Ransomware? Im Handumdrehen wieder online

Wenn Ransomware zuschlägt und Ihre Systeme lahmlegt, ist es an der Zeit, Experten hinzuzuziehen. Rickey Gevers und Joeri Blokhuis, die Partner von Bureau Veritas Cybersecurity, sorgen in der Regel dafür, dass Unternehmen schnell wieder online sind.

... > Incident Response PRO > Ransomware? Im Handumdrehen wieder online

Ransomware? In kürzester Zeit wieder online

Ihr Unternehmen wurde gehackt, Ransomware-Kriminelle fordern Tausende von Euro und wichtige Systeme sind ausgefallen. Was nun? Rufen Sie einen Experten für Notfallmaßnahmen wie Rickey Gevers und Joeri Blokhuis an. Sie sind die regelmäßigen Partner von Bureau Veritas Cybersecurity bei der Reaktion auf Vorfälle. Gevers erklärt, wie er und sein Mitarbeiter vorgehen. Das Verhandeln mit Ransomware-Gruppen ist etwas, in dem wir sehr gut geworden sind", sagt er.

99% der Anrufe, die wir erhalten, betreffen Ransomware", sagt Gevers. Alle Arten von Unternehmen rufen uns an: vom Friseur an der Ecke bis hin zu den größten Unternehmen in den Niederlanden. Wir sind auf dem Markt für unsere schnelle Reaktion und Vertrauenswürdigkeit bekannt. Es kommt wirklich vor, dass wir einen Ransomware-Fall innerhalb von zwei Stunden lösen können.'

Rickey Gevers und sein Geschäftspartner Joeri Blokhuis haben in den letzten 13 Jahren mit ihrem Unternehmen Responders.NU Dutzenden von Unternehmen geholfen, die von Ransomware betroffen waren. Seit Sommer 2023 ist Responders.NU der reguläre Partner von Bureau Veritas Cybersecurity für die Reaktion auf Vorfälle.

Zeit ist Geld

Gevers und Blokhuis haben ihre Infrastruktur so eingerichtet, dass ein Ransomware-Angriff so schnell wie möglich abgewehrt werden kann. Denn, so Gevers: "Zeit ist Geld. Angenommen, Ihr Unternehmen baut Blumenkohl an. Sie werden erpresst und können den Blumenkohl nicht in den Laden bringen. Dann erleiden Sie einen Verlust, so einfach ist das. Wir können schnell abschätzen, ob es klappen wird.'

Image in image block

Joeri Blokhuis (l) und Rickey Gevers von Responders.NU

Sehr gestresst

Jeder Ransomware-Angriff ist anders, denn kein Unternehmen ist wie das andere. Dennoch laufen bestimmte Dinge bei jedem Angriff gleich ab, stellt Gevers fest. Wenn uns jemand anruft, bieten wir zunächst ein offenes Ohr. Oft haben die Leute das Bedürfnis, sich Luft zu machen, sie sind extrem gestresst. Wir versuchen dann, eine gewisse Gelassenheit auszustrahlen.'

Ich wurde zum Beispiel einmal von einem Mann angerufen, der ein sehr großes Unternehmen in der Fertigungsindustrie leitet. Er sagte mir: 'Sie fordern 20.000 Euro.' Also sagte ich: 'Oh, das ist ja gar nicht so schlimm.' Das war der Auslöser dafür, dass er dachte, ja, es ist tatsächlich nicht so schlimm. Dann entspannte er sich. Ein Vorfall geht viel leichter, wenn jemand entspannt ist.'

Gibt es Rückendeckung?

Nach diesem ersten Telefonat verstärken Gevers und Blokhuis ihren Informationsstand. 'Wir schauen nach: Welche Ransomware-Gruppe steckt dahinter? Wie ist der Zustand der betroffenen Partei? Welche Systeme sind zum Beispiel unzugänglich? Was bedeutet das für das Unternehmen?' Aber die wichtigste Frage ist: Gibt es Backups? Und wie lange wird es dauern, bis die Backups wiederhergestellt werden können?

Vor etwa drei Jahren trafen wir noch auf viele Parteien, die keine Backups hatten", sagt Blokhuis. 'Dann musste man Lösegeld zahlen, dann hatte man keine andere Möglichkeit. Aber zum Glück sehen wir das immer seltener; die Backups werden immer besser.'

Responders Blokhuis 1

Joeri Blokhuis

Spezialist für die Reaktion auf Vorfälle

Responders.NU

Vor etwa drei Jahren trafen wir noch auf viele Parteien, die keine Backups hatten. Zum Glück sehen wir das immer seltener; die Backups werden immer besser.

Verhandeln mit der Ransomware-Gruppe

Erst als Gevers und Blokhuis ihre Informationsposition vollständig gefestigt haben, eröffnen sie den Chat mit der Ransomware-Gruppe, die hinter dem Angriff steckt. Ihr Ziel: den von der Gruppe geforderten Betrag so weit wie möglich zu reduzieren. Das Verhandeln mit Ransomware-Gruppen ist etwas, in dem wir sehr gut geworden sind", sagt er.

Im Idealfall würde Blokhuis es vorziehen, den Kriminellen kein Lösegeld zu zahlen, das steht an erster Stelle. Aber in der Praxis stellen wir fest, dass die Zahlung oft der schnellste Weg zur Wiederherstellung ist. Für uns geht es darum, die Kosten gegen den Nutzen abzuwägen. Er berät sich während eines Angriffs immer mit der Geschäftsleitung eines Unternehmens über diese Abwägung.

Das geht in etwa so: 'Angenommen, Sie sind einen Tag lang nicht erreichbar, weil Sie einen Tag für die Wiederherstellung der Backups benötigen. Das bedeutet einen Verlust von 2 Millionen Euro - ich sage nur, das sind zufällige Zahlen. Wenn wir das Lösegeld zahlen, kostet uns das 2 Tonnen. Mit einem Mausklick überweisen wir das Geld, erhalten den Entschlüsseler und sind in vier Stunden wieder online. Dann zahlen wir. Das sind die Berechnungen, die gemacht werden.'

Image in image block

Joeri Blokhuis (l) und Rickey Gevers

Zahlen oder nicht zahlen

Zahlen oder nicht zahlen im Falle von Ransomware: das bleibt ein heikles Thema. Die niederländische Regierung zahlt ohnehin nicht. Manchmal tut mir das im Herzen weh", sagt Gevers. 'Manchmal verlangt eine Ransomware-Gruppe 10.000 Euro. Die Regierungspartei entscheidet dann immer noch: 'Wir werden nicht zahlen. Dann geht der Schaden in die Millionen.'

Die Zahlungsbereitschaft unterscheidet sich auch von Land zu Land, stellt Gevers fest: "In England wird kein Lösegeld gezahlt. Dort zahlt kaum jemand. Auch in den Niederlanden ist die Zahlungsbereitschaft begrenzt, obwohl die Schwelle, Lösegeld zu zahlen, bei niederländischen Unternehmen heute niedriger ist als noch vor einigen Jahren. In Deutschland hingegen zahlen die Unternehmen oft. Ich glaube, das liegt daran, dass in Deutschland mehr Wert auf Datenschutz gelegt wird.'

Gelegentlich geht eine Zahlung auch unerwartet gut aus. Im Jahr 2022 gelang es Gevers und Blokhuis, die Zahlung des Lösegelds zurückzuziehen, nachdem sie das Entschlüsselungsprogramm erhalten hatten: "Ein Trick. In diesem Fall mussten wir also nichts zahlen.' Sie gaben diese Information weiter und ermöglichten es der Polizei, über 155 Schlüssel aus der betreffenden Ransomware-Gruppe zu extrahieren.

Genugtuung

Wann ist ein Auftrag erfolgreich? 'Wenn der Kunde zufrieden ist. Außerdem macht es mir Spaß, wenn die Dinge wirklich schnell gehen. Wenn man also die Probleme innerhalb von ein paar Stunden löst und der Kunde sagt: 'Hey, ist es schon vorbei?'

Auch die Arbeit gibt ihm eine gewisse Befriedigung. Vor einiger Zeit erhielten wir einen Anruf von einer Partei, die mit vielen gefährdeten Menschen arbeitet. Diese Partei ließ uns wissen: Wenn die Daten dieser Menschen online gehen, wird das eine Menge Probleme verursachen. Sehr sensible Daten, mit anderen Worten. Wir haben lange daran gearbeitet, aber am Ende ist alles gut gegangen.

Reaktion auf Vorfälle

Related image

Reaktion auf Vorfälle 24/7

Sie sind gehackt worden - Ihre Systeme sind ausgefallen. Es ist wichtig, den Schaden zu begrenzen und die Systeme so schnell wie möglich wieder zum Laufen zu bringen. Bureau Veritas Cybersecurity kann Ihnen helfen.

 Related image

Reaktion auf Vorfälle PRO

Incident Response PRO von Bureau Veritas Cybersecurity hilft Ihnen bei der Vorbereitung auf Cyber-Vorfälle und garantiert fachkundige Unterstützung bei einem möglichen Vorfall.

 Related image

Tabletop-Krisenmanagement

Wer sind die ersten Ansprechpartner im Falle eines Cybervorfalls? Was sind die Verantwortlichkeiten aller Beteiligten? Üben Sie in diesem Workshop Cyber-Krisenmanagement.

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.