Cyberangriff auf Ihr Unternehmen? So reagieren Sie im Ernstfall richtig!
von Tina Siering
Tipp Nr. 1 für den Ernstfall: Niemals Lösegeld zahlen!
Eine sehr beliebte (und finanziell lukrative) Variante von Cyberkriminalität ist die Verschlüsselung und Erpressung durch Ransomware. Unternehmen, aber auch Kommunen wie der Landkreis Anhalt-Bitterfeld, gerieten in den letzten Jahren verstärkt in den Fokus solcher Attacken. Es handelt sich um Schadsoftware, die sich zunächst unbemerkt im IT-System einnistet, um zu einem bestimmten Zeitpunkt wichtige Daten zu verschlüsseln. Die Angreifer machen die erneute Freigabe der Daten von einer Lösegeldzahlung abhängig.
Hat Ransomware die Sicherheitsvorkehrungen Ihres IT-Netzwerks unterlaufen und Sie können nicht auf Ihre Daten zugreifen, so sollten Sie dennoch Ruhe bewahren. Überdenken Sie mögliche nächste Schritte strategisch, anstatt das Lösegeld zu zahlen. Denn nicht immer erhalten Sie dadurch Ihre Daten wieder – und wenn Sie zahlen, machen Sie genau das, was die Cyberkriminellen wollen und ermuntern Sie damit zur Wiederholung.
Das korrekte Vorgehen bei einem erfolgreichen Cyberangriff mit Ransomware besteht aus mehreren Schritten. Zum einen gilt es, den Infektionsweg zu finden und eine weitere Infektion zu vermeiden. Zum anderen muss das betroffene System neu aufgesetzt werden. Im Anschluss können die Daten aus vorhandenen Backups wiederhergestellt werden. Das bedeutet für die Vorsorge, dass auf regelmäßige Backups zu achten ist und diese auch entsprechend abzuschotten, bspw. in verschiedenen VLANs.
Tipp Nr. 2 für den Ernstfall: Taktisch agieren statt planlos reagieren
Cyberkriminelle setzen auf das Überraschungsmoment und hoffen, damit unvorbereitete Unternehmen zu treffen. Das Fatale dabei: Die Zeit, bis die Kompromittierung eines Systems oder Netzwerks erkannt wird, beträgt durchschnittlich sechs Monate. Ist Ihr Netzwerk dann betroffen, gilt es schnell zu handeln. Daher sollte Ihre IT-Abteilung einen Plan bereithalten, anhand dessen in kurzer Zeit weitreichende Entscheidungen getroffen werden können. Ein solcher Cyber-Notfallplan bewahrt Ihre Mitarbeiter vor Chaos in der frühen Phase eines erfolgreichen Cyberangriffs. Er ermöglicht es, überlegt zu reagieren.
Der typische Notfallplan hat zum Ziel, dass nach einem entdeckten Cyberangriff kein zusätzlicher Schaden im Netzwerk entstehen kann. Dazu müssen häufig Teile der IT-Infrastruktur oder auch alle Systeme zugleich zeitweilig vom Netz genommen werden. Ein wichtiger Punkt des Vorfallreaktionsplans – auch Incident Response Plan genannt – sind die Gäste-Netzwerke. Diese sollten als Erste-Hilfe-Maßnahme deaktiviert werden, damit sich kein Schadcode über das offene WLAN bzw. die Gästegeräte ausbreitet.
Ein korrekt ausgearbeiteter Vorfallreaktionsplan sorgt dafür, dass das firmeneigene IT-Security-Team so detailliert informiert ist, dass es Maßnahmen eigenständig ausführen kann. Im Ernstfall kommt es häufig auf zeitnahe Reaktionen an, sodass es hinderlich wäre, erst die Erlaubnis einer übergeordneten Abteilung einholen zu müssen. Folglich sollten alle Entscheidungswege und -kompetenzen bereits vor dem Ernstfall definiert worden sein. Dazu legen Sie Befugnisse für folgenreiche Entscheidungen, wie das Herunterfahren unternehmenskritischer Systeme, vorab schriftlich fest. Dieses Dokument ist von der Unternehmensführung zu bestätigen. Zudem sollte es Stellvertreter benennen, die tätig werden, falls bestimmtes IT-Fachpersonal am Tag des Cyberangriffs nicht verfügbar ist.
Tipp Nr. 3 für den Ernstfall: Alle Systemebenen im Blick behalten
Sowohl präventiv als auch im akuten Fall ist es wichtig, die komplette IT-Infrastruktur durch eine effiziente Angriffsfrüherkennung, wie den Active Cyber Defense (ACD)-Service von Allgeier secion zu schützen. Der 24/7-Threat Hunting- und Incident Response-Service analysiert das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien. Im Fall einer Kompromittierung der Systeme, wird das Unternehmen unmittelbar informiert und erhält vom ACD-Team konkrete Handlungsempfehlungen, um Schäden durch die Angreifer abzuwenden (Cyber Network Threat Hunting).
Ziel ist, dass kein Schadcode unbemerkt in einer wenig beachteten Systemebene agieren kann. Eine kontinuierliche Überwachung sämtlicher Ebenen dient daher der frühzeitigen Entdeckung und Ausschaltung von Cyberbedrohungen. In Unternehmen, in denen dies nicht gelingt, kann die Schadsoftware, in der bereits erwähnten Zeitspanne von sechs Monaten, unentdeckt im System verbleiben. Mehr als genügend Zeit, um Daten zu sammeln, sich auf andere Systemebenen auszubreiten und den Angreifern in die Karten zu spielen. Zeit ist DER entscheidende Faktor! Denn: Wird der Cyberangriff schließlich entdeckt, kann er bereits großflächigen Schaden angerichtet haben. Um solche Szenarien zu vermeiden, gehören effektive Tools (Hardware und Software) zum regelmäßigen Monitoring aller Systemebenen in den Cyberangriff-Präventionsplan. So lassen sich Bedrohungen umgehend entdecken und die kritische Zeitlücke zwischen „Protection“ und „Response“ kann minimiert werden.
Tipp Nr. 4 für den Ernstfall: Änderungen von Passwörtern und Zugängen!
"Ändern Sie Ihr Passwort!" gehört zu den bekanntesten Tipps nach einem Cyberangriff. Was für das private E-Mail-Konto gilt, trifft in einem größeren Rahmen auch auf die Unternehmensnetzwerke zu. Daher ist dieses Thema ein wichtiger Punkt in Ihrem Cyber-Notfallplan. Beim Ändern von Zugangsdaten kommt es, wie auch bei den anderen Maßnahmen nach einem erfolgreichen Hacker-Angriff, auf Schnelligkeit an.
Gestohlene Passwörter, Zugangscodes und übernommene E-Mail-Konten eignen sich für Cyber-Kriminelle sehr gut, um bei einem Angriff maximalen Schaden auszurichten. Darum muss eine Strategie einsatzbereit vorliegen, die beschreibt, wie z. B. Mitarbeiter an Ersatz-Kennwörter gelangen, während die Unternehmens-IT im Notbetrieb ist. Außerdem sollten die Zuständigkeiten klar sein und Stellvertreter bekannt sein, die im Angriffsfall Zugangsdaten ändern und Ersatz-Passwörter auf sicherem Wege versenden.
Tipp Nr. 5 für den Ernstfall: Vorsorge ist besser als Nachsorge
Wer im Bereich "Incident Response Readiness" (IRR) vorsorgt, hat nicht das Nachsehen. In einem gut vorbereiteten Unternehmen richtet ein erfolgreicher Cyberangriff deutlich weniger oder überhaupt keinen Schaden an. Eine gute Cyber-Abwehrstrategie versetzt das unternehmenseigene IT Security-Team in der Lage, jederzeit Sicherheitsvorfälle schnellstmöglich zu erkennen.
Eine solche Strategie zu entwickeln und zu implementieren, ist ein umfassender Prozess. Für viele Unternehmen lohnt sich in diesem Zusammenhang die Buchung eines IRR-Workshops. In diesem machen Cybersicherheitsexperten Vorschläge für konkret mögliche Vorbereitungsmaßnahmen, die zum Unternehmen passen. Auf diese Weise kann der individuelle Cyber-Notfallplan ein wirksames taktisches Instrument der Prävention werden.
So sollte ein solcher Plan auch die Auswirkungen eines Cyberangriffs am Monatsende mitdenken. Sind nämlich die für die Zahlungsabwicklung benötigten Systeme mitbetroffen, steht nicht nur die Wertschöpfung still. Es können dann keine Gehälter ausgezahlt oder Rechnungen beglichen werden, was schwere Folgen nach sich ziehen kann. Um diese abzuwenden, kann ein Notfallplan organisatorische Regelungen für solche Fälle enthalten.
Fazit
Cyberangriffe auf Unternehmen und Organisationen sind ein weltweites Phänomen. Selbst in den Netzwerken großer Unternehmen wird Schadsoftware noch immer über einen zu langen Zeitraum übersehen. Bis zur Entdeckung des Angriffs können Kriminelle großen Schaden anrichten, z. B. Daten verschlüsselt oder Netzwerkbereiche unbrauchbar gemacht. Um den Schaden eines erfolgreichen Cyberangriffs zu minimieren, ist ein gut ausgearbeiteter, einsatzbereiter Cyber-Notfallplan Gold wert. In diesem sind die nötigen Schritte zur schnellen Reaktion bei einem Hackerangriff so erklärt, dass sie auch in der Aufregung eines Angriffs auf das Unternehmen umgesetzt werden können.
Mit guter Vorbereitung durch Incident Response Readiness wappnen sich Unternehmen proaktiv für den Ernstfall: Mitarbeiter haben durch Schulungen die nötige Expertise aufgebaut, um angemessen auf den Sicherheitsvorfall zu reagieren, eindeutige Abläufe für verschiedene Notfallszenarien wurden festgelegt und Zuständigkeiten sind klar zugewiesen.