Die Dauer der Erholung nach einer Ransomware-Attacke variiert stark und hängt von verschiedenen Faktoren ab. Eine internationale Studie zeigt, dass DACH-Unternehmen durchschnittlich 8.6 Monate benötigen, um sich vollständig von Cyber-Angriffen zu erholen¹. Dies entspricht nach unserer Beobachtung auch ziemlich genau der Zeit, in der die Aufmerksamkeitsspanne des Managements erhöht ist und Verbesserungen durchgesetzt werden können. Abhängig von der Art und Schwere der Beeinträchtigung der geschäftlichen Prozesse des Unternehmens erleidet dieses Umsatzeinbussen und Reputationsschäden und hat darüber hinaus hohe Kosten, um den normalen Betrieb wiederherzustellen.

Wie kann man die Wiederherstellungszeit verkürzen?

Die Wiederherstellungszeit nach einem Ransomware-Angriff wird von mehreren Faktoren massgeblich beeinflusst, wobei die tatsächliche Dauer je nach Unternehmen und Situation stark variieren kann:

1. Qualität und Aktualität der Backups:
Unternehmen mit regelmässigen, unveränderlichen und leicht zugänglichen Backups können ihre Systeme deutlich schneller wiederherstellen.
2. Vorhandensein und Effektivität eines Incident-Response-Plans:
Ein gut vorbereiteter und getesteter Wiederherstellungsplan kann die Reaktionszeit erheblich verkürzen.
3. Inventar/Systemübersicht:
Hat man eine gute Übersicht über seine Systeme, so kann die Wiederherstellung einfach priorisiert werden.
4. Entscheidung über Lösegeldzahlung:
Die Entscheidung, ob das Lösegeld gezahlt wird oder nicht, kann die Wiederherstellungszeit beeinflussen, wobei eine Zahlung keine Garantie für eine schnelle Lösung ist und meistens nicht empfohlen wird.
5. Verfügbarkeit von Ressourcen:
Die Anzahl und Expertise des IT-Personals sowie die zur Verfügung stehenden Tools für die Wiederherstellung spielen eine wichtige Rolle.
6. Komplexität der IT-Infrastruktur:
Je komplexer die Systeme, desto aufwendiger kann die Wiederherstellung sein.

Welche Rolle spielen Incident-Response-Teams bei der Wiederherstellung

Incident-Response-Teams spielen eine entscheidende Rolle bei der Wiederherstellung nach einem Sicherheitsvorfall:

1. Den Wettlauf gewinnen:
Von erfahrenen Incident-Expertinnen mit spezialisierten Tools wird eine forensische Analyse durchgeführt, um herauszufinden, wie und wann der Angreifer ins Netzwerk gelangt ist. Je eher dies geschieht, desto schneller kann die Wiederherstellung starten.
2. Koordination der Wiederherstellungsmassnahmen:
Durch Triage werden Wiederherstellungsaufgaben priorisiert, um Ausfallzeiten und betriebliche Störungen zu minimieren.
3. Systemwiederherstellung:
Das Team arbeitet daran, betroffene Systeme wieder online zu bringen, verlorene oder kompromittierte Daten wiederherzustellen und Sicherheitspatches anzuwenden.
4. Meldepflichten und Kommunikation:
Gute Incident-Manager achten auch darauf, dass die gesetzlichen Meldepflichten eingehalten werden und können in der Krisenkommunikation entscheidend helfen, um Reputationsschäden zu vermeiden oder wenigstens zu minimieren.
5. Analyse und Verbesserung:
Nach dem Vorfall führen sie eine umfassende Analyse durch, um die Wirksamkeit der Reaktion zu bewerten und Verbesserungsmöglichkeiten zu identifizieren.
6. Technische Unterstützung:
Sie bieten technische Expertise zur Analyse von Vorfällen, stellen die Verfügbarkeit von Incident-Response-Tools sicher und unterstützen bei der Systemwiederherstellung und Datenwiederherstellung.
7. Laufende Überwachung:
Die Logs der eingesetzten Systeme können engmaschig überwacht werden. Sind keine ausreichenden internen Ressourcen vorhanden, kann dies z. B. auch von einem Security Operations Center, wie es unser Tochterunternehmen FusionOne anbietet, übernommen werden.

Durch diese vielfältigen Aufgaben tragen Incident-Response-Teams massgeblich dazu bei, die Auswirkungen von Sicherheitsvorfällen zu minimieren und eine schnelle und effektive Wiederherstellung des normalen Betriebs zu gewährleisten.

Wenn Sie im Cyber-Notfall Unterstützung benötigen, rufen Sie unsere 24/7-Incident-Response-Hotline an. Mit einer vorhergehenden Vereinbarung garantieren wir Ihnen Reaktionszeiten an 7 Tagen in der Woche, auch an Feiertagen. Gerne unterstützen wir Sie auch dabei, sich optimal auf den Cyber-Notfall vorzubereiten. Nehmen Sie Kontakt zu uns auf – Wir beraten Sie gerne.

---

Quellen:
¹Die Studie beruht auf einer internationalen Befragung von rund 1’800 Unternehmen, davon rund 200 aus der DACH-Region.