Netzwerkgeräte bei Ransomware - Austausch oder Reset?
Hallo zusammen,
meine Frage hat keinen konkreten Anlass, sondern ist ein theoretisches Szenario: welche Maßnahmen sind zu treffen, wenn sich im Unternehmen eine Ransomware breit gemacht hat? Der Fokus der Überlegungen soll speziell auf der Netzwerkhardware (Switches, Router, Firewall, ggf. Loadbalancer) liegen.
Als Grundannahme nach einem Befall gehe ich erst einmal davon aus, dass alles im Unternehmen per se als kompromittiert anzusehen und deshalb zu isolieren ist. Wenn das soweit erfolgt ist, kommt es ja auch irgendwann zum Restore aus dem Backup bzw. Neuaufbau. An erster Stelle ist dafür ein funktionierendes Netzwerk nötig.
Backups der Konfigurationen der Netzwerkkomponenten, um den vorherigen Zustand schnell wiederherstellen zu können, sollte in diesem Szenario selbstverständlich sein.
Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Viele Grüße
TwistedAir
meine Frage hat keinen konkreten Anlass, sondern ist ein theoretisches Szenario: welche Maßnahmen sind zu treffen, wenn sich im Unternehmen eine Ransomware breit gemacht hat? Der Fokus der Überlegungen soll speziell auf der Netzwerkhardware (Switches, Router, Firewall, ggf. Loadbalancer) liegen.
Als Grundannahme nach einem Befall gehe ich erst einmal davon aus, dass alles im Unternehmen per se als kompromittiert anzusehen und deshalb zu isolieren ist. Wenn das soweit erfolgt ist, kommt es ja auch irgendwann zum Restore aus dem Backup bzw. Neuaufbau. An erster Stelle ist dafür ein funktionierendes Netzwerk nötig.
- Würdet ihr neue Hardware besorgen und das Netzwerk damit neu aufbauen?
- Oder würdet ihr es als hinreichend betrachten die Hardware mit einem Firmware-Upgrade auf Werkseinstellungen zurückzusetzen?
- Können forensische Untersuchungen die zeitnahe Wiederinbetriebnahme der resetteten Switches, etc. verzögern oder gar verhindern?
- Dass vom Angreifer versucht wird die Firewall(s) als zentrale Schaltstelle im Netzwerk zu übernehmen, liegt auf der Hand - wie wahrscheinlich ist eine Infektion der Switches?
Backups der Konfigurationen der Netzwerkkomponenten, um den vorherigen Zustand schnell wiederherstellen zu können, sollte in diesem Szenario selbstverständlich sein.
Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Viele Grüße
TwistedAir
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672648
Url: https://administrator.de/forum/netzwerkgeraete-bei-ransomware-austausch-oder-reset-672648.html
Ausgedruckt am: 19.05.2025 um 14:05 Uhr
13 Kommentare
Neuester Kommentar
Kommt das nicht auf den "gefundenen" Virus an?
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Moin,
ganz grob:
kommt auf die Größe des Unternehmens und meist auch auf die Frage an, ob eine Cyberversicherung involviert ist. Ist das der Fall, will diese ggf. - und ab gewisser Unternehmens- = Schadensgröße sogar sicher mit eigenem Gutachter besichtigen. Dagegen steht das Interesse des Unternehmens an schnellstmöglicher Wiederherstellung der Arbeitsfähigkeit *). Daher wird schon aus diesen Erwägungen jedenfalls teilweise neue Hardware im Spiel sein.
Sofern es das Budget her gibt, ist es darüber hinaus auch sinnvoll, das Kernnetz ausschließlich mit neuen Komponenten aufzusetzen, da ja erst einmal überprüft werden müsste (sofern die Kompetenz dafür vorhanden und zeitlich einsatzbereit ist), ob und inwieweit ein Befall möglich ist. Hat sich Ransomware aber erst einmal "gemütlich" ausgebreitet, müssen alle Einfallstore und Zentralkomponenten als kompromittiert betrachtet und vollständig neu aufgebaut werden. Clients etc. dürfen natürlich ebensowenig direkt an das neue Netz angeschlossen werden, sonst geht es im Zweifelsfall direkt wieder los.
Gruß
DivideByZero
*) Das darf man nicht unterschätzen. Der Stillstand eines Unternehmens, in dem IT-Prozesse elementar sind, kostet sehr schnell deutlich mehr als alle anderen Schadenpositionen zusammen. Ein Elektroinstallationsbetrieb kann fraglos trotzdem beim Kunden weiterarbeiten, ein Ingenieurbüro mit hochqualifizierten (=teuren) Mitarbeitenden dagegen ist lahmgelegt. Da geht es um Stunden, nicht Tage oder Wochen in der Wiederherstellung der Arbeitsfähigkeit, da bleibt gar keine Zeit, sorgfältig und gründlich die Komponenten zu überprüfen, so dass in einem solchen Fall eigentlich - Budget vorausgesetzt - nichts anderes als neue Hardware für ein Kernnetz infrage kommt.
ganz grob:
kommt auf die Größe des Unternehmens und meist auch auf die Frage an, ob eine Cyberversicherung involviert ist. Ist das der Fall, will diese ggf. - und ab gewisser Unternehmens- = Schadensgröße sogar sicher mit eigenem Gutachter besichtigen. Dagegen steht das Interesse des Unternehmens an schnellstmöglicher Wiederherstellung der Arbeitsfähigkeit *). Daher wird schon aus diesen Erwägungen jedenfalls teilweise neue Hardware im Spiel sein.
Sofern es das Budget her gibt, ist es darüber hinaus auch sinnvoll, das Kernnetz ausschließlich mit neuen Komponenten aufzusetzen, da ja erst einmal überprüft werden müsste (sofern die Kompetenz dafür vorhanden und zeitlich einsatzbereit ist), ob und inwieweit ein Befall möglich ist. Hat sich Ransomware aber erst einmal "gemütlich" ausgebreitet, müssen alle Einfallstore und Zentralkomponenten als kompromittiert betrachtet und vollständig neu aufgebaut werden. Clients etc. dürfen natürlich ebensowenig direkt an das neue Netz angeschlossen werden, sonst geht es im Zweifelsfall direkt wieder los.
Gruß
DivideByZero
*) Das darf man nicht unterschätzen. Der Stillstand eines Unternehmens, in dem IT-Prozesse elementar sind, kostet sehr schnell deutlich mehr als alle anderen Schadenpositionen zusammen. Ein Elektroinstallationsbetrieb kann fraglos trotzdem beim Kunden weiterarbeiten, ein Ingenieurbüro mit hochqualifizierten (=teuren) Mitarbeitenden dagegen ist lahmgelegt. Da geht es um Stunden, nicht Tage oder Wochen in der Wiederherstellung der Arbeitsfähigkeit, da bleibt gar keine Zeit, sorgfältig und gründlich die Komponenten zu überprüfen, so dass in einem solchen Fall eigentlich - Budget vorausgesetzt - nichts anderes als neue Hardware für ein Kernnetz infrage kommt.
1
Pauschal nicht zu beantworten.
Faktoren wie Zeit und Cyberversicherungen spielen sicherlich eine Rolle.
Technisch betrachtet finde ich es eher abwegig. Angenommen, du hast einen Verschlüsselungstrojaner der in Windows Dateien verschlüsselt und kein gezielter Angriff auf dein Unternehmen war. Es ist abwegig anzunehmen, das dann auch dein Cisco Switch in der Ecke plötzlich mit Russland Kontakt hält. Die Annahme, alles ist kompromittiert, ist zwar erstmal gut, aber kann unmöglich die einzige Wahrheit sein. Das würde auch bedeuten, das du keinen Restore von Daten aus deinem Backup in deine neue, saubere Umgebung machen dürftest. Diese Daten könnten Schadsoftware enthalten.
Einen Switch würde ich vermutlich nicht mal zurück setzen und wenn, dann die Config aus einem Backup eventuell wieder einspielen. Man wird sich aber immer ansehen müssen, was passiert ist und dann eine Entscheidung treffen.
Faktoren wie Zeit und Cyberversicherungen spielen sicherlich eine Rolle.
Technisch betrachtet finde ich es eher abwegig. Angenommen, du hast einen Verschlüsselungstrojaner der in Windows Dateien verschlüsselt und kein gezielter Angriff auf dein Unternehmen war. Es ist abwegig anzunehmen, das dann auch dein Cisco Switch in der Ecke plötzlich mit Russland Kontakt hält. Die Annahme, alles ist kompromittiert, ist zwar erstmal gut, aber kann unmöglich die einzige Wahrheit sein. Das würde auch bedeuten, das du keinen Restore von Daten aus deinem Backup in deine neue, saubere Umgebung machen dürftest. Diese Daten könnten Schadsoftware enthalten.
Einen Switch würde ich vermutlich nicht mal zurück setzen und wenn, dann die Config aus einem Backup eventuell wieder einspielen. Man wird sich aber immer ansehen müssen, was passiert ist und dann eine Entscheidung treffen.
3
Hallo und danke für die ersten Reaktionen. 
@DivideByZero und @ukulele-7: das Stichwort "Cyberversicherung" ist ein guter Hinweis - hatte ich so nicht auf dem Schirm, dass es auch von dieser Seite zu Verzögerungen in der Wiederherstellung des Betriebs kommen kann.
Des Weiteren sehe ich es auch so, dass eine "Feld-Wald-und-Wiesen"-Ransomware primär auf Dateien und Clients bzw. Server abzielt und die Unternehmen durch die Löschung und/oder Androhung der Veröffentlichung der Daten zur Zahlung erpresst werden sollen. Ist halt der leichteste Weg für die Angreifer um Geld zu machen.
Welche Möglichkeiten gibt es bei Switches sich einzunisten - und wichtiger: wie erkennt man das? Vor einigen Wochen wurde eine Sicherheitslücke im U-Boot-Bootloader gemeldet. U-Boot wird bei einigen meiner Switches eingesetzt. Ist das ein potentieller Vektor oder liegt die Software in einem schreibgeschützten Bereich? Oder würde ein Angreifer "nur" die Konfiguration so verändern, dass er einen permanenten Zugang erreicht?
Ginge es um Notebooks oder andere Clients, würde ich die Festplatte tauschen (wenn es keine Hinweise auf Manipulation des BIOS/UEFI gäbe), aber bei sowas wie Switches?
Grüße
TA
@DivideByZero und @ukulele-7: das Stichwort "Cyberversicherung" ist ein guter Hinweis - hatte ich so nicht auf dem Schirm, dass es auch von dieser Seite zu Verzögerungen in der Wiederherstellung des Betriebs kommen kann.
Des Weiteren sehe ich es auch so, dass eine "Feld-Wald-und-Wiesen"-Ransomware primär auf Dateien und Clients bzw. Server abzielt und die Unternehmen durch die Löschung und/oder Androhung der Veröffentlichung der Daten zur Zahlung erpresst werden sollen. Ist halt der leichteste Weg für die Angreifer um Geld zu machen.
Zitat von @Visucius:
Kommt das nicht auf den "gefundenen" Virus an?
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Kommt das nicht auf den "gefundenen" Virus an?
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Welche Möglichkeiten gibt es bei Switches sich einzunisten - und wichtiger: wie erkennt man das? Vor einigen Wochen wurde eine Sicherheitslücke im U-Boot-Bootloader gemeldet. U-Boot wird bei einigen meiner Switches eingesetzt. Ist das ein potentieller Vektor oder liegt die Software in einem schreibgeschützten Bereich? Oder würde ein Angreifer "nur" die Konfiguration so verändern, dass er einen permanenten Zugang erreicht?
Ginge es um Notebooks oder andere Clients, würde ich die Festplatte tauschen (wenn es keine Hinweise auf Manipulation des BIOS/UEFI gäbe), aber bei sowas wie Switches?
Grüße
TA
Hi..
Bei einem ehem. Unternehmen hat die Versicherung darauf bestanden, dass das KOMPLETTE Netz ausgetauscht wird.
Hardwareseitig: PC's, Server, Drucker, Plotter, WLAN, Switches, Beamer... eben alles was am Netz hing. Es konnte nicht sichergestellt werden ob die Firmware betroffen war - die meisten Hersteller hatten für sowas keinen Support. Stand damals 2017 - Kostenpunkt damals ca. 5 Millionen... Was die Versicherung trug weiß ich leider nicht und wurde mir auch nicht mitgeteilt.
Gruss Globe!
Bei einem ehem. Unternehmen hat die Versicherung darauf bestanden, dass das KOMPLETTE Netz ausgetauscht wird.
Hardwareseitig: PC's, Server, Drucker, Plotter, WLAN, Switches, Beamer... eben alles was am Netz hing. Es konnte nicht sichergestellt werden ob die Firmware betroffen war - die meisten Hersteller hatten für sowas keinen Support. Stand damals 2017 - Kostenpunkt damals ca. 5 Millionen... Was die Versicherung trug weiß ich leider nicht und wurde mir auch nicht mitgeteilt.
Gruss Globe!
1
Hey,
die Unternehmen welche ich mit solch einer Situation kenne, haben das komplette Equipment ausgetauscht.
Cyberversicherungen sind quasi nichtig wenn keine Lückenlose Doku über den Vorfall vorhanden ist.
Kann man nicht den Nachweis erbringen, dass zu Zeitpunk X folgender Angriff passiert, so sieht es mit Unterstützung von der Seite sehr schlecht aus.
Außerdem muss das Unternehmen so schnell wie möglich wieder sicher an den Start.
Wir haben dafür Notfall Verträge mit Dienstleistern, die uns ein Minimum an Hardware quasi sofort liefern können sofern so ein Fall Eintritt.
Eine Perfekte Lösung gibt es nicht. Außer man hat quasi unendlich Geld.
Gruß
Spirit
die Unternehmen welche ich mit solch einer Situation kenne, haben das komplette Equipment ausgetauscht.
Cyberversicherungen sind quasi nichtig wenn keine Lückenlose Doku über den Vorfall vorhanden ist.
Kann man nicht den Nachweis erbringen, dass zu Zeitpunk X folgender Angriff passiert, so sieht es mit Unterstützung von der Seite sehr schlecht aus.
Außerdem muss das Unternehmen so schnell wie möglich wieder sicher an den Start.
Wir haben dafür Notfall Verträge mit Dienstleistern, die uns ein Minimum an Hardware quasi sofort liefern können sofern so ein Fall Eintritt.
Eine Perfekte Lösung gibt es nicht. Außer man hat quasi unendlich Geld.
Gruß
Spirit
Zitat von @TwistedAir:
Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Moin
Wenn man der für das Netz verantwortliche ist, dafür sorgen, daß es erst gar nicht soweit kommt.Ransomware fällt nämlich nicht einfach so vom Himmel.
Und einen Notfallplan bereit haben, das man den (Not-)Betrieb innerhalb kürzester Zeit mit neuem Equipment wiederaufnehmen kann. Das ist nicht nur für Ransomwarefälle wichtig, sondern falls auch mal ie Bude abbrennt oder unter Wasser steht.
lks
Zuerst mal hängt das aus meiner Sicht davon ab - was WURDE überhaupt betroffen? War es die arbeitsstation von irgendeinem Mitarbeiter oder war es ne Admin-Station? Dann hängt es auch davon ab - was kann man überhaupt beschaffen? Hilft ja nix wenn ich sage "ich tausche alles aus", der Lieferant mir dann aber sagt "kein Ding, in 3 Monaten hast die Hardware". Und dann natürlich auch vom Status der Hardware - ist die eh EoL, dann das ganze gleich in einem Rutsch mitmachen, wenn die aber noch recht neu ist dann eher schauen ob die betroffen war und wie ich das verhindern kann. Für die Versicherung halt im zweifel nen Image von allen machen und klären wie es weiterläuft - denn ich kann die Geräte eh nicht einfach weiterlaufen lassen wenn ich nicht weiss wer da ggf. schon zugriff hat.
Moin,
Wir haben in der Regel ein Lager für solche Fälle. Da sind für jeden Gerät Typ entsprechende Stückzahlen vorhanden. So dass wir in der Regel innerhalb von 2-3 Tagen wieder eine Grundfunktion haben. Klar, dass ist totes Kapital in dem Lager. Aber wer schon mal ausgerechnet hat, was ein Ausfall von Wochen oder Monaten kosten kann, ist das vertretbar bzw. sehr geringe Kosten. Mal abgesehen von Imageschaden, evtl. Strafzahlungen an Kunden, etc.
Es sollte auch der letzte inzwischen kapiert haben, dass es nur eine Frage ist wann es passiert. Es wird auf jeden Fall passieren.
Gruß,
Dani
Wenn man der für das Netz verantwortliche ist, dafür sorgen, daß es erst gar nicht soweit kommt.Ransomware fällt nämlich nicht einfach so vom Himmel.
das ist ab einer gewissen Größe, Geräte Anzahl, Komplexität fast unmöglich. In der Regel hast du dann nicht nur ein Betriebsteam sondern mehrere. Wenn du Pech hast quer verteilt in Europa/weltweit. Da hast du immer das Risiko, dass was passiert.Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Wir haben bis dato alle Geräte in dem betroffenen Netzbereich getauscht, egal welcher Typ. Das Risiko ist einfach zu groß, dass es dort nochmals in 2 Wochen, 3 Monaten erneut soweit kommt. Das wäre doch suboptional für allen Beteiligten.Wir haben in der Regel ein Lager für solche Fälle. Da sind für jeden Gerät Typ entsprechende Stückzahlen vorhanden. So dass wir in der Regel innerhalb von 2-3 Tagen wieder eine Grundfunktion haben. Klar, dass ist totes Kapital in dem Lager. Aber wer schon mal ausgerechnet hat, was ein Ausfall von Wochen oder Monaten kosten kann, ist das vertretbar bzw. sehr geringe Kosten. Mal abgesehen von Imageschaden, evtl. Strafzahlungen an Kunden, etc.
Es sollte auch der letzte inzwischen kapiert haben, dass es nur eine Frage ist wann es passiert. Es wird auf jeden Fall passieren.
Gruß,
Dani
Moin,
"klassische" Ransomware hat Netzwerkgeräte nicht als Ziel. Es gibt auf diesen kein passendes Dateisystem wie NTFS oder EXT4. Angriffsvektor ist dann aber kein direkter Hackerangriff durch die "Vordertür" sondern eher Email, unbekannte Datenträger oder Weblinks. Somit ist es essenziell wichtig, dass ein gut funktionierender Endpunkt-Schutz vorhanden ist.
Dieser Typ von Geräten wird, wenn es mal passiert, durch Sicherheitslücken kompromittiert und hat zur Folge, dass die Firmware verändert oder zerstört wird. Damit ist ein weiterer Betrieb zwecklos.
Es gab in der Vergangenheit einige Beispiele z.B. VPNFilter (Router von Linksys, MiktoTik, Netgear...) oder Cyclops Blink (Firewalls von Watchguard). Ziel war aber eher Spionage und/oder Zerstörung.
"klassische" Ransomware hat Netzwerkgeräte nicht als Ziel. Es gibt auf diesen kein passendes Dateisystem wie NTFS oder EXT4. Angriffsvektor ist dann aber kein direkter Hackerangriff durch die "Vordertür" sondern eher Email, unbekannte Datenträger oder Weblinks. Somit ist es essenziell wichtig, dass ein gut funktionierender Endpunkt-Schutz vorhanden ist.
Dieser Typ von Geräten wird, wenn es mal passiert, durch Sicherheitslücken kompromittiert und hat zur Folge, dass die Firmware verändert oder zerstört wird. Damit ist ein weiterer Betrieb zwecklos.
Es gab in der Vergangenheit einige Beispiele z.B. VPNFilter (Router von Linksys, MiktoTik, Netgear...) oder Cyclops Blink (Firewalls von Watchguard). Ziel war aber eher Spionage und/oder Zerstörung.
1
Tolle Impulse hier von euch, anhand derer wir unser Konzept noch mal abklopfen können. Konsens scheint ja zu sein, dass auf jeden Fall die Clients ausgetauscht werden. Beim aktiven Netzwerk und in der Virtualisierung tendiert es eher zu einem "es kommt drauf an".
Unser Konzept sieht - wie andere es schon beschrieben haben - vor, dass Notfall-Hardware vorrätig ist, mit der die Kern-Applikationen zeitnah bereitgestellt werden können. Bei der Wiederherstellung des Regelbetriebs muss geprüft werden, was neu beschafft wird und was ggf. "noch mal frisch" gemacht werden kann.
Danke euch allen.
TA
Unser Konzept sieht - wie andere es schon beschrieben haben - vor, dass Notfall-Hardware vorrätig ist, mit der die Kern-Applikationen zeitnah bereitgestellt werden können. Bei der Wiederherstellung des Regelbetriebs muss geprüft werden, was neu beschafft wird und was ggf. "noch mal frisch" gemacht werden kann.
Danke euch allen.
TA
Die meiste Schadsoftware "von der Stange" kommt per E-Mail oder Browser und greift dann z.B. Dateien an. Das kann aber auch genau andersrum sein, deine Firewall oder dein Exchange fängt sich was, der Angreifer sitzt aber deswegen noch nicht überall im System.
und selbst bei clients würde ich noch behaupten "es kommt darauf an". Denn: Es kann ja auch durchaus reichen wenn die mal neu installiert werden. Grad in so einem Fall ist "hektisch loslaufen" nunmal eher problematisch, erstmal schauen was überhaupt passiert ist und DANN die Maßnahmen überlegen (notfalls mit Hilfe von Externen wenn man sich nich sicher ist). Nur weil irgendein Dödel mal wieder auf nen Mail-Anhang geklickt hat (oder ne Datei sonstwie ausgeführt hat) gleich das ganze System wegwerfen? Dürfte eher nich sinnvoll sein. Wenns dagegen schon wirklich zielgerichtet war wäre es eh nötig zu gucken wo die Schwachstelle war, nur das Austauschen würde die ja nicht zwingend beheben...
