Schutz vor Ransomware: Prävention, Reaktion und Wiederherstellung
Ransomwareangriffe sind allgegenwärtig und es ist für Unternehmen essenziell, sich gut vorzubereiten, um sich vor den wachsenden Bedrohungen durch digitale Erpressung zu schützen. Von regelmäßigen Backups über die Absicherung der Netzwerksysteme bis hin zu Schulungen der Mitarbeiter – präventive technische und organisatorische Maßnahmen sind der Schlüssel zur Vermeidung von Angriffen. Aber auch aus rechtlicher Perspektive gilt es Einiges an Vorarbeit zu leisten, um vorbereitet zu sein. Erfahren Sie, wie Sie Ihr Unternehmen optimal schützen und wie Sie im Ernstfall reagieren sollten.
Was ist Ransomware?
Ransomware ist eine Form von Schadsoftware, die darauf abzielt, unternehmenskritische Daten zu verschlüsseln oder den Zugang zu IT-Systemen zu blockieren, bis ein Lösegeld gezahlt wird. Unternehmen werden dadurch oft in ihrer Betriebsfähigkeit massiv eingeschränkt. Daneben werden in der Regel auch unternehmensinterne Daten aus den betroffenen Systemen abgezogen, (etwa bei Vorhandensein von Backups) neben der Verschlüsselung auch mit der Veröffentlichung der Daten zu drohen. Die Angreifer fordern in der Regel Zahlungen in Kryptowährungen, um ihre Spuren zu verwischen. Ransomware wird häufig durch Phishing-E-Mails, unsichere Software oder Sicherheitslücken in Netzwerken eingeschleust.
Für Unternehmen sind die potenziellen Auswirkungen dramatisch: Betriebsunterbrechungen, Datenverluste und finanzielle Einbußen können die Folge sein, oft verbunden mit hohen Wiederherstellungskosten und einem Imageschaden. Daneben besteht das Risiko von Schadensersatzforderungen von betroffenen Personen, Kunden und Auftraggebern sowie ggf. auch von einem Tätigwerden der Datenschutz-Aufsichtsbehörden, insb. wenn der Angriff auf mangelnde Datenschutz- und Sicherheitsmaßnahmen zurückzuführen sein kann.
Welche Arten von Ransomware gibt es?
Es gibt verschiedene Arten von Ransomware, die Unternehmen bedrohen können. Oft kombinieren Angreifer die Verschlüsselung von Daten mit der Drohung, gestohlene Daten zu veröffentlichen. Unternehmen, die das Lösegeld nicht zahlen, laufen nicht nur Gefahr, den Zugriff auf ihre Daten zu verlieren, sondern auch mit einem Reputationsverlust und möglichen rechtlichen Konsequenzen durch die Veröffentlichung vertraulicher Informationen konfrontiert zu werden.
Zunehmend verbreitet ist das Konzept der Ransomware as a Service (RaaS): Dabei werden fertige Ransomware-Produkte über das Darknet angeboten. So können auch Kriminelle ohne vertiefte technische Fähigkeiten Ransomware-Angriffe ausführen, indem sie die quasi fertige Softwarelösung Schadsoftwareentwickler einkaufen. Das macht die Bedrohung durch Ransomware für Unternehmen noch unberechenbarer und erhöht die Zahl der potenziellen Angreifer enorm.
Wie läuft ein Ransomware-Angriff ab?
Ein Ransomware-Angriff erfolgt in mehreren Schritten. Hier ist eine typische Abfolge:
Initiale Infektion
Der Angriff beginnt in der Regel mit einer Infektion, die meist über Phishing-E-Mails, manipulierte Anhänge oder bösartige Links erfolgt. Auch infizierte Software-Downloads oder das Ausnutzen von Sicherheitslücken in veralteten Systemen können den Einstieg ermöglichen.
Ausbreitung im Netzwerk
Sobald die Ransomware in das System eingedrungen ist, versucht sie, sich im Unternehmensnetzwerk weiter auszubreiten. Dies geschieht häufig durch die Nutzung von Sicherheitslücken oder schwachen Passwörtern. Die Schadsoftware kann sich schnell auf mehrere Geräte und Server ausbreiten, um möglichst viele Systeme zu infizieren.
Datenabzug
Oft bewegen sich die Angreifer dabei monatelang unerkannt im System und identifizieren Daten, deren Extraktion sich lohnen würde, um aus den erbeuteten Daten selbst Wert zu schöpfen (z.B. durch deren Verkauf), oder der Erpressung durch angedrohte Veröffentlichung Nachdruck zu verleihen. Oft werden hier schrittweise Daten in kleinen Mengen abgezogen, sodass Sicherheitssysteme keinen Alarm beim Abzug großer Datenmengen schlagen.
Verschlüsselung der Daten
Erst im nächsten Schritt beginnt die Ransomware, kritische Unternehmensdaten oder ganze Systeme zu verschlüsseln. Die Daten sind nun ohne den Entschlüsselungsschlüssel unbrauchbar, und der normale Geschäftsbetrieb wird stark beeinträchtigt.
Forderung von Lösegeld
Nachdem die Daten verschlüsselt wurden, wird eine regelmäßig eine Lösegeldforderung an das betroffene Unternehmen gesendet. Die Angreifer verlangen in der Regel eine Zahlung in Kryptowährungen (wie Bitcoin), um die Entschlüsselung der Daten anzubieten.
Androhung zusätzlicher Konsequenzen
In vielen Fällen drohen die Angreifer zusätzlich, sensible Unternehmensdaten zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Dies wird als Double Extortion bezeichnet und erhöht den Druck auf das Unternehmen, da nicht nur Datenverlust, sondern auch Reputationsschäden drohen.
Unverbindliches Erstgespräch zum Thema Cyberangriffe & Ransomware
Führen Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Rechtsanwält:innen, um gemeinsam Ihre Situation und Ihren Beratungsbedarf zu erörtern und – falls nötig – schnell zu handeln!
Was sollte man im Falle eines Ransomware-Angriffs tun?
Wenn ein Ransomware-Angriff auf ein Unternehmen erfolgt, ist schnelles und gezieltes Handeln entscheidend, um den Schaden zu minimieren. Hier sind die wichtigsten Schritte, die im Falle eines Angriffs unternommen werden sollten:
Systeme sofort isolieren
Sobald der Angriff entdeckt wird, sollten die betroffenen Systeme sofort vom Netzwerk getrennt werden. Dies verhindert, dass sich die Ransomware auf weitere Systeme oder Server im Unternehmensnetzwerk ausbreitet. Alle infizierten Geräte sollten offline genommen und isoliert werden.
IT- und Sicherheitsteam informieren
Das interne IT- und Sicherheitsteam muss unverzüglich über den Vorfall informiert werden. In vielen Fällen wird es notwendig sein, externe IT-Sicherheitsexperten hinzuzuziehen, die auf Cyberangriffe und Incident Response spezialisiert sind. Eine schnelle Reaktion durch Fachleute kann dabei helfen, den Angriff besser einzugrenzen.
Den Angriff dokumentieren
Jeder Schritt des Angriffs sollte so detailliert wie möglich dokumentiert werden. Dazu gehören die Art der Ransomware, die Lösegeldforderungen und die betroffenen Systeme. Diese Informationen sind wichtig für die spätere Analyse, das Melden des Vorfalls und eventuelle Versicherungsansprüche.
Kontakt zu Behörden und Aufsichtsbehörden herstellen
In vielen Fällen ist es ratsam, Strafverfolgungsbehörden wie die Polizei oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu informieren. Bei Datenschutzverletzungen muss zudem in der Regel die zuständige Datenschutzbehörde kontaktiert werden. Ggf. müssen auch Personen, deren personenbezogene Daten vom Angriff betroffen sind, direkt informiert werden.
Backup-Strategien überprüfen
Es sollte geprüft werden, ob aktuelle und nicht infizierte Backups der betroffenen Systeme und Daten vorhanden sind. Sofern saubere Backups existieren, können die Daten daraus wiederhergestellt werden. Zumindest der Schaden aus der Verschlüsselung kann so begrenzt werden.
Nicht sofort zahlen
Eine Zahlung des Lösegelds sollte nicht die erste Option sein. Es gibt keine Garantie, dass die Angreifer nach der Zahlung den Entschlüsselungsschlüssel bereitstellen, die Lösegeldforderung nachträglich erhöhen oder dass keine weiteren Angriffe folgen. Es ist wichtig, die Situation zunächst genau zu bewerten und mit Fachleuten zu besprechen, bevor eine Entscheidung getroffen wird. Auch sollten die rechtlichen Implikationen einer Lösegeldzahlung geprüft werden.
IT-Sicherheit verstärken
Nach der Bewältigung des Vorfalls sollten Unternehmen ihre IT-Sicherheitsmaßnahmen verstärken, um zukünftige Angriffe zu verhindern. Dazu gehören regelmäßige Sicherheitsaudits, Schulungen für Mitarbeiter, die Implementierung von Sicherheitssoftware und die Überarbeitung von Backup-Strategien.
Ein gut durchdachter Notfallplan für Ransomware-Angriffe kann dabei helfen, den Schaden zu minimieren und die Geschäftskontinuität so schnell wie möglich wiederherzustellen.
Kommunikation mit Geschäftspartnern, Kunden und Beschäftigten
Neben der Meldung an Aufsichtsbehörden ist auch eine gute Kommunikation nach innen und außen vonnöten. Beschäftigte müssen informiert werden und es sollte auch klare Sprachregelungen für eine etwaige Außenkommunikation geben. Auch Geschäftspartner müssen oder sollten ggf. informiert werden. Insbesondere wenn das angegriffene Unternehmen Dienstleister und Auftragsverarbeiter ist, kann hier eine unverzügliche Information rechtlich erforderlich sein. Gute Kommunikation hilft dabei, rechtlichen Pflichten zu genügen, PR-Schäden gering zu halten und ggf. Ansprüche im Nachgang zu vermeiden.
Ist ein Ransomware-Angriff ein Datenschutzvorfall und muss ich ihn melden?
Ja, ein Ransomware-Angriff ist in aller Regel ein meldepflichtiger Datenschutzvorfall, da fast immer auch personenbezogene Daten betroffen sind und in der Gesamtschau meist ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen besteht. In diesem Fall muss der Vorfall grds. innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Auftragsverarbeiter müssen hingegen insb. die Verantwortlichen (ihre Auftraggeber) informieren.
Zusätzlich müssen ggf. die betroffenen Personen informiert werden, wenn der Vorfall ein hohes Risiko für sie darstellt, etwa bei möglichen Folgen wie Identitätsdiebstahl oder finanziellem Verlust.
Gerade im Falle von Auftragsverarbeitern gibt es regelmäßig schwierige Doppelkonstellationen, da bei einem großflächigen Ransomwareangriff oft sowohl Daten betroffen sind, die der Auftragsverarbeiter im Auftrag verarbeitet (Daten seiner Auftraggeber) als auch Daten, die er in eigener Verantwortlichkeit verarbeitet (z.B. Daten seiner eigenen Beschäftigten). Hier gilt es sorgsam zu prüfen, wem gegenüber welche Pflichtinformationen zu erbringen sind.
Es ist daher entscheidend, den Vorfall schnell und strukturiert zu bewerten, um alle rechtlichen Pflichten zu erfüllen und mögliche Sanktionen und Ersatzansprüche zu vermeiden.
Können nach einem Angriff Bußgelder oder Schadensersatzforderungen für das angegriffene Unternehmen drohen?
Ja, nach einem Ransomware-Angriff können sowohl Bußgelder als auch Schadensersatzforderungen für das betroffene Unternehmen drohen. Wenn der Angriff zu einer Verletzung des Schutzes personenbezogener Daten führt und das Unternehmen seinen Pflichten aus der DSGVO (z. B. Meldung des Vorfalls, Ergreifen geeigneter technischer und organisatorischer Maßnahmen) nicht nachkommt, kann die Datenschutzbehörde Bußgelder verhängen. Auch können Bußgelder für die zum Erfolg des Angriffs führenden Datenschutz- und IT-Sicherheitsmängel drohen.
Darüber hinaus können betroffene Personen Schadensersatzforderungen stellen, wenn sie durch den Datenschutzvorfall konkrete Schäden erlitten haben, wie z. B. Identitätsdiebstahl, finanzielle Verluste oder Rufschädigung. Um diese Risiken zu minimieren, ist es entscheidend, präventive Sicherheitsmaßnahmen zu ergreifen und im Falle eines Angriffs schnell und korrekt zu handeln.
Auch können z.B. Auftraggeber Ansprüche geltend machen für Schäden, die sie aufgrund der (temporären) Nichtverfügbarkeit der Daten und Systeme erlitten haben, wenn bspw. eine gewisse Verfügbarkeit der Systeme vertraglich zugesichert wurde.
Unverbindliches Erstgespräch zum Thema Cyberangriffe & Ransomware
Führen Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Rechtsanwält:innen, um gemeinsam Ihre Situation und Ihren Beratungsbedarf zu erörtern und – falls nötig – schnell zu handeln!
Wiederherstellung der Daten nach einem Ransomware-Angriff
Die Wiederherstellung von Daten nach einem Ransomware-Angriff ist ein kritischer Schritt, um den Geschäftsbetrieb eines Unternehmens wieder aufzunehmen. Hier sind die wichtigsten Maßnahmen, die dabei berücksichtigt werden sollten:
Prüfung der Backups
Der wichtigste Schritt bei der Datenwiederherstellung ist die Nutzung von Backups, die vor dem Angriff erstellt wurden. Es ist entscheidend, dass diese Backups aktuell und unversehrt sind. Die Wiederherstellung darf dabei nur von Backups erfolgen, die nicht ebenfalls von der Ransomware infiziert wurden.
Schrittweise Wiederherstellung der Systeme
Um sicherzustellen, dass die Ransomware nicht erneut auf das System zugreift, sollten die wiederhergestellten Systeme schrittweise und unter strikter Überwachung hochgefahren werden. Dies ermöglicht die Identifizierung möglicher Sicherheitslücken und das sofortige Eingreifen, falls erneut eine Bedrohung auftritt.
Überprüfung auf verbleibende Schadsoftware
Bevor die Systeme vollständig in den Regelbetrieb zurückkehren, muss eine gründliche Überprüfung auf verbleibende Schadsoftware durchgeführt werden. Dies beinhaltet den Einsatz von Antivirenprogrammen und spezialisierten Tools zur Erkennung von Ransomware. Auch Netzwerk-Logs sollten analysiert werden, um sicherzustellen, dass keine Rückstände der Ransomware verbleiben.
Wiederherstellung kritischer Daten
Unternehmen sollten priorisieren, welche Daten und Systeme zuerst wiederhergestellt werden müssen, um den Geschäftsbetrieb so schnell wie möglich fortzusetzen. Kritische Daten und Anwendungen sollten daher als erstes wiederhergestellt und getestet werden.
Überprüfung der Integrität wiederhergestellter Daten
Nachdem die Daten wiederhergestellt wurden, ist es wichtig, deren Integrität und Vollständigkeit zu überprüfen. Dabei sollte sichergestellt werden, dass keine Daten beschädigt wurden und alle notwendigen Dateien verfügbar sind. Fehlende oder beschädigte Daten müssen, wenn möglich, aus weiteren Backups wiederhergestellt werden.
Kommunikation mit betroffenen Stakeholdern
Sobald die Systeme und Daten wiederhergestellt sind, sollte eine Kommunikation mit relevanten Stakeholdern wie Kunden, Geschäftspartnern und Mitarbeitern erfolgen, um über den Stand der Wiederherstellung und eventuelle weitere Schritte zu informieren.
Die erfolgreiche Wiederherstellung nach einem Ransomware-Angriff hängt von der Vorbereitung und der Qualität der bestehenden Sicherheitsmaßnahmen ab. Unternehmen sollten daher präventiv handeln, um Ausfallzeiten und Datenverluste zu vermeiden.
Die bekanntesten Ransomware-Beispiele
WannaCry
WannaCry gehört zu den bekanntesten Ransomware-Angriffen und traf im Mai 2017 weltweit tausende Unternehmen und Institutionen. Der Angriff nutzte eine Schwachstelle in älteren Versionen des Windows-Betriebssystems und legte kritische Infrastrukturen, darunter Krankenhäuser, lahm. Die Angreifer forderten Lösegeld in Bitcoin, um die verschlüsselten Daten freizugeben.
NotPetya
Im Jahr 2017 verbreitete sich NotPetya, eine besonders aggressive Form von Ransomware, die ebenfalls eine Sicherheitslücke in Windows ausnutzte. NotPetya wurde zunächst als Ransomware angesehen, stellte sich aber später als wiper heraus, da die Wiederherstellung der Daten selbst bei Zahlung nicht möglich war. Dieser Angriff hatte massive Auswirkungen auf globale Unternehmen und verursachte milliardenschwere Schäden.
Conti
Die Conti-Ransomware trat erstmals 2020 in Erscheinung und hat sich seitdem zu einer der gefährlichsten und weitverbreitetsten Ransomware-Bedrohungen entwickelt. Conti zielt insbesondere auf große Unternehmen und Organisationen ab und nutzt gezielte Phishing-Angriffe sowie Schwachstellen in Netzwerken, um sich Zugang zu verschaffen. Besonders bemerkenswert ist, dass Conti ein Doppelerpressungsmodell verwendet: Die Angreifer verschlüsseln nicht nur die Daten, sondern drohen auch damit, gestohlene Daten zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Mehrere große Unternehmen und sogar Regierungsbehörden wurden von Conti getroffen, was den Angreifern Millionenbeträge eingebracht hat.
Maßnahmen zum Schutz vor Ransomware
Präventive Maßnahmen sind das beste Mittel gegen Ransomware-Angriffe. Sie können Angriffe bestenfalls verhindern oder zumindest die Schwere ihrer Auswirkungen abmildern. Auch können dabei Prozesse etabliert und erprobt werden, um im Ernstfall schnell handlungsfähig zu sein. Diese sollten schnellstmöglich eingeführt und regelmäßig überprüft werden. Hierzu gehören unter anderem folgende Maßnahmen:
- Implementierung von robusten Firewalls und Intrusion Detection/Prevention Systemen (IDS/IPS);
- Aktualisierung und Patch-Management für Betriebssysteme und Anwendungen;
- Durchführung regelmäßiger Sicherheitsschulungen und Awarenessmaßnahmen für Mitarbeiter, um sie für Ransomware-Angriffe zu sensibilisieren;
- Einsatz von Antivirus- und Anti-Malware-Software auf allen Endgeräten;
- Sinnvolle Kompartmentalisierung und Abschottung von unterschiedlichen System- und Netzbereichen;
- Aussagekräftige Protokollierung;
- Regelmäßige Durchführung von Sicherheitsaudits und Penetrationstests, um Schwachstellen aufzudecken.
Unterschätzte Maßnahme: Verträge mit Partnern und Dienstleistern sicher machen
Ein weiterer großer Punkt – der oft vergessen wird – ist die rechtliche Vorbereitung auf Vorfälle. Insbesondere sollten bestehende Verträge mit Dienstleistern daraufhin überprüft werden, ob sie ausreichende technische und organisatorische Maßnahmen vorschreiben und hinreichende Kooperationspflichten beinhalten, um im Falle eines Angriffs beim Dienstleister von diesem schnell die nötigen Informationen und Unterstützungsleistungen zu erhalten.
Auch sollten bestehende Verträge mit Geschäftspartnern auf mögliche Haftungsrisiken hin überprüft werden und es sollte sichergestellt werden, dass z.B. die IT-Infrastruktur und das Backup-Konzept so ausgelegt sind, dass vertraglich zugesicherte Leistungen auch im Falle eines Angriffs binnen der zulässigen Ausfallzeiten erbracht werden können. Vertragsmuster für zukünftige Verträge sollten um sachgerechte Klauseln ergänzt werden.
Weiterhin sollten Verträge mit Cyberversicherungen überprüft werden, ob sie Ransomwareangriffe abdecken, welche Kosten und Aufwendungen sie abdecken und welche Ausschlüsse ggf. bestehen.
So unterstützen wir Sie im Falle eines Ransomware-Angriffs oder einer anderen Cyberattacke
- Prüfung der rechtlichen und technischen Vorbereitung auf Cyberangriffe in Form eines Ransomware Readiness Assessments.
- Erstellung und Etablierung maßgeschneiderter Prozesse zur Sicherstellung der Handlungsfähigkeit im Ernstfall.
- Überprüfung und Optimierung bestehender Verträge mit Dienstleistern in Bezug auf vorgeschriebene TOM und Kooperationspflichten.
- Überprüfung und Optimierung bestehender Verträge mit Geschäftspartnern bzgl. Haftungsrisiken.
- Ergänzung von Vertragsmuster um sachgerechte Klauseln für künftige Verträge.
- Prüfung bestehender Verträge mit Cyberversicherungen bzgl. Deckung bei Ransomwareangriffen.
- Kommunikation gegenüber Beschäftigten, Behörden, Kunden, Dienstleistern, Geschäftspartnern und der Presse.
- Verteidigung gegen etwaige Ansprüche Dritter, sowie in Verfahren von Aufsichtsbehörden.
- Durchsetzung von Ansprüchen gegen Dritte.
- Durchführung einer Post-Mortem-Analyse nach einem Angriff, um Ursachen und Verläufe auszuwerten.
- Kontinuierliche Verbesserung der Schutzmaßnahmen.
In Zusammenarbeit mit unserem Schwester-Unternehmen ISiCO GmbH können wir Sie nicht nur juristisch, sondern auch zu technischen Aspekten der IT-Sicherheit und der Prävention gegen Cyberangriffe beraten.
Warum Schürmann Rosenthal Dreyer Ihr Partner bei Cyberangriffen wie Ransomware ist
Schürmann Rosenthal Dreyer hat in den vergangenen 16 Jahren eine Vielzahl von Cyberangriffen und Datenschutzvorfällen begleitet. Unsere Kanzlei verfügt nicht nur über erfahrene Rechtsanwält:innen, sondern auch über Technologie-Expert:innen, die gemeinsam daran arbeiten, Ihre digitalen Projekte rechtssicher und zukunftsorientiert zu gestalten.
Unsere Kompetenz wurde mehrfach anerkannt: Wir wurden mit dem renommierten JUVE Award als Kanzlei des Jahres im Bereich Datenschutz und IT ausgezeichnet und zählen laut The Legal 500 zu den Top-Kanzleien 2024.
Vertrauen Sie auf Schürmann Rosenthal Dreyer – den Partner, der Sie mit einer einzigartigen Kombination aus juristischer Exzellenz und technischem Verständnis erfolgreich vertreten wird.
Unverbindliches Erstgespräch zum Thema Cyberangriffe & Ransomware
Führen Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Rechtsanwält:innen, um gemeinsam Ihre Situation und Ihren Beratungsbedarf zu erörtern und – falls nötig – schnell zu handeln!