Man stelle sich folgendes Scenario vor: Ein mittelständischer Betrieb wird durch Ransomware angegriffen und die Rechner in allen Betriebsteilen sind betroffen bzw. in einem fraglichen Zustand. Das Lösegeld zu zahlen erscheint verlockend. Aber sind die Rechner danach wirklich „sauber“? In der Regel bleibt nur die Option die IT-Landschaft von Grund auf wiederaufzubauen.
Dieses ist allerdings ein enormer Aufwand, weswegen es angeraten ist sich im Vorhinein Gedanken zu machen, wie man diesen Aufwand minimieren kann.
Folgende Punkte sollten beachtet werden:
- Am Tag X sollte ein Notfallplan in der Schublade (und nicht auf einem infizierten Rechner) liegen, den man dann strukturiert abarbeiten kann. Dazu gehört auch die Dokumentation der Umgebung, Konfigurationsdaten, Installationsmedien und Lizenzschlüssel.
- Auch die Priorisierung ist ein wichtiger Punkt. Welche Systeme sind kritisch für den Fortbestand des Unternehmens? Nennen wir es Kernrechenzentrum, zu dem dann auch Clientsysteme gehören. Nun, das wird nicht ganz einfach, aber eine offene Diskussion darüber welche Systeme laufen müssen, damit das Unternehmen nach einem Angriff nicht in den Konkurs schliddert muss stattfinden. Haben diese Systeme Abhängigkeiten ohne die sie nicht funktionieren?
- Ein weiterer Aspekt ist es wichtige Daten von „unwichtigen“ Daten trennen. Wäre es grundsätzlich nicht sinnvoll nur die Daten im täglichen Zugriff zu haben die man wirklich benötigt und den Rest in einem proprietären (und damit schlecht angreifbarem) Archivsystem zu lagern? Das hätte den charmanten Vorteil, dass man die Menge der wiederherzustellenden Daten drastisch reduzieren könnte und damit die Wiederherstellungszeit.
- Regelmäßige Recovery-Übungen sind extrem wichtig, denn das Wiederherstellen dieser Systeme ist eine komplexe Tätigkeit, der man nicht oft nachgeht. Übungen helfen dabei Entscheidungsstrukturen zu optimieren und damit umzugehen, dass eventuell kein Internet- und Telefonzugang besteht.
Einige Unternehmen und Behörden gehen sogar so weit, dass sie unternehmenskritische Systeme in einem eigenen Rechenzentrum betreiben, welches mit speziell geschultem Personal und einer eigenen Backupinfrastruktur ausgestattet ist. Dadurch gibt es eine ständige Diskussion darüber welche Systeme zum Kernrechenzentrum gehören, was ein positiver Aspekt im Designprozess ist. Denn weniger ist oft mehr.