Was ist Ransomware, und führe mich durch, wie du reagierst, sobald sie aktiv Systeme verschlüsselt.
Kurzantwort
Ransomware ist Malware, die Daten verschlüsselt (und zunehmend exfiltriert) und dann Zahlung fordert. Im aktiven Fall: betroffene Hosts vom Netzwerk isolieren, ohne sie auszuschalten, wenn du den Speicher bewahren kannst, Umfang, Patient Zero und die Variante bestimmen, Beweise sichern, das Standbein und etwaige Backdoors finden und vertreiben, dann aus bekannt sauberen Offline-Backups wiederherstellen. Zahlen ist ein letztes Mittel und garantiert nie die Wiederherstellung.
Ransomware ist Malware, die den Zugriff auf Daten verweigert, klassisch indem sie Dateien verschlüsselt und Zahlung für den Schlüssel fordert. Moderne Betreiber ergänzen Double Extortion – erst die Daten stehlen und mit Veröffentlichung drohen –, sodass selbst perfekte Backups das Druckmittel nicht beseitigen. Interviewer wollen eine ruhige, geordnete Reaktion, keine Panik.
Zuerst eindämmen
Die Priorität ist, die Ausbreitung zu stoppen. Isoliere betroffene Hosts – Netzwerkzugang trennen, Konten deaktivieren, das VLAN segmentieren – idealerweise ohne die Maschinen auszuschalten, da der RAM Schlüssel, injizierten Code und andere flüchtige Beweise enthält, die beim Herunterfahren verschwinden. Wenn ein Host ausgeschaltet werden muss, um Daten zu retten, dokumentiere die Entscheidung.
Umfang bestimmen und identifizieren
Stelle fest, wie weit sie sich ausgebreitet hat, finde Patient Zero und den Erstzugriffsvektor (Phishing, exponiertes RDP, ein ungepatchtes VPN) und identifiziere die Variante (Lösegeldforderung, Dateiendung, Sample auf ID-Ransomware). Die Variante zu kennen sagt dir, ob ein kostenloser Decryptor existiert und wie die Gruppe typischerweise vorgeht.
Beseitigen und wiederherstellen
Finde und entferne das Standbein und etwaige Backdoors oder neue Konten, die die Betreiber erstellt haben – wiederherzustellen, während der Angreifer noch Zugang hat, führt nur dazu, dass du erneut verschlüsselt wirst. Dann stelle aus bekannt sauberen, Offline- oder unveränderlichen Backups wieder her, baue neu auf, statt kompromittierten Hosts zu vertrauen. Setze Anmeldedaten breit zurück, da sie wahrscheinlich abgegriffen wurden. Durchgehend gilt: Beweise sichern für Forensik, Versicherung und etwaige Strafverfolgung.
Zum Thema Zahlen
Behandle die Zahlung als letztes Mittel: Sie finanziert Verbrechen, kann gegen Sanktionen verstoßen, garantiert keinen funktionierenden Decryptor und macht den Datendiebstahl nicht rückgängig. Die Entscheidung ist juristisch und auf Führungsebene, nicht Sache des Analysten.
Warum das wichtig ist
Eine starke Antwort folgt dem IR-Lebenszyklus, stellt Isolation vor das Panik-Abschalten, betont die Beweissicherung und saubere Offline-Backups und zeigt Bewusstsein, dass Exfiltration die Rechnung verändert. Das signalisiert Gelassenheit bei einem der druckvollsten Vorfälle, denen ein SOC begegnet.
Wahrscheinliche Anschlussfragen
- Warum isolieren, statt eine infizierte Maschine sofort auszuschalten?
- Was ist «Double Extortion» und wie verändert sie die Reaktion?
- Warum müssen Backups offline oder unveränderlich sein, um hier vertrauenswürdig zu sein?