Ransomware verschlüsselt gerade jetzt aktiv die Dateifreigaben im gesamten Netzwerk. Was ist Ihre erste Priorität?
Kurzantwort
Eindämmung schlägt verfrühte Wiederherstellung: Stoppen Sie die Ausbreitung, indem Sie betroffene Segmente isolieren und den Verbreitungsweg kappen — das missbrauchte Dienstkonto deaktivieren, SMB zwischen Segmenten blockieren, den Staging-Host vom Netz nehmen — bei gleichzeitiger Beweissicherung, dann eradieren und wiederherstellen. In ein Netz wiederherzustellen, das noch verschlüsselt, verliert die wiederhergestellten Daten erneut. Das Lösegeld zu zahlen stoppt die laufende Verschlüsselung nicht und birgt rechtliches und Sanktionsrisiko. Allen Maschinen den Strom zu kappen zerstört flüchtige Beweise und kann Dateien mitten im Schreiben beschädigen, was eine saubere Wiederherstellung erschwert.
Wenn Ransomware aktiv verschlüsselt, bedeutet jede Sekunde Ausbreitung mehr zerstörte Daten und mehr wiederherzustellende Hosts. Der Instinkt eines schwachen Responders ist, mit der Wiederherstellung zu beginnen oder die Verschlüsselung durch Zahlen zu stoppen — beides scheitert, weil es ignoriert, dass die Verbreitungsmaschine noch läuft. Die richtige erste Priorität ist die Eindämmung.
Warum Eindämmung zuerst kommt
Moderne Ransomware verbreitet sich über missbrauchte privilegierte Konten, SMB, PsExec/WMI, GPOs oder kompromittierte RMM-Tools. Wenn Sie diesen Weg nicht kappen, wächst der Wirkungsradius weiter. Eindämmen heißt: betroffene Netzsegmente isolieren, das kompromittierte Dienst-/Domänenkonto deaktivieren, mit dem sich die Malware authentifiziert, SMB zwischen Segmenten blockieren und den Staging-/Verteilungshost vom Netz nehmen. Tun Sie dies unter Beweissicherung — Sie brauchen die IOCs und die Geschichte des Erstzugangs für Eingrenzung und Eradierung. Erst nachdem die Ausbreitung gestoppt und die Persistenz eradiert ist, gehen Sie zur Wiederherstellung aus nachweislich sauberen Backups über.
Warum die anderen Optionen falsch sind
- Sofort aus Backups wiederherstellen — die Wiederherstellung in ein Netz, das noch verschlüsselt, bedeutet, dass auch Ihre frisch wiederhergestellten Freigaben verschlüsselt werden. Sie verbrennen Ihr Wiederherstellungsfenster und verlieren die Daten womöglich erneut. Die Wiederherstellung ist die letzte Phase, nicht die erste.
- Das Lösegeld zahlen — die Zahlung stoppt nichts an einer bereits laufenden Verschlüsselung, kann Sanktionen oder rechtliche Pflichten verletzen, finanziert den Angreifer und garantiert keinen funktionierenden Entschlüssler. Sie lässt zudem Einbruch und Persistenz intakt.
- Den Strom an den Sicherungen kappen — ein Vorschlaghammer, der flüchtige Beweise zerstört (Speicher, manchmal noch residente Verschlüsselungsschlüssel, aktiver Prozesszustand) und Dateien mitten im Schreiben beschädigen kann, sodass Systeme in einem inkonsistenten, schwerer wiederherstellbaren Zustand bleiben. Gezielte Isolation erreicht Eindämmung ohne den Kollateralschaden.
Was der Interviewer prüft
Er will einen erfahrenen Responder, der den IR-Zyklus unter Druck richtig sequenziert — eindämmen, dann eradieren, dann wiederherstellen — und der den Verbreitungsmechanismus identifiziert und durchtrennt, statt einzelne verschlüsselte Hosts zu jagen. Das missbrauchte Konto und SMB als zu kappende Ziele zu benennen, bei gleichzeitiger Beweissicherung, signalisiert echte operative Reife.
Wahrscheinliche Anschlussfragen
- Wie isolieren Sie Segmente schnell, ohne die forensischen Beweise zu verlieren, die Sie für die Eingrenzung brauchen?
- Welche Verbreitungswege über SMB hinaus würden Sie prüfen — GPO, PsExec, RMM-Tools, geplante Aufgaben?
- Wann ist die Wiederherstellung aus Backup sicher, und wie prüfen Sie, dass die Backups selbst nicht verschlüsselt oder hintertürt sind?