10 Tipps für eine Anzeige von Ransomware-Vorfällen bei der Polizei

Natürlich ist es bei Ransomware - wie anderen Cyber(sicherheits)vorfällen - wesentlich, grundlegend die Sicherheit im Computernetzwerk/-system herzustellen. Das bedeutet, dass kein (zusätzlicher) Schaden eintreten kann! Das heißt auch, dass bereits nach einem Notfallplan (der idealerweise besteht und bereits beübt wurde) vorgegangen wird.

Eine Anzeigenerstattung ist auf jeder nächstgelegenen Polizeiinspektion möglich. Dort können Sie sich auch um Beiziehung des zuständigen BezirksIT-Ermittlers ersuchen. Für Unternehmen, Vereinen, Privatpersonen, etc. liegt die Zuständigkeit bei der Polizei. Bei Kritischen Infrastrukturen, internationalen Organisationen oder verfassungsmäßigen Einrichtungen liegt die Zuständigkeit beim jeweiligen Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT).

Bereiten Sie für eine polizeiliche Anzeigenerstattung (wenn möglich) idealerweise folgende Punkte/Fragestellungen vor:

  1. Sachverhalt: Chronologische Schilderung von WAS/WANN/WIE/WER/WOMIT/WARUM/WO? Welches System/Netzwerk ist wie genau betroffen? Sind Daten abgeflossen? Lösegeldforderung?
  2. Was ist der aktuelle Status Quo für den Betrieb des/der betroffenen Geräts/Geräte (bereits Schaden eingedämmt? Ausfall von Services/Diensten?)
  3. Kontaktdaten: Wer ist die Ansprechperson, über die die weitere Kommunikation zentral laufen soll? Wie soll/kann kommuniziert werden? (Mail, Telefon, …)
  4. Welche IT-Sicherheitsdienstleister sind seit wann eingesetzt und ist es möglich, dass der Ermittler direkt Daten/Informationen mit diesem Unternehmen austauscht?
  5. Gab es Kontakt mit der Täterschaft? Wenn ja, wann und wie?
  6. Wurden etwaige (Pflicht-)Verständigungen bereits durchgeführt? (Datenschutzmeldung, evtl. NIS Meldung, …)
  7. Welche Spuren / digitale Beweismittel gibt es, wie etwa
    • Erpresserschreiben/Screenshots/Ausdrucke/E-Mails (darauf Kryptowährungsadresse oder E-Mail-Adresse der Täterschaft)
    • Logfiles (Windows-Event Logs, Firewall Logs, …)
    Diese nach Möglichkeit mit einem Datenträger wie etwa USB-Stick, DVD, Festplatte oder auch via https://cryptshare.bmi.gv.at dem ermittelnden Beamten zur Verfügung stellen.
  8. Konkret kommunizieren, welche Erwartungshaltung gegenüber der Polizei besteht, neben deren klassischer Tätigkeit zur Strafverfolgung (digitale Forensik / digitale Ermittlungen)
  9. Die Frage nach der Höhe des finanziellen Schadens wird definitiv im Zuge des Ermittlungsverfahrens gestellt werde (finanzieller Aufwand für die Bereinigung / Rekonstruktion / IT-Dienstleister / …)
  10. Gibt es weitere Vorkommnisse, die möglicherweise mit der Ransomware-Infizierung in Zusammenhang stehen könnten?
 

© Copyright 2017 - 2022 Ransomware.at. Alle Rechte vorbehalten.

v0.3.0, aktualisiert 05.11.2022