Auf Branchentreffen berichten betroffene Unternehmen immer wieder sehr offen, welche Folgen ein Ransomware-Angriff konkret hatte. Den Zuhörenden läuft es dabei eiskalt den Rücken hinunter. Jeder weiß, dass es das eigene Unternehmen ähnlich hart treffen kann: Eine Erpressung mit Ransomware kann gerade für KMU schnell existenzbedrohend werden. Denn bis die wichtigsten Prozesse überhaupt wieder – zumindest eingeschränkt – laufen, vergehen im Schnitt bis zu vier Wochen. Und bis alle Abläufe korrekt eingespielt sind, rechnen Expertinnen und Experten durchschnittlich mit einem ganzen Jahr. Gleichzeitig wächst die Bedrohung. Zunehmend hybride IT-Landschaften aus On-Premises, Cloud und Edge Computing haben die offene Flanke weiter vergrößert. Mobile Arbeit aus dem Homeoffice birgt zusätzliche Gefahren. Wird ein Unternehmen attackiert, dann ist die gesamte Lieferkette betroffen, in die es eingebunden ist.
Notfallpläne für den Schockmoment
Der Verband Deutscher Maschinen- und Anlagenbauer VDMA hat mittlerweile ein eigenes „Competence Center Industrial Security“ eingerichtet. Damit wollen sich die Verbandsmitglieder im Angriffsfall nicht nur mit Know-how, sondern auch mit IT-Fachkräften gegenseitig unterstützen. Denn in der Akutphase wird viel mehr Personal benötigt, als normalerweise vorhanden ist. Wird ein Angriff entdeckt, herrscht im Unternehmen oft zunächst ein Schockzustand. Ab jetzt funktioniert nichts mehr. IT-Spezialisten und -Spezialistinnen raten, dass jede Organisation genau auf diesen Moment vorbereitet sein muss. Doch nur die wenigsten Verantwortlichen haben fertig ausgearbeitete Notfallpläne im Schrank. Allerdings werden sie selten auf ihre Funktionstüchtigkeit hin überprüft. So müssen im Notfall ganz pragmatische Dinge bedacht werden: Weil bei einem Angriff oft die Telefonanlage nicht mehr funktioniert, sollten etwa alle wichtigen Telefonnummern auf Papier vorliegen.
Im Darknet nach eigenen Daten suchen
Expertinnen und Experten raten mittlerweile zu Methoden, die etwas unorthodox klingen. Wenn Daten gestohlen wurden, bieten Kriminelle sie in aller Regel im Darknet zum Verkauf an. Oft vergehen Tage oder Wochen, bis die Daten tatsächlich Käufer finden. Deshalb sollten es sich IT-Abteilungen zur Aufgabe machen, das Darknet kontinuierlich nach verlorenen Daten wie etwa gestohlenen Passwörtern zu scannen.
Dann bleibt im besten Fall noch Zeit, die alten Passwörter zu ändern und Lücken zu schließen. Sobald ein Datenverlust oder ein Ransomware-Angriff festgestellt wurde, müssen so schnell wie möglich Kunden und Partner informiert werden, um weiteren Schaden in den Wertschöpfungs- und Kommunikationsketten zu verhindern. Die DSGVO wird für viele von Angriffen Betroffene dann zum nächsten Verhängnis. Sie regelt die Meldepflicht im Fall des Datenverlusts und in Artikel 82 die Schadenersatzansprüche. Nicht selten rollt auf Unternehmen, die ein Datenleck bekannt geben, eine Flut von Klagen zu.
