Von: Jasper Bongertz, Principal Network Security Specialist - Head of Incident Response Services, G DATA Advanced Analytics GmbH
Ungepatchte Systeme, eine deaktivierte Sicherheitssoftware, fehlende Updates oder Mitarbeitende, die den Anhang mit Schadsoftware in einer Phishing-Mail öffnen. Die Einfallstore für Kriminelle ins Unternehmensnetzwerk sind vielfältig.
Auch ganzheitliche Schutzkonzepte sind kein Garant dafür, dass es niemals zu einem IT-Sicherheitsvorfall kommt – es kann jedes Unternehmen treffen. Machen Sie sich daher bereits im Vorfeld mit dem Ablauf im Notfall vertraut.
Wie erkenne ich einen IT-Notfall?
Defekte Dateien und eine Lösegeldforderung schaffen die letzte Gewissheit für eine Ransomware-Attacke. Doch nicht immer ist ein Angriff direkt sichtbar und offensichtlich. Wie lässt sich also eine Fehlfunktion von einem Cyberangriff unterscheiden? Generell gilt: IT-Verantwortliche sollten ein klares Bild davon haben, welche Aktivitäten im Netzwerk normal sowie erwartbar und welche ungewöhnlich sind.
Aber auch alle anderen Mitarbeitenden sind gefragt: Schließt sich ein Anhang automatisch kurz nach der Öffnung, kann dies ein Hinweis dafür sein, dass das System kompromittiert wurde. Ermutigen Sie ihre Mitarbeitenden verdächtige Aktionen zu melden und nehmen Sie jeden Verdachtsfall ernst.
Welche Maßnahmen sollten im Ernstfall umgehend ergriffen werden?
Ist das Worst-Case-Szenario eingetreten und das Netzwerk mit Malware befallen, sind Experten erforderlich, um den Schaden zu beheben. Wertvolle Informationen und eine Liste der qualifizierten APT-Dienstleister sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgelistet. Die hier zu findenden IT-Spezialisten helfen Unternehmen nach einer Cyberattacke die Folgen des Angriffs zu minimieren und schnell wieder handlungsfähig zu werden.
Bei einem Erstkontakt mit den Incident-Response-Fachleuten sind folgende Fragen zentral: Um was für ein Unternehmen handelt es sich – gehöre ich beispielsweise zu KRITIS? Was ist passiert oder was passiert gerade? Wie ist der Vorfall aufgefallen? Wie ist die IT-Infrastruktur vor Ort? Wer handlungsfähig bleiben und gut auf den Einsatz der Experten vorbereitet sein möchte, sollte den internen und externen Netzverkehr sofort unterbrechen, die Backups prüfen und bereitstellen sowie die Zusammenarbeit mit lokalen Behörden anstreben. Man sollte auch immer eine Strafanzeige stellen und klären, ob eine Informationspflicht besteht, etwa wenn Daten von Kunden betroffen sind.
Welche Aktionen sollte ich unbedingt vermeiden?
Die Hilfe von ausgewiesenen Experten ist kostspielig. Doch von eigenen Reparaturversuchen ist dringend abzuraten. Dies kann die Aufklärung des Infektionshergangs verzögern und behindern. Die Systeme sollten nur in Absprache und kontrolliert heruntergefahren werden, um forensische Spuren nicht zu zerstören oder unbrauchbar zu machen. Die Verschlüsselung der Daten und die Erpressung von Lösegeld ist ein Schock.
Das Versprechen der Kriminellen: Die Daten werden nach Zahlungseingang wieder entschlüsselt. Eine Kommunikation mit den Erpressern sollte jedoch nur im Ausnahmefall und mit kompetenter Unterstützung der Behörden erfolgen. Häufig suchen Vorgesetzte bei einer Cyberattacke nach verantwortlichen Mitarbeitenden für das Unglück. Doch Schuldzuweisungen helfen an der Stelle nicht weiter und schaffen ein Klima der Angst. Mitarbeitende müssen sich trauen können, Fehler wie den Klick auf eine Phishing-Mail zuzugeben und dürfen dafür keine drastischen Konsequenzen fürchten müssen.
Wie kann ich einem Cyberangriff vorbeugen?
Völlig verhindern lässt sich ein Angriff nicht, aber Sie sollten es den Angreifern so schwer wie möglich machen und ihre IT-Infrastruktur bestmöglich schützen. Dazu gehört, dass alle Systeme technisch auf dem aktuellen Stand sind und in regelmäßigen Abständen auf Schwachstellen untersucht werden. Aber auch die Mitarbeitenden sollten ein Teil der IT-Sicherheitsstrategie und mit den Angriffswegen der Kriminellen vertraut sein. Das gelingt einerseits durch IT-Security Awareness Trainings, die alle Mitarbeitenden – vom Auszubildenden bis zum Management – absolvieren.
Andererseits helfen regelmäßige praktische Schulungen dabei, den Ernstfall wie bei einer Brandschutzübung zu simulieren. Die erlernte Routine hilft im IT-Notfall dabei, alle wichtigen Schritte einzuleiten und niemanden zu vergessen. Zudem sollte eine zentrale Ansprechperson oder Stabstelle im Unternehmen jedem Mitarbeitenden bekannt sein. Schließlich ist ein Notfallhandbuch unumgänglich, das bereits verschiedene Szenarien berücksichtigt, und worin Vorlagen für Dokumente angelegt und Meldewege beschrieben sind. (sg)
