Wenn Ihr Netzwerk mit Ransomware infiziert ist, handeln Sie sofort, um Ihr System zu schützen. Anstatt das Lösegeld zu zahlen, das nicht garantiert, dass Ihre Daten wiederhergestellt werden, melden Sie den Angriff so schnell wie möglich dem FBI und den örtlichen Strafverfolgungsbehörden. Verwenden Sie Datenwiederherstellungsspezialisten, um wieder Zugriff auf Ihre Daten zu erhalten. Wenn es kompromittiert wurde, müssen Sie möglicherweise auch betroffene Clients, Kunden oder Mitarbeiter benachrichtigen. Analysieren Sie anschließend den Angriff, damit Sie Ihr System besser schützen können, um die Wahrscheinlichkeit zu verringern, erneut einem Ransomware-Angriff zum Opfer zu fallen.
Schritte
Methode 1 von 3: Zusammenarbeit mit Strafverfolgungsbehörden
Schritt 1. Wenden Sie sich an Ihre lokale FBI-Außenstelle
Die Strafverfolgung des Bundes befasst sich mit Internetkriminalität, einschließlich Ransomware. Die Beamten der nächstgelegenen Außenstelle können Ihnen helfen, den Schaden für Ihr Unternehmen zu minimieren und können mit den staatlichen und lokalen Strafverfolgungsbehörden zusammenarbeiten, um den Täter ausfindig zu machen.
Das FBI hat 56 Außenstellen in den wichtigsten Ballungsräumen der USA. Um das nächstgelegene zu finden, gehen Sie zu https://www.fbi.gov/contact-us/field-offices und wählen Sie Ihr Bundesland aus dem Dropdown-Menü mit der Bezeichnung "Kategorien"
Schritt 2. Reichen Sie eine Anzeige bei der örtlichen Polizei ein, um die unmittelbaren Auswirkungen abzuwickeln
Wenn es zu einer physischen Verletzung Ihrer Einrichtungen gekommen ist, kann Ihre örtliche Polizeibehörde dabei auf jeden Fall helfen. Auch wenn Ihre tatsächlichen Einrichtungen nicht kompromittiert wurden, kann die örtliche Polizei dennoch Beweise sammeln und Ihnen Ratschläge zum Schutz Ihres Unternehmens geben.
Einige örtliche Polizeien wissen möglicherweise nicht, wie sie mit Internetkriminalität umgehen sollen, insbesondere in kleinen Städten und ländlichen Gebieten. Obwohl sie möglicherweise nicht über das Fachwissen und die Ausrüstung verfügen, um nennenswerte Hilfe zu leisten, lohnt es sich dennoch, eine Anzeige bei der örtlichen Polizei zu erstatten
Schritt 3. Reichen Sie eine Beschwerde beim Internet Crime Complaint Center (IC3) ein
Das FBI unterhält die IC3 unter https://www.ic3.gov/. Auf der Website können Sie eine Beschwerde einreichen, die an alle zuständigen Strafverfolgungsbehörden weitergeleitet wird. Fügen Sie Ihrem Bericht die folgenden Informationen hinzu:
- Das Datum der Ransomware-Infektion
- Die Art der Ransomware (aufgeführt auf der Ransom-Seite oder in der Dateierweiterung der Ransomware-Verschlüsselungsdatei)
- Informationen zu Ihrem Unternehmen, einschließlich Ihrer Branche und der Größe Ihres Unternehmens
- Wie kam es zur Ansteckung
- Die Höhe des Lösegelds, das die Hacker angefordert haben
- Die Bitcoin- oder eine andere Kryptowährungs-Wallet-Adresse des Hackers, wenn sie auf der Lösegeldseite enthalten ist
- Der Gesamtbetrag des Lösegelds, das Sie bereits bezahlt haben (falls vorhanden)
- Gesamtverluste im Zusammenhang mit der Ransomware-Infektion, einschließlich geschätzter Geschäftsverluste
Spitze:
Wenn Sie eine Beschwerde beim IC3 einreichen, müssen Sie auch eine Erklärung über die Auswirkungen des Opfers ausfüllen, bei der es sich um ein separates Formular handelt. Einige der Informationen in diesem Formular können Informationen wiederholen, die Sie bereits in Ihrer Beschwerde angegeben haben.
Schritt 4. Melden Sie HHS, wenn die Daten geschützte Gesundheitsinformationen enthalten
Wenn Sie ein Unternehmen im Gesundheitswesen haben, das dem Health Information Portability and Accountability Act (HIPAA) unterliegt, müssen Sie nach Bundesgesetz alle Ransomware-Vorfälle dem US-Gesundheitsministerium (HHS) melden. Basierend auf Ihrer Beschreibung der Ransomware-Infektion bestimmt HHS, ob Sie Personen darüber informieren müssen, dass ihre Informationen kompromittiert wurden und was Ihre Benachrichtigung enthalten sollte.
Das HHS bewertet auch Ihr Netzwerk und Ihre Computersysteme, um sicherzustellen, dass Sie die von HIPAA geforderten Datensicherheitsprotokolle befolgt haben. Andernfalls drohen Ihnen Sanktionen wegen Nichteinhaltung. Wenn Sie die Infektion jedoch selbst melden und den Schaden beheben, können die Sanktionen für Ihr Unternehmen verringert werden
Schritt 5. Sprechen Sie mit allen beteiligten Mitarbeitern
Normalerweise hat der Mitarbeiter, der Ransomware herunterlädt, einen harmlosen Fehler gemacht. Es ist wichtig, ihre Seite der Geschichte zu verstehen, während die Details des Vorfalls noch frisch in ihrem Kopf sind. Zeichnen Sie das Gespräch auf und machen Sie sich Notizen für die Strafverfolgung.
Befragen Sie auch die Mitarbeiter, die die Ransomware entdeckt haben. Finden Sie heraus, was passiert ist, als sie davon erfahren haben und wen sie kontaktiert haben, um über das Problem zu berichten. Zeichnen Sie das Interview für die Strafverfolgung auf
Schritt 6. Nehmen Sie alle betroffenen Geräte offline
Es kann schwierig sein, Ransomware zu entfernen und Ihre Daten wiederherzustellen. Wenn Sie Ihre Geräte jedoch offline schalten, können Sie den Schaden verringern, den die Ransomware verursachen kann, und den Diebstahl von Daten verhindern.
- Schalten Sie Ihre Computer oder andere Geräte erst dann vollständig aus, wenn Datensicherheitsbeamte oder Strafverfolgungsbehörden Ihnen dies mitteilen. Dies kann möglicherweise zu einem Verlust von Daten oder wertvollen Beweisen führen.
- Achten Sie darauf, keine Beweise zu zerstören, die sich auf Ihren Computern oder Ihrem Netzwerk befinden könnten, indem Sie beispielsweise versuchen, die Ransomware- oder Verschlüsselungsdateien zu löschen.
Methode 2 von 3: Kunden oder Kunden benachrichtigen
Schritt 1. Beauftragen Sie einen Rechtsbeistand, um Ihre Verantwortlichkeiten festzulegen
Unter bestimmten Umständen kann ein Ransomware-Angriff nach Landes- oder Bundesrecht als Datenschutzverletzung angesehen werden. Ein Anwalt kann Ihnen dabei helfen, festzustellen, ob Sie Klienten oder Kunden über den Verstoß informieren müssen und welche Informationen diese Mitteilung enthalten sollte. Ob ein Ransomware-Angriff eine Datenschutzverletzung darstellt, hängt im Allgemeinen von 4 Kriterien ab:
- Art der Daten: Gesundheits-, Finanz- und persönliche Identitätsinformationen lösen in der Regel Benachrichtigungspflichten aus
- Die Bundes- und Landesgesetze, die für die von Ihnen gespeicherten Daten gelten können
- Wie und wo die Daten gespeichert werden, auch ob sie gesichert oder verschlüsselt sind
- Wie die Ransomware selbst funktioniert, einschließlich wie sie in das System gelangt ist und ob sie es den Hackern ermöglicht, auf Ihre Daten zuzugreifen, sie zu manipulieren oder sie nur als Geiseln zu halten
Schritt 2. Konsultieren Sie die Strafverfolgungsbehörden zum Zeitpunkt Ihrer Benachrichtigungen
Die Veröffentlichung der Ransomware-Infektion und einer möglichen Datenverletzung, bevor die Strafverfolgungsbehörden ihre ersten Ermittlungen abgeschlossen haben, könnte diese Ermittlungen behindern, insbesondere wenn die Gefahr besteht, dass die Hacker wissen, dass Benachrichtigungen gesendet wurden. Darüber hinaus kann die Strafverfolgung empfehlen, zuerst nur betroffene Personen oder Unternehmen zu benachrichtigen, mit einer möglichen öffentlichen Benachrichtigung später.
- Wenn Sie eine öffentliche Benachrichtigung zu früh veröffentlichen, kann dies je nach Art Ihres Unternehmens und der Art Ihrer Informationen zu Panik führen.
- Sie möchten auch sicherstellen, dass Sie durch Ihre Benachrichtigungen keine Informationen preisgeben, die möglicherweise die Ermittlungen der Strafverfolgungsbehörden behindern könnten.
Schritt 3. Benennen Sie eine Kontaktperson für verletzungsbezogene Informationen
Eine einzelne Person in Ihrem Unternehmen sollte für die gesamte externe Kommunikation in Bezug auf die Ransomware-Infektion und potenzielle Datenschutzverletzungen verantwortlich sein. Wählen Sie jemanden auf der Führungsebene, der in der Lage ist, öffentliche Anfragen zu bearbeiten und die Reaktion der Strafverfolgungsbehörden zu koordinieren sowie Maßnahmen von Aufsichtsbehörden zu bearbeiten.
- Abhängig von der Größe Ihres Unternehmens und der Anzahl der potenziell betroffenen Personen oder Unternehmen möchten Sie möglicherweise eine dedizierte Website oder eine gebührenfreie Nummer einrichten, über die Personen Informationen über die Infektion und potenzielle Datenschutzverletzungen erhalten können.
- Wenn Sie nicht über die Kontaktdaten aller potenziell betroffenen Personen verfügen, müssen Sie möglicherweise eine umfassendere PR-Kampagne starten, um sicherzustellen, dass alle potenziell betroffenen Personen angemessen informiert werden. Wenn Sie beispielsweise ein Einzelhändler sind, verfügen Sie möglicherweise nicht über die Kontaktdaten aller Kunden, die in Ihrem Geschäft Kreditkarten verwendet haben.
Schritt 4. Wenden Sie sich an die wichtigsten Kreditauskunfteien, wenn die Gefahr eines Identitätsdiebstahls besteht
Wenn die betreffenden Daten Namen und Sozialversicherungsnummern enthalten, besteht die Gefahr, dass die Identität dieser Personen gestohlen wird. Die großen Kreditauskunfteien können Ihnen weitere Informationen und Ratschläge geben, wie Sie Personen auf das Risiko hinweisen können. In der Regel sollten betroffene Personen Betrugswarnungen oder Kreditsperren in ihren Dateien platzieren. Verwenden Sie die folgenden Informationen für die 3 großen Auskunfteien:
- Equifax: https://equifax.com/ oder 1-800-685-1111
- Experian: https://experian.com/ oder 1-888-397-3742
- TransUnion: https://transunion.com/ oder 1-888-909-8872
Schritt 5. Senden Sie eine schriftliche Mitteilung an betroffene Personen und Unternehmen
Verfassen Sie einen Brief, der eine klare Beschreibung der Ransomware-Infektion, der Schritte, die Sie zum Schutz ihrer Daten ergriffen haben, und der Daten, die möglicherweise betroffen sind, enthält. Schließen Sie mit Ratschlägen, was sie tun sollten, um sich vor Identitätsdiebstahl oder anderen damit verbundenen Risiken zu schützen.
Die FTC verfügt über ein Musterschreiben, das Sie unter https://www.ftc.gov/tips-advice/business-center/guidance/data-breach-response-guide-business verwenden können
Spitze:
Lassen Sie Ihren Bescheid von einem Anwalt prüfen, bevor Sie ihn abschicken. Sie können sicherstellen, dass es allen geltenden Gesetzen entspricht, die Ihre Situation regeln.
Methode 3 von 3: Ihr Unternehmen schützen
Schritt 1. Beauftragen Sie einen Datensicherheitsexperten mit der Analyse Ihres Systems
Ein Datensicherheitsexperte kann untersuchen, wie sich die Ransomware auf Ihr System ausgewirkt hat, und Protokolle erstellen, die Ihre Daten in Zukunft vor ähnlichen Infektionen schützen. Sie können auch daran arbeiten, die Ransomware zu deaktivieren und Ihre Daten abzurufen.
Experten finden Sie mit einer einfachen Online-Suche. Aber auch wenn die Zeit knapp ist, stellen Sie nicht einfach den Vornamen ein, der auftaucht. Sehen Sie sich den Hintergrund und den Ruf jedes Sicherheitsexperten an, den Sie einstellen möchten. Überprüfen Sie ihre Referenzen und schlagen Sie, falls sie über Zertifizierungen verfügen, diese Zertifizierungen nach, um sicherzustellen, dass sie noch aktiv und in gutem Ansehen sind
Schritt 2. Beschränken Sie die Berechtigungen der Netzwerkbenutzer zum Herunterladen oder Installieren von Software
Häufig treten Ransomware-Infektionen auf, wenn ein Mitarbeiter auf einen Link in einer E-Mail klickt, die aussieht, als stamme sie aus einer zuverlässigen Quelle. Wenn dieser Mitarbeiter nur Zugriff auf die Teile Ihres Systems hat, die er benötigt, ist die Wahrscheinlichkeit geringer, dass die Ransomware Ihr gesamtes System beeinträchtigt und Ihre Daten kompromittiert.
Nur 1 oder 2 Personen in Ihrem Unternehmen, die ausgebildete IT-Mitarbeiter oder Netzwerkadministratoren sind, sollten die Berechtigung zum Herunterladen und Installieren neuer Software haben. Sie können diese Berechtigung von allen anderen Mitarbeiter-Benutzerkonten entfernen
Spitze:
Schulen Sie Ihre Mitarbeiter darin, nicht auf aktive Links in E-Mails zu klicken, selbst wenn sie von einem Kollegen zu stammen scheinen. Im Zweifelsfall sollten sich Mitarbeiter immer an den vermeintlichen Absender wenden, um herauszufinden, ob die E-Mail von ihnen stammt.
Schritt 3. Erstellen Sie tägliche oder wöchentliche Backups der Daten, die Sie aufbewahren
Bewahren Sie Backups auf einer externen Festplatte auf, die nicht mit dem Internet verbunden ist. Sollten Sie in Zukunft einem Ransomware-Angriff zum Opfer fallen, können Sie ein Backup Ihrer Daten hochladen und Ihren normalen Geschäftsbetrieb fortsetzen.
Sie müssen zwar weiterhin eine Anzeige bei den Strafverfolgungsbehörden einreichen und Kunden oder Kunden benachrichtigen, wenn Daten beschädigt oder gestohlen wurden, aber zumindest wird der Angriff Ihr Geschäft in der Zwischenzeit nicht stören
Schritt 4. Halten Sie Ihre Software und Betriebssysteme auf dem neuesten Stand
Updates enthalten häufig Sicherheitspatches, die Schwachstellen verbessern, die Hacker ausnutzen können. Wenn Sie das neueste Update nicht heruntergeladen haben, können Hacker feststellen, dass Ihr System immer noch anfällig ist, und versuchen möglicherweise, es auszunutzen.
- Richten Sie im Idealfall alle Software- und Betriebssysteme so ein, dass sie automatisch aktualisiert werden, wenn Ihr Unternehmen nicht geöffnet ist. Auf diese Weise können Sie sicher sein, dass Sie immer die aktuellste Software auf Ihrem System ausführen.
- Stellen Sie außerdem sicher, dass Ihre Antivirensoftware auf dem neuesten Stand ist, und führen Sie täglich oder wöchentlich Scans durch. Auf diese Weise können Sie Viren finden und unter Quarantäne stellen, bevor sie Ihr gesamtes Netzwerk infizieren.
Schritt 5. Erstellen Sie einen schriftlichen Plan, um auf zukünftige Angriffe zu reagieren
Leider kann Ihr Unternehmen durch einen Ransomware-Angriff zum Ziel von Folgeangriffen werden. Hacker könnten versuchen, sich als Datensicherheitsexperten auszugeben oder Lösungen zum Schutz Ihres Unternehmens anzubieten, obwohl sie Sie in Wirklichkeit nur für einen weiteren Angriff vorbereiten. Wenn Sie wissen, wie Sie reagieren werden, sind Sie ihnen einen Schritt voraus.
- Stellen Sie sicher, dass alle Mitarbeiter den Plan sowie die Rolle, die sie bei einem Angriff auf Ihr System spielen werden, lesen und verstehen.
- Überprüfen Sie Ihren Plan mindestens alle 6 Monate und aktualisieren Sie ihn bei Bedarf, um Änderungen an Ihrem System oder Technologie-Upgrades zu berücksichtigen.
