Schadsoftware im Unternehmen: Was jetzt zu tun ist und was auf keinen Fall

Der Moment in dem ein Mitarbeiter merkt dass sein Computer sich seltsam verhält, ist kritischer als die meisten denken. Was in den nächsten Minuten passiert entscheidet darüber ob es bei einem isolierten Vorfall bleibt oder ob sich die Schadsoftware ungehindert durch das gesamte Netzwerk frisst. Die meisten Unternehmen haben für diesen Moment keinen Plan. Dieser Artikel gibt Ihnen und Ihren Mitarbeitern einen.

Woran erkennt man Schadsoftware überhaupt?

Moderne Schadsoftware ist darauf ausgelegt möglichst lange unentdeckt zu bleiben. Ransomware zum Beispiel arbeitet im Hintergrund still weiter bis sie bereit ist zuzuschlagen. Trotzdem gibt es Warnsignale die auf eine Infektion hindeuten können:

• Wiederholte Programmabstürze ohne erkennbaren Grund
• Ungewöhnlich hohe Festplatten- oder CPU-Aktivität
• Dateien die sich plötzlich nicht mehr öffnen lassen oder veränderte Inhalte haben
• Fehlermeldungen vom System die vorher nie aufgetreten sind
• Speicherplatz der sich ohne ersichtlichen Grund verringert
• Programme die sich selbstständig öffnen oder schließen

Wichtig: Keines dieser Anzeichen ist ein sicherer Beweis für Schadsoftware. Und umgekehrt kann ein infiziertes System völlig unauffällig wirken. Im Zweifel gilt: lieber einmal zu viel melden als einmal zu wenig.

Was Mitarbeiter sofort tun müssen, und was sie auf keinen Fall tun sollten

Wenn ein Mitarbeiter einen Verdacht hat, zählt jede Minute. Gleichzeitig können falsche Reaktionen den Schaden erheblich vergrößern. Hier sind die Schritte in der richtigen Reihenfolge:

Das ist sofort zu tun:

1. Alle offenen Programme schließen Aktive Anwendungen können den Angriff begünstigen. Schließen Sie alles was gerade geöffnet ist, ohne Dateien zu speichern die möglicherweise bereits kompromittiert sind.

2. Die Arbeit am Gerät sofort einstellen Jede weitere Interaktion mit dem infizierten System kann Spuren verwischen oder die Schadsoftware aktivieren. Das Gerät bleibt an, wird aber nicht mehr benutzt.

3. Das Gerät vom Netzwerk trennen Das Netzwerkkabel abziehen oder WLAN deaktivieren. Das ist die wichtigste Maßnahme überhaupt, weil sie verhindert dass sich die Schadsoftware auf andere Systeme ausbreitet. Jede Sekunde die das Gerät noch im Netzwerk hängt, ist eine Sekunde in der Ransomware weitere Daten verschlüsseln oder Zugangsdaten abgreifen kann.

4. Den IT-Verantwortlichen sofort informieren Nicht erst am Ende des Arbeitstages, nicht nach dem nächsten Meeting. Sofort. Je früher der Administrator informiert wird, desto mehr Handlungsspielraum bleibt.

Das darf auf keinen Fall passiert:

Gerät nicht ausschalten und nicht neu starten Das ist ein häufiger Fehler der gut gemeint ist aber das Gegenteil bewirkt. Viele Angriffsspuren existieren nur im Arbeitsspeicher des Systems und sind nach einem Neustart unwiederbringlich verloren. Ein laufendes System gibt dem Administrator die Möglichkeit den Angriff zu analysieren, den Angreifer zu identifizieren und Beweise zu sichern.

Keine Dateien löschen Was nach einem Angriff wie Müll aussieht, kann für die forensische Analyse entscheidend sein.

Den Vorfall nicht verschweigen Scham und Angst vor Konsequenzen sind menschlich, können aber dazu führen dass wertvolle Zeit verloren geht. Unternehmen die eine offene Fehlerkultur leben reagieren im Ernstfall schneller und effektiver.

Warum die meisten Unternehmen im Ernstfall nicht vorbereitet sind

Das BSI stellt in seinem Lagebericht regelmäßig fest dass weniger als die Hälfte der KMU einen Notfallplan für IT-Sicherheitsvorfälle hat. Das bedeutet: Im Ernstfall wird improvisiert. Mitarbeiter wissen nicht was sie tun sollen, wertvolle Minuten gehen verloren und der Schaden wächst.

Das lässt sich ändern. Nicht mit aufwendigen Projekten, sondern mit drei konkreten Maßnahmen:

Erstens: Eine einfache Notfallkarte für jeden Arbeitsplatz die in wenigen Sätzen erklärt was bei einem Verdacht zu tun ist und wen man kontaktiert.

Zweitens: Regelmäßige Security Awareness Trainings damit Mitarbeiter Bedrohungen überhaupt erkennen und richtig reagieren können.

Drittens: Einen IT-Sicherheitscheck der zeigt wo die größten Schwachstellen liegen, bevor ein Angreifer sie findet.

Fazit

Schadsoftware trifft auch KMU die gut aufgestellt sind. Der Unterschied zwischen einem kontrollierten Vorfall und einer Katastrophe liegt oft nicht in der Technik, sondern darin ob Mitarbeiter wissen was sie in den ersten Minuten tun müssen. Wer jetzt einen Notfallplan erstellt, Mitarbeiter schult und seine Infrastruktur regelmäßig prüft, ist im Ernstfall deutlich besser aufgestellt als der Durchschnitt.