Ransomware-Angriffe auf Firmennetzwerke nehmen weltweit zu und sind damit ein wachsendes Risiko. Der Wirtschaft entstehen dadurch erhebliche Schäden. Auch in Deutschland ist immer wieder von solchen Attacken und ihren Auswirkungen zu lesen. Es waren beispielsweise mehrmals Medienhäuser betroffen, deren Publikationen daraufhin gar nicht oder nur abgespeckt erscheinen konnten.
Herausforderungen eines Ransomware-Angriffs
Bei Ransomware-Angriffen werden Schadprogramme ins Netzwerk eingeschleust, die Unternehmensdaten verschlüsseln. Die Angreifer verlangen die Zahlung eines Lösegeldes (meist in Kryptowährungen wie Bitcoin) dafür, dass die Daten wieder entschlüsselt werden.
Das angegriffene Unternehmen kann entweder der Forderung nachkommen - in der Hoffnung, dann auch wirklich wieder Zugriff auf seine Daten zu erhalten - oder versuchen, die Daten auf anderem Wege wiederherzustellen, beispielsweise über Backups. Doch Achtung: Auch eine Lösegeldzahlung führt oftmals nicht zum gewünschten Ziel.
Cybererpressungen werden zunehmend raffinierter und komplexer. Dies gilt insbesondere hinsichtlich der operativen Infrastruktur (Operational technology, OT), bei der üblicherweise physische Prozesse involviert sind. In schweren Fällen kann es Tage oder Wochen dauern, bis Einschränkungen im Betrieb behoben sind.
Eine an die Gefahren angepasste OT-Sicherheit ist somit entscheidend für einen widerstandsfähigen Geschäftsbetrieb. Das beinhaltet auch, dass Unternehmen im Fall eines Angriffs angemessen reagieren können. Es gilt, effektive Prozesse zu entwickeln, zu implementieren und regelmäßig zu überprüfen, um auf den Ernstfall vorbereitet zu sein.
Unternehmen benötigen effektive Response- und Recovery-Prozesse
Die maßgeblichen Schritte für ein wirksames Response- und Recovery-Konzept werden in unserem englischsprachigen Paper „The day after“ erläutert.
Ein solches Konzept sollte zwei Aspekte abdecken:
- eine gut vorbereitete Reaktion (Response), um die unmittelbaren Auswirkungen der Attacke auf Betrieb und Kosten zu bewältigen - die ersten 72 Stunden sind entscheidend,
- eine möglichst schnelle „Erholung“ (Recovery) von der Attacke, also die zügige Wiederherstellung des ordnungsgemäßen Geschäftsbetriebs.
Zugleich gilt es, aus einem Angriff Schlüsse für eine Optimierung der Cybersicherheit zu ziehen: Wie konnte es zu dem Angriff kommen, wo war die Schwachstelle im Firmennetzwerk? Und was ist zu tun, um - aus Hackersicht - erfolgreiche Attacken in der Zukunft möglichst auszuschließen?
„The day after“ gibt wichtige Hinweise für effektive interne Response- und Recovery-Prozesse und Handlungsempfehlungen, damit sich Unternehmen nach einem Cyber-Angriff auf die OT schnell erholen, ihre Sicherheit verstärken und Resilienz erreichen können.
Ihre Ansprechpersonen
Wilhelm Dolle
Partner, Consulting, Head of Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Marko Vogel
Partner, Consulting - Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Michael Sauermann
Partner, Audit, Regulatory Advisory, Forensic
KPMG AG Wirtschaftsprüfungsgesellschaft
So kontaktieren Sie uns
- KPMG-Standorte finden kpmg.findOfficeLocations
- kpmg.emailUs
- Social Media @ KPMG kpmg.socialMedia