CVE-2024-30314 (Last Update: 16.05.2024 11:36) - Products: Dreamweaver Desktop - Info: Git local configuration leading to Arbitrary Code Execution upon opening .ste file || CVE-2024-29990 (Last Update: 14.05.2024 16:24) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21334 (Last Update: 08.05.2024 22:04) - Products: System Center Operations Manager (SCOM) 2019, System Center Operations Manager (SCOM) 2022, Open Management Infrastructure - Info: Open Management Infrastructure (OMI) Remote Code Execution Vulnerability || CVE-2024-21400 (Last Update: 08.05.2024 22:04) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-0057 (Last Update: 16.04.2024 17:09) - Products: .NET 8.0, .NET 7.0, .NET 6.0, Microsoft Visual Studio 2022 version 17.2, Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10), Microsoft Visual Studio 2022 version 17.4, Microsoft Visual Studio 2022 version 17.6, Microsoft Visual Studio 2022 version 17.8, NuGet 5.11.0, NuGet 17.4.0, NUGET 17.6.0, NuGet 17.8.0, PowerShell 7.2, PowerShell 7.3, PowerShell 7.4, Microsoft .NET Framework 4.8, Microsoft .NET Framework 3.5 AND 4.8, Microsoft .NET Framework 3.5 AND 4.7.2, Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 3.5 AND 4.8.1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2 - Info: NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability || CVE-2024-21326 (Last Update: 16.04.2024 17:09) - Products: Microsoft Edge (Chromium-based) - Info: Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability || CVE-2024-21410 (Last Update: 11.04.2024 19:33) - Products: Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13, Microsoft Exchange Server 2019 Cumulative Update 14 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2024-21403 (Last Update: 11.04.2024 19:33) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21376 (Last Update: 11.04.2024 19:33) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability || CVE-2024-21364 (Last Update: 11.04.2024 19:33) - Products: Azure Site Recovery - Info: Microsoft Azure Site Recovery Elevation of Privilege Vulnerability || CVE-2024-21413 (Last Update: 11.04.2024 19:33) - Products: Microsoft Office 2019, Microsoft 365 Apps for Enterprise, Microsoft Office LTSC 2021, Microsoft Office 2016 - Info: Microsoft Outlook Remote Code Execution Vulnerability || CVE-2024-21401 (Last Update: 11.04.2024 19:33) - Products: Entra - Info: Microsoft Entra Jira Single-Sign-On Plugin Elevation of Privilege Vulnerability || CVE-2024-20758 (Last Update: 10.04.2024 11:49) - Products: Adobe Commerce - Info: [Adobe Cloud] RCE through frontend gift registry sharing || CVE-2023-24943 (Last Update: 09.04.2024 16:44) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 10 Version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability || CVE-2023-24941 (Last Update: 09.04.2024 16:44) - Products: Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Network File System Remote Code Execution Vulnerability || CVE-2023-44324 (Last Update: 15.03.2024 16:38) - Products: Adobe Framemaker Publishing Server - Info: ZDI-CAN-21344: Adobe FrameMaker Publishing Server Authentication Bypass Vulnerability || CVE-2024-20738 (Last Update: 15.03.2024 16:32) - Products: Adobe Framemaker Publishing Server - Info: Adobe FrameMaker Publishing Server Authentication Bypass Vulnerability | CVE-2023-44324 bypass || CVE-2023-21709 (Last Update: 12.03.2024 16:51) - Products: Microsoft Exchange Server 2019 Cumulative Update 12, Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2023-35385 (Last Update: 12.03.2024 16:51) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability || CVE-2023-36911 (Last Update: 12.03.2024 16:51) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability ||

Cyberangriffe sind eine ernstzunehmende Bedrohung, die Unternehmen jeder Größe treffen können. Besonders Ransomware-Angriffe, bei denen Hacker die Systeme eines Unternehmens verschlüsseln und Lösegeld für die Entschlüsselung oder um eine Veröffentlichung zu verhindern fordern, können verheerende Auswirkungen haben. In diesem Blogbeitrag geht Jens Decker darauf ein, wie Sie in einer solchen Krisensituation reagieren sollten.

Sofortige Maßnahmen bei Cyberangriffen

1. Identifizieren und Isolieren Sie die betroffenen Systeme

Der erste und wichtigste Schritt bei einem Ransomware-Angriff ist die schnelle Isolation der betroffenen Systeme, idealerweise schalten Sie die Systeme direkt aus! Dies bedeutet, dass alle infizierten Computer, Server und Netzwerkgeräte so schnell wie möglich vom Unternehmensnetzwerk getrennt werden sollten. Durch diese Maßnahme wird die Ausbreitung der Malware eingedämmt und der Schaden begrenzt. Ein Team von IT-Sicherheitsexperten kann Ihnen dabei helfen, die betroffenen Systeme zu identifizieren und sicher vom Netzwerk zu trennen. Sie können auch sicherstellen, dass keine weiteren Systeme kompromittiert werden, während Sie an der Behebung des Problems arbeiten.

2. Informieren Sie die Geschäftsleitung

Sobald die unmittelbare Bedrohung eingedämmt ist, muss die Geschäftsleitung informiert werden. Sie ist für die strategischen Entscheidungen verantwortlich und sollte daher über den Vorfall und die daraus resultierenden Risiken für das Unternehmen im Klaren sein. Ein erfahrener Berater im Bereich der Cybersicherheit kann in dieser Phase wertvolle Unterstützung bieten. Er oder sie kann dabei helfen, den Schaden zu bewerten, die finanziellen und rechtlichen Risiken abzuschätzen und einen Aktionsplan für die nächsten Schritte zu entwickeln.

3. Kontaktieren Sie Experten

Der nächste Schritt ist die Einbindung von IT-Sicherheitsexperten, die sich auf die Bekämpfung von Ransomware spezialisiert haben. Diese Experten können eine detaillierte Analyse der Situation durchführen, um die Art der Ransomware, den Umfang des Angriffs und die potenziellen Auswirkungen auf Ihr Unternehmen zu verstehen. Basierend auf dieser Analyse können sie einen maßgeschneiderten Aktionsplan entwickeln, der die Wiederherstellung der Systeme, die Entfernung der Malware und die Stärkung der Sicherheitsmaßnahmen umfasst.

4. Melden Sie den Vorfall bei den Behörden

Cyberangriffe sind nicht nur eine Bedrohung für Ihr Unternehmen, sondern auch ein Straftatbestand. Daher ist es wichtig, den Vorfall bei den zuständigen Strafverfolgungsbehörden zu melden. Dies kann dazu beitragen, die Täter zu identifizieren und zur Rechenschaft zu ziehen. Außerdem können die Behörden wertvolle Informationen und Unterstützung bieten, um den Angriff zu bewältigen und zukünftige Angriffe zu verhindern. Ein Beratungsunternehmen mit Erfahrung im Bereich der Cybersicherheit kann Sie durch diesen Prozess führen und sicherstellen, dass alle erforderlichen Informationen korrekt und vollständig gemeldet werden.

Weitere Schritte

1. Dokumentation

Die Dokumentation ist ein kritischer Aspekt im Umgang mit Cyberangriffen. Jeder Schritt, jede Kommunikation und jede Aktion, die unternommen wird, sollte sorgfältig dokumentiert werden – legen Sie sich ein Notfall Tagebuch an und ernennen Sie einen Kollegen als Verantwortlichen hierfür. Dies schließt E-Mails, Telefonanrufe und interne Memos ein. Diese Informationen sind nicht nur für die interne Überprüfung wichtig, sondern können auch für rechtliche oder forensische Untersuchungen entscheidend sein. Ein spezialisiertes Beratungsunternehmen kann Sie dabei unterstützen, ein strukturiertes Dokumentationsverfahren einzurichten und sicherzustellen, dass alle relevanten Daten korrekt und sicher gespeichert werden.

2. Kommunikation

Die Kommunikation ist in Krisensituationen von entscheidender Bedeutung. Ein gut durchdachter Kommunikationsplan sollte entwickelt werden, um sicherzustellen, dass alle Mitarbeiter, Stakeholder und eventuell auch Kunden und die Öffentlichkeit korrekt informiert werden. Dies minimiert das Risiko von Fehlinformationen und Panik und stellt sicher, dass alle Beteiligten wissen, wie sie sich verhalten sollen. Wir nutzen zum Beispiel „Threema Work“ (https://threema.ch/de/work), auf dem wir unseren Kunden im Falle eines Angriffs eine gesicherte interne Kommunikation sicherstellen können.

3. Bewertung des Schadens

Die Bewertung des Schadens ist ein komplexer, aber notwendiger Prozess. Dies umfasst die Identifizierung der betroffenen Systeme, die Einschätzung des Datenverlusts und die Bewertung der finanziellen und geschäftlichen Auswirkungen. Experten mit Erfahrung in der Cyberforensik können eine detaillierte Analyse durchführen, um den vollen Umfang des Schadens zu verstehen. Auf dieser Grundlage kann ein maßgeschneiderter Wiederherstellungsplan entwickelt werden.

4. Wiederherstellung

Die Wiederherstellung der Systeme ist ein mehrstufiger Prozess, der von der Art des Angriffs und dem Ausmaß des Schadens abhängt. Dies kann die Wiederherstellung von Backups, die Neuinstallation von Betriebssystemen und Anwendungen sowie die Implementierung neuer Sicherheitsmaßnahmen umfassen.

5. Verhandlung mit den Angreifern

Die Frage, ob ein Lösegeld gezahlt werden sollte, ist heikel und komplex. In der Regel wird davon abgeraten, da dies zukünftige Angriffe fördern könnte. Wenn jedoch die Entscheidung getroffen wird, in Erwägung zu ziehen, das Lösegeld zu zahlen, sollte dies nur in enger Absprache mit Experten für Cybersicherheit und Rechtsanwälten erfolgen. Diese können Sie bei der Kommunikation mit den Angreifern unterstützen und sicherstellen, dass alle rechtlichen Aspekte berücksichtigt werden.

Rechtliche Schritte

1. Rechtsberatung

Die rechtlichen Aspekte eines Cyberangriffs sind komplex und erfordern spezialisierte Kenntnisse. Ein Anwalt, der sich auf Cyberkriminalität und Datenschutzrecht spezialisiert hat, ist unerlässlich, um Sie durch den rechtlichen Prozess zu führen. Dies beinhaltet die Beratung zu möglichen Straf- und Zivilklagen, die gegen Ihr Unternehmen erhoben werden könnten, sowie die Unterstützung bei der Interaktion mit Strafverfolgungsbehörden und Versicherungen. Der Anwalt kann auch sicherstellen, dass alle gesetzlichen Verpflichtungen, wie die Meldung des Vorfalls an die zuständigen Behörden, korrekt erfüllt werden.

2. Datenschutz

Wenn durch den Cyberangriff persönliche Daten kompromittiert wurden, sind Sie gesetzlich verpflichtet, dies den Datenschutzbehörden und den betroffenen Personen zu melden. Die Meldefristen und -anforderungen können je nach Jurisdiktion variieren. Ein Datenschutzexperte kann Sie dabei unterstützen, die spezifischen Anforderungen zu verstehen und sicherzustellen, dass Sie alle gesetzlichen Verpflichtungen erfüllen. Dies kann auch die Entwicklung eines Plans zur Benachrichtigung der betroffenen Personen und zur Minimierung des Risikos zukünftiger Datenschutzverletzungen umfassen.

3. Versicherung

Falls Ihr Unternehmen eine Cyber-Versicherung abgeschlossen hat, ist es entscheidend, den Vorfall so schnell wie möglich zu melden. Versicherungspolicen für Cyber-Risiken können eine Reihe von Kosten abdecken, darunter die Wiederherstellung von Daten, rechtliche Gebühren und sogar Lösegeldzahlungen. Es ist jedoch wichtig, den genauen Deckungsumfang zu klären, da nicht alle Policen die gleichen Risiken abdecken. Ein Versicherungsexperte kann Sie dabei unterstützen, den Umfang Ihrer Police zu verstehen und die notwendigen Schritte für die Einreichung eines Anspruchs zu unternehmen.

Fazit

Ein Ransomware-Angriff ist eine ernste Krise, die schnelles und professionelles Handeln erfordert. Durch die Befolgung dieser Schritte können Sie den Schaden minimieren und Ihre Chancen auf eine erfolgreiche Wiederherstellung Ihrer Systeme erhöhen. Für professionelle Unterstützung in jeder Phase des Prozesses stehen Experten zur Verfügung, die Ihnen helfen können, diese schwierige Zeit zu überstehen.

Wie so ein Angriff ablaufen kann, lesen Sie in diesem Beitrag: Cyber-Kriegsgebiet: Einblicke in die ersten 48 Stunden im Zentrum eines Cyberangriffs und wie wichtig die Rolle Ihres Managements schon in der Vorbereitung ist haben wir Ihnen hier gezeigt: Cybersecurity: Die Rolle des Managements.

In dieser Serie behandeln wir, wie Sie die Sicherheit erhöhen können und was Sie als IT-Entscheider tun sollten: IT-Sicherheit im Unternehmen: Wie Sie als Entscheider effektiv handeln können