12 Tage AppsMas: SAP-Sicherheit: 4 Schritte zur Reaktion auf einen Ransomware-Angriff

Ransomware-Gruppen halten Unternehmen weiterhin in Atem und lassen auch über die Feiertage nicht nach. In einer gemeinsamen Warnung der Cybersecurity and Infrastructure Security Agency (CISA) und des FBI wird darauf hingewiesen , dass Cyberkriminelle in den letzten Monaten an oder um Feiertagswochenenden herum immer schwerwiegendere Angriffe auf US-amerikanische Unternehmen verübt haben. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Warnungen vor Ransomware-Angriffen in den kommenden Wochen herausgegeben. In unserem letzten Blogbeitrag haben wir 10 proaktive Maßnahmen vorgestellt, mit denen sich Unternehmen auf einen Ransomware-Angriff vorbereiten können. Heute widmen wir uns den Schritten, die zu ergreifen sind, sollte Ihr Unternehmen Opfer eines Ransomware-Angriffs werden.

Weitere Informationen darüber, wie Sie die Bedrohung durch Ransomware für Ihre SAP-Anwendungen mindern und Ihre SAP-Sicherheit verbessern können, finden Sie in unserem whitepaper oder sehen Sie sich unsere On-Demand-Veranstaltung mit Richard Puckett, CISO bei SAP, und Mariano Nunez, CEO von Onapsis, an.

Sollte es in einer Organisation zu einer Betriebsunterbrechung kommen, die möglicherweise auf einen Ransomware-Vorfall zurückzuführen ist, ist es wichtig, die bereits festgelegten Runbooks für den Geschäftskontinuitätsplan (BCP) und die Vorfallreaktion (IR) zu befolgen. Unternehmen sollten zudem eng mit Behörden und CERT-Organisationen wie der Cybersecurity and Infrastructure Security Agency (CISA) in den Vereinigten Staaten oder dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeiten. Diese Organisationen können Wissen, Unterstützung und Erkenntnisse aus anderen Vorfällen, mit denen sie konfrontiert waren, bereitstellen.  

Um die Auswirkungen eines Angriffs so gering wie möglich zu halten, sollte der Plan zur Reaktion auf Sicherheitsvorfälle umfassend geprüft werden. Dazu gehören ein vorab festgelegtes, funktionsübergreifendes Reaktionsteam mit benannten Führungskräften aus den Bereichen IT, Finanzen, Recht und Kommunikation sowie Szenario-Handbücher mit klar definierten Zielen. Unternehmen sollten zudem in Betracht ziehen, externe Wiederherstellungsteams in Bereitschaft zu halten, falls es zu einem Ransomware-Vorfall kommt. Wenn es an der Zeit ist zu handeln, sollte die Reaktion eines Unternehmens auf den Vorfall mindestens die folgenden Schritte umfassen: 

1. Ermitteln Sie, welche Systeme betroffen waren

Ermitteln Sie, welche Systeme betroffen sind, um festzustellen, ob diese kompromittierten Systeme isoliert werden können. Wenn die Systeme isoliert werden können, isolieren Sie sie unverzüglich, um eingehende und ausgehende Verbindungen zu unterbinden und so eine Ausbreitung der ursprünglichen Infektion zu verhindern. Wenn die Systeme nicht isoliert werden können, greifen Sie auf den Notfallplan (BCP) zurück, der die von den betroffenen Systemen unterstützten Geschäftsprozesse umfasst, wechseln Sie zum Backup-Prozess und schalten Sie die betroffenen Systeme aus. 

2. Betroffene Systeme überprüfen

Die betroffenen Systeme zu bewerten, um die optimalen Wiederherstellungs- und Wiederinbetriebnahmeverfahren zu ermitteln. 

3. Eine erste Beurteilung erstellen

Erstellen Sie eine erste Einschätzung der Fakten, die während der ersten Erkundung und Analyse erfasst wurden. Interne und externe Teams – wie beispielsweise das SAP-Basis-Team, das für den ordnungsgemäßen Betrieb und die Aktualisierung der SAP-Landschaft zuständig ist, das Security-Operations-Team oder das externe Incident-Response-Team –, die im BCP genannt sind, sollten aktiviert werden, um weitere Hintergründe und Einblicke in den Angriff auf die gesamte IT-Landschaft zu liefern. 

4. Forensische Methoden nutzen

Falls die Systeme zunächst nicht wiederhergestellt werden können, sollten herkömmliche forensische Techniken eingesetzt werden, um so viele Systemnachweise wie möglich zu sichern. Dazu gehören ein Systemabbild, nach Möglichkeit ein Speicherauszug sowie Abbilder oder Protokolldateien der betroffenen Geräte. Bei SAP-Anwendungen, die in den Untersuchungsumfang fallen, müssen Unternehmen in der Lage sein, assess gesamten Verlauf der Ereignisse auf Anwendungsebene vollständig assess , da es von entscheidender Bedeutung ist, Informationen aus den verschiedenen Anwendungsprotokollen sowie aus der Datenbank selbst zusammenzuführen. Darüber hinaus sollte diese Konsolidierung auch den Kontext der SAP-Anwendungen berücksichtigen, damit sie im Falle einer Reaktion wirkungsvoll und umsetzbar ist. 

Ransomware entwickelt sich ständig weiter und wird für Cyberkriminelle immer lukrativer. Diese Angreifer verfügen über die Mittel und die Absicht, kritische Schwachstellen auszunutzen, indem sie Schadsoftware über ungepatchte, ungeschützte SAP-Anwendungsschichten ausführen. Um Ihre wichtigsten Geschäftsanwendungen zu schützen und zu verhindern, dass Sie in dieser Weihnachtszeit und auch in Zukunft Opfer von Ransomware werden, empfehlen SAP und Onapsis Unternehmen, die in unserem gemeinsamen whitepaper und in der On-Demand-Veranstaltung mit Richard Puckett, CISO bei SAP, und Mariano Nunez, CEO von Onapsis, beschriebenen Schritte befolgen.
 

Weitere Ressourcen zur SAP-Sicherheit

• Analyse des SAP-Patch-TuesdaysOnapsis Research Labs
• SAP-Sicherheitstrends und gewonnene Erkenntnisse 2021
• Webinar: So schützen Sie Ihre geschäftskritischen SAP-Anwendungen vor moderner Ransomware
• Whitepaper: Abwehr der Bedrohung durch Ransomware für geschäftskritische SAP-Anwendungen
• Whitepaper: Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen

Weitere „12 Days of AppsMas“-Blogs

• Frohe AppsMas von Onapsis!
• Jetzt ist die richtige Zeit, um Ihre Sicherheit zu überprüfen
• Lassen Sie sich den Urlaub nicht durch einen Cyberangriff verderben: Tipps für Führungskräfte