Netzwerkgeräte bei Ransomware - Austausch oder Reset?
Hallo zusammen,
meine Frage hat keinen konkreten Anlass, sondern ist ein theoretisches Szenario: welche Maßnahmen sind zu treffen, wenn sich im Unternehmen eine Ransomware breit gemacht hat? Der Fokus der Überlegungen soll speziell auf der Netzwerkhardware (Switches, Router, Firewall, ggf. Loadbalancer) liegen.
Als Grundannahme nach einem Befall gehe ich erst einmal davon aus, dass alles im Unternehmen per se als kompromittiert anzusehen und deshalb zu isolieren ist. Wenn das soweit erfolgt ist, kommt es ja auch irgendwann zum Restore aus dem Backup bzw. Neuaufbau. An erster Stelle ist dafür ein funktionierendes Netzwerk nötig.
Backups der Konfigurationen der Netzwerkkomponenten, um den vorherigen Zustand schnell wiederherstellen zu können, sollte in diesem Szenario selbstverständlich sein.
Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Viele Grüße
TwistedAir
meine Frage hat keinen konkreten Anlass, sondern ist ein theoretisches Szenario: welche Maßnahmen sind zu treffen, wenn sich im Unternehmen eine Ransomware breit gemacht hat? Der Fokus der Überlegungen soll speziell auf der Netzwerkhardware (Switches, Router, Firewall, ggf. Loadbalancer) liegen.
Als Grundannahme nach einem Befall gehe ich erst einmal davon aus, dass alles im Unternehmen per se als kompromittiert anzusehen und deshalb zu isolieren ist. Wenn das soweit erfolgt ist, kommt es ja auch irgendwann zum Restore aus dem Backup bzw. Neuaufbau. An erster Stelle ist dafür ein funktionierendes Netzwerk nötig.
- Würdet ihr neue Hardware besorgen und das Netzwerk damit neu aufbauen?
- Oder würdet ihr es als hinreichend betrachten die Hardware mit einem Firmware-Upgrade auf Werkseinstellungen zurückzusetzen?
- Können forensische Untersuchungen die zeitnahe Wiederinbetriebnahme der resetteten Switches, etc. verzögern oder gar verhindern?
- Dass vom Angreifer versucht wird die Firewall(s) als zentrale Schaltstelle im Netzwerk zu übernehmen, liegt auf der Hand - wie wahrscheinlich ist eine Infektion der Switches?
Backups der Konfigurationen der Netzwerkkomponenten, um den vorherigen Zustand schnell wiederherstellen zu können, sollte in diesem Szenario selbstverständlich sein.
Wie würdet ihr in einer solchen Situation handeln? Bin auf eure Sichtweisen gespannt...
Viele Grüße
TwistedAir
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672648
Url: https://administrator.de/forum/netzwerkgeraete-bei-ransomware-austausch-oder-reset-672648.html
Ausgedruckt am: 28.04.2025 um 20:04 Uhr
6 Kommentare
Neuester Kommentar
Kommt das nicht auf den "gefundenen" Virus an?
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Moin,
ganz grob:
kommt auf die Größe des Unternehmens und meist auch auf die Frage an, ob eine Cyberversicherung involviert ist. Ist das der Fall, will diese ggf. - und ab gewisser Unternehmens- = Schadensgröße sogar sicher mit eigenem Gutachter besichtigen. Dagegen steht das Interesse des Unternehmens an schnellstmöglicher Wiederherstellung der Arbeitsfähigkeit *). Daher wird schon aus diesen Erwägungen jedenfalls teilweise neue Hardware im Spiel sein.
Sofern es das Budget her gibt, ist es darüber hinaus auch sinnvoll, das Kernnetz ausschließlich mit neuen Komponenten aufzusetzen, da ja erst einmal überprüft werden müsste (sofern die Kompetenz dafür vorhanden und zeitlich einsatzbereit ist), ob und inwieweit ein Befall möglich ist. Hat sich Ransomware aber erst einmal "gemütlich" ausgebreitet, müssen alle Einfallstore und Zentralkomponenten als kompromittiert betrachtet und vollständig neu aufgebaut werden. Clients etc. dürfen natürlich ebensowenig direkt an das neue Netz angeschlossen werden, sonst geht es im Zweifelsfall direkt wieder los.
Gruß
DivideByZero
*) Das darf man nicht unterschätzen. Der Stillstand eines Unternehmens, in dem IT-Prozesse elementar sind, kostet sehr schnell deutlich mehr als alle anderen Schadenpositionen zusammen. Ein Elektroinstallationsbetrieb kann fraglos trotzdem beim Kunden weiterarbeiten, ein Ingenieurbüro mit hochqualifizierten (=teuren) Mitarbeitenden dagegen ist lahmgelegt. Da geht es um Stunden, nicht Tage oder Wochen in der Wiederherstellung der Arbeitsfähigkeit, da bleibt gar keine Zeit, sorgfältig und gründlich die Komponenten zu überprüfen, so dass in einem solchen Fall eigentlich - Budget vorausgesetzt - nichts anderes als neue Hardware für ein Kernnetz infrage kommt.
ganz grob:
kommt auf die Größe des Unternehmens und meist auch auf die Frage an, ob eine Cyberversicherung involviert ist. Ist das der Fall, will diese ggf. - und ab gewisser Unternehmens- = Schadensgröße sogar sicher mit eigenem Gutachter besichtigen. Dagegen steht das Interesse des Unternehmens an schnellstmöglicher Wiederherstellung der Arbeitsfähigkeit *). Daher wird schon aus diesen Erwägungen jedenfalls teilweise neue Hardware im Spiel sein.
Sofern es das Budget her gibt, ist es darüber hinaus auch sinnvoll, das Kernnetz ausschließlich mit neuen Komponenten aufzusetzen, da ja erst einmal überprüft werden müsste (sofern die Kompetenz dafür vorhanden und zeitlich einsatzbereit ist), ob und inwieweit ein Befall möglich ist. Hat sich Ransomware aber erst einmal "gemütlich" ausgebreitet, müssen alle Einfallstore und Zentralkomponenten als kompromittiert betrachtet und vollständig neu aufgebaut werden. Clients etc. dürfen natürlich ebensowenig direkt an das neue Netz angeschlossen werden, sonst geht es im Zweifelsfall direkt wieder los.
Gruß
DivideByZero
*) Das darf man nicht unterschätzen. Der Stillstand eines Unternehmens, in dem IT-Prozesse elementar sind, kostet sehr schnell deutlich mehr als alle anderen Schadenpositionen zusammen. Ein Elektroinstallationsbetrieb kann fraglos trotzdem beim Kunden weiterarbeiten, ein Ingenieurbüro mit hochqualifizierten (=teuren) Mitarbeitenden dagegen ist lahmgelegt. Da geht es um Stunden, nicht Tage oder Wochen in der Wiederherstellung der Arbeitsfähigkeit, da bleibt gar keine Zeit, sorgfältig und gründlich die Komponenten zu überprüfen, so dass in einem solchen Fall eigentlich - Budget vorausgesetzt - nichts anderes als neue Hardware für ein Kernnetz infrage kommt.
1
Pauschal nicht zu beantworten.
Faktoren wie Zeit und Cyberversicherungen spielen sicherlich eine Rolle.
Technisch betrachtet finde ich es eher abwegig. Angenommen, du hast einen Verschlüsselungstrojaner der in Windows Dateien verschlüsselt und kein gezielter Angriff auf dein Unternehmen war. Es ist abwegig anzunehmen, das dann auch dein Cisco Switch in der Ecke plötzlich mit Russland Kontakt hält. Die Annahme, alles ist kompromittiert, ist zwar erstmal gut, aber kann unmöglich die einzige Wahrheit sein. Das würde auch bedeuten, das du keinen Restore von Daten aus deinem Backup in deine neue, saubere Umgebung machen dürftest. Diese Daten könnten Schadsoftware enthalten.
Einen Switch würde ich vermutlich nicht mal zurück setzen und wenn, dann die Config aus einem Backup eventuell wieder einspielen. Man wird sich aber immer ansehen müssen, was passiert ist und dann eine Entscheidung treffen.
Faktoren wie Zeit und Cyberversicherungen spielen sicherlich eine Rolle.
Technisch betrachtet finde ich es eher abwegig. Angenommen, du hast einen Verschlüsselungstrojaner der in Windows Dateien verschlüsselt und kein gezielter Angriff auf dein Unternehmen war. Es ist abwegig anzunehmen, das dann auch dein Cisco Switch in der Ecke plötzlich mit Russland Kontakt hält. Die Annahme, alles ist kompromittiert, ist zwar erstmal gut, aber kann unmöglich die einzige Wahrheit sein. Das würde auch bedeuten, das du keinen Restore von Daten aus deinem Backup in deine neue, saubere Umgebung machen dürftest. Diese Daten könnten Schadsoftware enthalten.
Einen Switch würde ich vermutlich nicht mal zurück setzen und wenn, dann die Config aus einem Backup eventuell wieder einspielen. Man wird sich aber immer ansehen müssen, was passiert ist und dann eine Entscheidung treffen.
3
Hallo und danke für die ersten Reaktionen. 
@DivideByZero und @ukulele-7: das Stichwort "Cyberversicherung" ist ein guter Hinweis - hatte ich so nicht auf dem Schirm, dass es auch von dieser Seite zu Verzögerungen in der Wiederherstellung des Betriebs kommen kann.
Des Weiteren sehe ich es auch so, dass eine "Feld-Wald-und-Wiesen"-Ransomware primär auf Dateien und Clients bzw. Server abzielt und die Unternehmen durch die Löschung und/oder Androhung der Veröffentlichung der Daten zur Zahlung erpresst werden sollen. Ist halt der leichteste Weg für die Angreifer um Geld zu machen.
Welche Möglichkeiten gibt es bei Switches sich einzunisten - und wichtiger: wie erkennt man das? Vor einigen Wochen wurde eine Sicherheitslücke im U-Boot-Bootloader gemeldet. U-Boot wird bei einigen meiner Switches eingesetzt. Ist das ein potentieller Vektor oder liegt die Software in einem schreibgeschützten Bereich? Oder würde ein Angreifer "nur" die Konfiguration so verändern, dass er einen permanenten Zugang erreicht?
Ginge es um Notebooks oder andere Clients, würde ich die Festplatte tauschen (wenn es keine Hinweise auf Manipulation des BIOS/UEFI gäbe), aber bei sowas wie Switches?
Grüße
TA
@DivideByZero und @ukulele-7: das Stichwort "Cyberversicherung" ist ein guter Hinweis - hatte ich so nicht auf dem Schirm, dass es auch von dieser Seite zu Verzögerungen in der Wiederherstellung des Betriebs kommen kann.
Des Weiteren sehe ich es auch so, dass eine "Feld-Wald-und-Wiesen"-Ransomware primär auf Dateien und Clients bzw. Server abzielt und die Unternehmen durch die Löschung und/oder Androhung der Veröffentlichung der Daten zur Zahlung erpresst werden sollen. Ist halt der leichteste Weg für die Angreifer um Geld zu machen.
Zitat von @Visucius:
Kommt das nicht auf den "gefundenen" Virus an?
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Kommt das nicht auf den "gefundenen" Virus an?
Wenn die sich nachweislich in der Netzwerkhardware einnisten und dort nicht zu entfernen sind, muss die HW wohl ausgetauscht werden.
Welche Möglichkeiten gibt es bei Switches sich einzunisten - und wichtiger: wie erkennt man das? Vor einigen Wochen wurde eine Sicherheitslücke im U-Boot-Bootloader gemeldet. U-Boot wird bei einigen meiner Switches eingesetzt. Ist das ein potentieller Vektor oder liegt die Software in einem schreibgeschützten Bereich? Oder würde ein Angreifer "nur" die Konfiguration so verändern, dass er einen permanenten Zugang erreicht?
Ginge es um Notebooks oder andere Clients, würde ich die Festplatte tauschen (wenn es keine Hinweise auf Manipulation des BIOS/UEFI gäbe), aber bei sowas wie Switches?
Grüße
TA
Hi..
Bei einem ehem. Unternehmen hat die Versicherung darauf bestanden, dass das KOMPLETTE Netz ausgetauscht wird.
Hardwareseitig: PC's, Server, Drucker, Plotter, WLAN, Switches, Beamer... eben alles was am Netz hing. Es konnte nicht sichergestellt werden ob die Firmware betroffen war - die meisten Hersteller hatten für sowas keinen Support. Stand damals 2017 - Kostenpunkt damals ca. 5 Millionen... Was die Versicherung trug weiß ich leider nicht und wurde mir auch nicht mitgeteilt.
Gruss Globe!
Bei einem ehem. Unternehmen hat die Versicherung darauf bestanden, dass das KOMPLETTE Netz ausgetauscht wird.
Hardwareseitig: PC's, Server, Drucker, Plotter, WLAN, Switches, Beamer... eben alles was am Netz hing. Es konnte nicht sichergestellt werden ob die Firmware betroffen war - die meisten Hersteller hatten für sowas keinen Support. Stand damals 2017 - Kostenpunkt damals ca. 5 Millionen... Was die Versicherung trug weiß ich leider nicht und wurde mir auch nicht mitgeteilt.
Gruss Globe!
1
Hey,
die Unternehmen welche ich mit solch einer Situation kenne, haben das komplette Equipment ausgetauscht.
Cyberversicherungen sind quasi nichtig wenn keine Lückenlose Doku über den Vorfall vorhanden ist.
Kann man nicht den Nachweis erbringen, dass zu Zeitpunk X folgender Angriff passiert, so sieht es mit Unterstützung von der Seite sehr schlecht aus.
Außerdem muss das Unternehmen so schnell wie möglich wieder sicher an den Start.
Wir haben dafür Notfall Verträge mit Dienstleistern, die uns ein Minimum an Hardware quasi sofort liefern können sofern so ein Fall Eintritt.
Eine Perfekte Lösung gibt es nicht. Außer man hat quasi unendlich Geld.
Gruß
Spirit
die Unternehmen welche ich mit solch einer Situation kenne, haben das komplette Equipment ausgetauscht.
Cyberversicherungen sind quasi nichtig wenn keine Lückenlose Doku über den Vorfall vorhanden ist.
Kann man nicht den Nachweis erbringen, dass zu Zeitpunk X folgender Angriff passiert, so sieht es mit Unterstützung von der Seite sehr schlecht aus.
Außerdem muss das Unternehmen so schnell wie möglich wieder sicher an den Start.
Wir haben dafür Notfall Verträge mit Dienstleistern, die uns ein Minimum an Hardware quasi sofort liefern können sofern so ein Fall Eintritt.
Eine Perfekte Lösung gibt es nicht. Außer man hat quasi unendlich Geld.
Gruß
Spirit
