Ruef Mitinhaber der Firma scip AG, einem Spezialisten für Informationssicherheit mit Fokus auf Security-Beratung, Cyber-Security-Strategien und Penetration Testing.


Nach dem Angriff ist vor dem Angriff

Die Vorbereitung für einen solchen Ernstfall ist entscheidend. Organisationen wie SANS und NIST definieren für Security Incident Response eine eigene Vorbereitungsphase. Diese Phase befasst sich mit den Checklisten, Tools und Ressourcen, sowie der Ausbildung, welche benötigt werden, um effektiv auf Security Incidents reagieren zu können. Die Kommunikation zwischen den Team-Mitgliedern und dem restlichen Unternehmen sollte geplant und vorbereitet sein.

Wo externe Firmen beigezogen werden, ist es wichtig, dass die Kontakte vorhanden und aktuell sind. Hier kann sehr viel Zeit verloren gehen, wenn Unternehmen im Ernstfall zuerst einmal professionelle Hilfe suchen müssen. Man sollte sich bereits in der Vorbereitungsphase mit ein, zwei möglichen externen Spezialisten unterhalten und auch SLA in Bezug auf Reaktions- und Bearbeitungszeiten klären bzw. definieren.

Nach der Bereinigung sollte ein Vorfall mit allen Beteiligten im Team besprochen und analysiert werden. Was muss beim nächsten Mal besser werden? Welche Informationen haben gefehlt? Welche Schritte müssen effizienter durchführbar sein? Werden zusätzliche Checklisten oder Tools benötigt? Sind alle notwendigen Schnittstellen/Kontakte aktuell?


Ohne Erkennung keine Bereinigung

Nicht jeder Angriff zeigt sich so deutlich wie NotPetya, nicht jede Malware wird offensichtlich erkannt. Gewisse Attacken zielen darauf ab, unentdeckt zu bleiben, Informationen zu sammeln, sich im Netz auszubreiten und dem Angreifer nachhaltig Zugriff auf Systeme und Daten in Ihrem Unternehmen zu verschaffen. Von durchschnittlich 270 Tagen ist die Rede, bis infizierte Rechner im Netzwerk gefunden werden. Das ist eine Menge Zeit um viel Unheil anzurichten.

Präventive Massnahmen wie Firewalls, Sandboxing oder Anti-Viren-Lösungen sind wichtig. Sie sorgen dafür, dass das Risiko für einen Malware-Befall minimiert wird. 100% Sicherheit ist damit jedoch nicht zu erreichen, egal wieviel Geld Unternehmen für solche Produkte ausgeben. Gerade neue Bedrohungen und gezielte Angriffe können auch bei einer gut durchdachten und korrekt konfigurierten IT-Security-Systemlandschaft einen Weg ins Unternehmen finden.

Es gilt daher, neben präventiven Massnahmen auch Lösungen für die Erkennung von Infektionen einzusetzen. Solche Lösungen können im Netzwerk eingesetzt werden (Network Detection & Response (NDR)) oder direkt auf dem Endpoint (Endpoint Detection & Response (EDR)). Diese Lösungen gibt es in der Regel auch als Managed-Variante (MDR), damit Unternehmen bei der Analyse und Beurteilung der Vorfälle von der Expertise der Hersteller profitieren können.

Nur eine Kombination aus präventiven Massnahmen und Detection sorgt für eine optimale Robustheit gegen moderne Cyber-Attacken. Letzteres trägt dem Umstand Rechnung, dass Prävention keine absolute Sicherheit bieten kann und unterstützt dabei, die Verweildauer von Angreifern im Unternehmensnetz auf ein Minimum zu reduzieren.


Echte Sicherheit ist mehrschichtig

Unternehmen haben in der Regel viele Produkte im Einsatz, welche präventiv eine Cyber-Attacke verhindern können. Das ist gut so und bildet eine erste wichtige Abwehrlinie gegen Angriffe.

Was aber häufig fehlt, sind Konzepte und Lösungen, welche eine Infektion im Netzwerk oder auf dem Endpoint erkennen können. So oder so braucht es in jedem Fall Prozesse, Checklisten und Tools um im Ernstfall schnell und richtig reagieren zu können. Die 8 Schritte und weiteren Informationen in diesem Artikel dienen als Leitfaden dafür, bedürfen aber einer eingehenden Vorbereitung.

Nach gut einer Woche Ausfall und einer spektakulären Rettungsaktion für das IT-Netzwerk kehrt in den wichtigsten Geschäftsprozessen von Maersk langsam wieder Normalität ein. Nach zwei Wochen beginnt Maersk damit, die breite Belegschaft mit neuen Rechnern auszurüsten und diese wieder ans Netzwerk anzuschliessen. Gemäss dem dänischen Logistik- und Transport-Unternehmen beläuft sich der Schaden dieses Vorfalls auf mehr als 300 Millionen USD. Es hätte weitaus schlimmer kommen können für Maersk, wenn man im entfernten Ghana nicht noch einen Domain Controller gefunden hätte, welcher von der Malware NotPetya glücklicherweise verschont geblieben war.

Ein guter Grund, Ihre aktuelle IT-Security zu überdenken und mit wenigen gezielten Massnahmen und Investitionen die eigene Robustheit gegen Cyber-Angriffe nachhaltig und wirksam zu verbessern.


Links