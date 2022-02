Inhaltsverzeichnis Security: So arbeiten Incident-Response-Teams nach einem Ransomeware-Angriff Stationen einer Erpressung Handlungsfähigkeit mithilfe von Struktur Ziel: geregelter Notbetrieb Artikel in iX 3/2022 lesen

Incident-Response-Teams, kurz IR-Teams, werden gerufen, wenn das sprichwörtliche Kind in den Brunnen gefallen ist, also ein Sicherheitsvorfall so gravierende Folgen hat, dass er die Arbeits- und eventuell sogar Überlebensfähigkeit der Organisation – also eines Unternehmens oder einer Behörde – bedroht. Incidents können sich in verschiedenen Formen bemerkbar machen: von einer Antivirenmeldung eines Systems über einen Nutzer, der einen Systemausfall meldet, bis hin zur Administratorin, die als Frühaufsteherin die Außenanbindungen kappt und den harten Shutdown einleitet, weil die Systeme gerade live verschlüsselt werden. Der Regelfall liegt (wie immer) irgendwo dazwischen.

Mehr Regel- als Ausnahmefall sind ganz klar Ransomware-Angriffe in diversen Ausprägungen. Neben dem Grad der Betroffenheit sind vor allem Angriffsvektoren und das veränderte Vorgehen der Angreifer in den vergangenen Jahren ausschlaggebend für die Arbeit in der Fallbewältigung. Heute ist es Standard, dass Angreifer nicht nur wie vor ein paar Jahren den Fileserver, sondern ganze Systemlandschaften verschlüsseln, zusätzlich Backdoors installieren und damit Handel treiben, Kundendaten stehlen und verkaufen und selbst beim Löschen mehrschichtiger Backups erfolgreich sind.

Das führt dazu, dass sich die Herausforderungen multiplizieren und sich Reaktionsmöglichkeiten betroffener Unternehmen ebenfalls verändern. Eine Bewältigung solcher Krisen aus eigener Kraft ist nicht zuletzt aufgrund mangelnder Ressourcen oft illusorisch, sodass ein IR-Team hinzugezogen werden muss.