IT Forensik Experte im Interview: Die Datenrettung scheitert oft am Back-up

Rechner werden lahmgelegt, Daten werden verschlüsselt und der ganze Betrieb steht still. Wenn Cyberkriminelle zuschlagen, ist schnelles Handeln gefordert. IT-Spezialisten sind dann oft die einzige Möglichkeit, um den Schaden in Grenzen zu halten. Der teuerste Haftpflichtfall, der bei exali.de 2019 im Zusammenhang mit einem Cyberangriff auf dem Tisch landete, war knapp über 900.000 Euro. Grund genug für uns aus der Online-Redaktion mit einem IT Forensik Experten zu sprechen und nachzufragen, wie Daten in derartigen Fällen gerettet werden können, in welchen Fällen nichts mehr hilft und wie betroffene Freelancer und Unternehmen im Schadenfall richtig handeln.

Was kann die IT Forensik im Schadenfall tun?

Wir haben mit dem IT-Sicherheits-Experten und Managing Partner der Infraforce GmbH, Christian Weber, gesprochen. Er erklärt uns im Interview, wie seine Kollegen bei einem Cyberschaden vorgehen und was die IT Forensik leisten kann:

Herr Weber, wenn Sie einen Anruf eines betroffenen Unternehmens bekommen, wie läuft dann die Aufnahme des Schadenfalls ab?

Unser telefonischer Service ist 24 Stunden, 7 Tage die Woche erreichbar. Wenn sich ein Versicherungsnehmer bei uns meldet, dann nehmen wir ab dem Anruf alles auf, was passiert, inklusive detailliertem zeitlichen Verlauf. Diese Informationen sind für die Auswertung und auch für die Abwicklung mit dem Versicherer sehr wichtig. Das Wichtigste ist es dann, so viele Informationen wie möglich über den Vorfall zu sammeln. Zum Beispiel, wo der Schaden aufgetreten ist, wann er aufgetreten ist, wer davon betroffen ist, aber auch technische Informationen, die zum Beispiel von der Firewall aufgezeichnet wurden. Unsere IT-Experten geben dem Betroffenen dann Erstmaßnahmen an die Hand, um die akute Gefahrensituation einzudämmen. Typische Maßnahmen wären beispielsweise das Abschalten oder Isolieren von Rechnern.

 
 
"Die gesammelten Informationen werden dann in unserem Virus Lab ausgewertet. Je nach Umfang kann diese Auswertung auch mal länger dauern, allerdings haben wir in 95 Prozent der Schäden bereits nach fünf Minuten eine Vermutung, was passiert ist."

Das größte Problem hierbei ist, dass gerade kleinere Firmen oft von externen IT-Dienstleistern betreut werden, die dann im Ernstfall schlecht erreichbar sind. Dann fehlen uns wichtige Zugänge und Informationen, die nur der IT-Dienstleister hat.

Sie haben gesagt, dass Sie oft nach wenigen Minuten eine Vermutung haben, was passiert ist. Was sind denn die häufigsten Cyberschäden?

Oftmals sind kleine Unternehmen oder Freelancer von Cyberschäden betroffen. Und hier kristallisieren sich die Ransomware-Attacken oder Kryptotrojaner als häufigste Angriffsform heraus. Dabei werden Daten auf den Rechnern verschlüsselt, oder ganze Systeme lahmgelegt. Um diese wieder zu entsperren, werden die Betroffenen von den Angreifern aufgefordert, ein Lösegeld zu bezahlen.

Schaffen die IT-Forensiker es, solche Schadsoftware zu entschlüsseln oder gibt es auch Fälle, wo auch der beste Spezialist nichts mehr tun kann?

Das hängt ganz vom Einzelfall ab. Zunächst einmal versuchen wir die Symptome zu bekämpfen und den Ausbruch der Schadsoftware einzudämmen. Meist gibt es eine offene Tür im System, durch die die Schadsoftware Zugang bekommen hat, und diese gilt es zu finden und zu schließen.

 
 
"Um von Ransomware betroffene Systeme zu entschlüsseln, würde man, wenn kein Schlüssel vorhanden ist, Rechenpower benötigen wie sie sonst nur die NSA hat."

Die einzige Chance, die noch bleibt, ist ein bereits bekanntgemachter Schlüssel, der die veränderten Daten wieder decodieren kann. Bei älteren Versionen von Ransomware haben wir manchmal Glück und so ein Schlüssel ist bereits bekannt und veröffentlicht. Bei aktuellen Ransomware-Attacken ist dies aber meist nicht der Fall. Darauf zu warten, dass ein passender Schlüssel veröffentlicht wird, kann sehr lange dauern und diese Zeit haben wir nicht.

Dann bleibt nur noch die Hoffnung, dass das betroffene Unternehmen ein gutes Back-up hat, um die Daten wiederherzustellen. Leider ist das oft nicht der Fall und dann bleibt nur noch die Option, das System zu bereinigen und den Datenverlust in Kauf zu nehmen.

Es gibt ja auch die Möglichkeit, der Forderung der Kriminellen nachzukommen und ein Lösegeld zu bezahlen, damit diese den Schlüssel für die Decodierung der Daten herausrücken. Was halten Sie von Lösegeldzahlungen?

Ob ein Lösegeld bezahlt werden sollte oder nicht, ist immer eine Kosten-Nutzen-Abwägung. Eine Erfolgsgarantie gibt es dabei aber nicht. Bei besonders perfiden Attacken bleibt manchmal auch keine Wahl außer zu bezahlen. Ob die Cyberkriminellen sich an den Deal halten, ist eine 50/50 Chance.

Was kann ein betroffenes Unternehmen oder ein betroffener Freelancer im Schadenfall tun?

Das Wichtigste ist, dass der Betroffene uns den Schaden sofort meldet und so viele Informationen wie möglich an uns weiterleitet. Danach sollte er die Einschätzung unserer Experten abwarten und die Maßnahmen sofort umsetzen. Oftmals versuchen Kunden zunächst selbst das Problem zu beheben und machen dadurch alles nur noch schlimmer.

Wie wird sich Ihrer Einschätzung nach die Lage beim Thema Cybercrime in den kommenden Jahren entwickeln?

Ich denke, dass die Anzahl der Schadenfälle zunehmen wird. Auch der Anteil der Lösegeldforderungen wird weiter steigen, denn die Cyberkriminellen arbeiten mit immer hinterlistigeren Methoden. Zum Beispiel sehe ich eine große Gefahr in zeitversetzten Angriffen.

Stellen Sie sich vor, auf Ihrem System wird eine Schadsoftware eingeschleust, zum Beispiel weil ein Mitarbeiter versehentlich auf einen Link in einer E-Mail geklickt hat. Zunächst einmal bemerken Sie nichts von diesem Befall, denn der Schadcode verhält sich bis dato unauffällig. Wenn Sie jetzt wie gewohnt ihr Sicherheits-Back-up machen, dann speichern Sie den Schadcode mit.

Ein Jahr später wird der Schadcode dann plötzlich aktiv und verschlüsselt Ihr gesamtes System. Sie spielen Ihr Back-up ein um den alten Datenstand wieder herzustellen und schon wird der Schadcode, welcher in dem Back-up schlummert, erneut ausgelöst. Aus dieser Kette können Sie dann nicht mehr ausbrechen, wenn Sie kein „sauberes“ Back-up haben.

Was raten Sie Unternehmen und Freelancern? Wie können diese sich schützen?

Sie sollten sich zunächst überlegen, wie abhängig bin ich von der IT? Je abhängiger Sie sind, desto mehr sollten Sie auch in die IT-Security investieren. Gängige Scanner reichen meist nicht aus, um neue Bedrohungen effektiv aufzuspüren und zu entfernen. Zusätzlich sollten Sie in Next Gen Technologie* investieren. Das kostet zwar etwas Geld, Ihre Sicherheit sollte Ihnen das aber wert sein.

 
 
"Besonders oft betroffen sind in Unternehmen die Abteilungen, die fremde E-Mails öffnen. Zum Beispiel die Personalabteilung oder die Buchhaltung, wo viele Bewerbungen oder Rechnungen eingehen."

Hier ist es besonders wichtig, die Mitarbeiter zu schulen und ein Bewusstsein für die Gefahren zu schaffen. Informieren Sie sich über die aktuelle Lage in Sachen Cybercrime und lesen Sie Artikel von IT-Fachzeitschriften oder Portalen, um auf dem neuesten Stand zu bleiben.

Auf jeden Fall sollten Sie regelmäßig Back-ups durchführen und auch ältere Back-up-Versionen aufbewahren.

Herr Weber, vielen Dank für das Interview.

*Was ist Next Gen Technologie?

Next Gen Technologie bezeichnet IT-Sicherheitslösungen, die mittels maschinellem Lernen und Künstlicher Intelligenz (KI) proaktiv auf künftige Cyberrisiken reagieren können. Das bedeutet, das System erkennt Bedrohungen, bevor diese entstehen. Die komplette IT-Infrastruktur eines Unternehmens kann so gleichzeitig überwacht werden. Erkennt das System einen Angriff auf ein einzelnes Gerät im Netzwerk (zum Beispiel einen Laptop), dann werden automatisch Maßnahmen eingeleitet, um die Bedrohung einzudämmen.

Cyberschaden Fakten: Es kann jedes Business treffen

Hier finden Sie die Zahlen und Fakten aus dem Interview mit dem Security-Experten im Überblick:

 

Cyber-Versicherung: So können Sie Ihr Business bei Hackerangriffen schützen

Wenn Sie die Tipps unseres Experten beherzigen, haben Sie schon viel getan, um Ihr Business vor Cyberattacken zu schützen. Leider gibt es keine 100%ige Sicherheit und die Hacker lassen sich immer neue Maschen einfallen.

Mit einer Berufshaftpflichtversicherung über exali.de sind Sie im Fall eines Cyberangriffs bestens abgesichert. Wenn ein Dritter durch Ihre berufliche Tätigkeit einen Cyberschaden erlitten hat, zum Beispiel weil Sie versehentlich auf eine Phishing-Mail hereingefallen sind, dann stehen Ihnen der Versicherer und IT Forensik Experten von Anfang an zur Seite. Bei einem Cyberschaden werden dann zum Beispiel Experten der Infraforce GmbH, als einer unserer Partner, eingeschaltet, die sich um die Behebung des Schadens kümmern und die Ursache ermitteln.

Mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden-Deckung (DCD) können Sie auch Ihr eigenes Business bei Cyberschäden absichern und profitieren im Ernstfall von IT-Spezialisten, damit Sie so schnell wie möglich wieder ganz normal arbeiten können.

Für noch mehr Flexibilität bieten wir Ihnen auch eine eigenständige Cyber-Versicherung an. Diese können Sie mit sechs verschiedenen Versicherungsmodulen individuell auf Ihr Business anpassen.

Sie haben Fragen? Dann rufen Sie uns gerne an. Ihr persönlicher Ansprechpartner ist für Sie da, ganz ohne Warteschleife oder Callcenter.

 

Unser Interviewpartner: Christian Weber, Managing Partner, Infraforce GmbH

Infraforce ist als Teil der Unternehmensgruppe TÜV Hessen und damit des TÜV SÜD Konzerns Anbieter von IT Security Services und bietet für Versicherer und Makler, darunter auch exali.de, Cyber-Dienstleistungen wie z. B. eine 24/7 Incident Response Hotline an.