Anleitung für den Krisenfall

Ein erfolgreicher Cyber Angriff ist sicherlich eine Katastrophe. Nun heisst es einen kühlen Kopf bewahren, um die Situation zu meistern. Sobald du und dein Team euch auf das Problem einlässt, werdet ihr in der Lage sein, diese Problem Schritt für Schritt in den Griff zu bekommen. Logisch und organisiert auf eine Datensicherheitsverletzung zu reagieren ist überlebenswichtig für die Organisation.

Auch wenn ein Cyber Krimineller ein Lösegeld verlangt muss er nicht die Kontrolle wieder zurückgeben und vor allem bist du jetzt als zahlungswilliges und -fähiges Opfer für weitere Angriffe bekannt, wenn du zahlst!

Zahle nur dann ein Lösegeld, wenn es wirklich keine andere Möglichkeit mehr gibt deine Daten wiederherzustellen und du diese Daten auch unbedingt benötigst. Eine viel einfachere Lösung ist, in eine Endpoint Detection and Response-Lösung zu investieren, die Ransomware stoppen kann, bevor die Schadsoftware überhaupt ausgeführt werden kann.

Um alle durch den Cyberangriff verursachten Schäden zu beheben, benötigst du ein kompetentes und erfahrenes (Reaktions-)Team. Dein Team sollte sich aus IT-Mitarbeitern zusammensetzen, wenn extern, dann bitte vorher alle Vereinbarungen treffen, die den Angriff untersuchen und daran arbeiten, ihn zu beheben. Die Personalabteilung sollte auch einbezogen werden, wenn deine Mitarbeiter von dem Angriff betroffen sind. Marketing und Kommunikation sollten auch einbezogen werden, um deinen Kunden den Angriff am besten zu erklären. Eine rechtsfreundliche Vertretung – aka Rechtsanwalt – ist sinnvoll, da Verletzungen meist auch Verstöße gegen Normen und Richtlinien sein können und damit eine Reihe von rechtlicher Auswirkungen haben können.

Wenn du einen Backup-Server hast und die Sicherungen von dem Angriff unbeschädigt sind, dann wechsle sofort zu einer untersuchten Version. Leider funktioniert das oft nicht, weil der Wiederherstellungsprozess nicht geprüft und durchgeprobt wurde.

Wenn deine Organisation keinen Backup Server hat, dann bitte widerstehe der Versuchung alle deine Server und Workstations einfach auszuschalten. Vordergründig scheint es eine praktikable Lösung zu sein, aber es wird erstens nicht helfen, den Schaden zu beheben und zweitens mögliche Hinweise vernichten

Wenn dein Unternehmen von einem Cyber Einbruch betroffen ist, ist es unerlässlich, dass du die Anzahl der möglichen betroffenen Systeme minimierst. Vorab kannst du Systeme in verschiedene Segmente platzieren. Bei einem Vorfall kannst du dann leicht betroffene Systeme in ihren Segmenten isolieren. Damit kann der störungsfreie Betrieb bei anderen Systemen ermöglicht werden und die Gefahr andere zu infizieren zumindest stark eingeschränkt werden. Sobald die Verletzung erkannt und isoliert wurde, kann dein Reaktionsteam andere Teile des Netzwerks testen, um festzustellen, ob sie ebenfalls kompromittiert wurden.

Nach der ersten Untersuchung solltest du etwa die Größe des Schadens abschätzen können, vor allem welche und wieviele Mitarbeiter betroffen sind. Die Mitglieder der Personalabteilung im Team müssen sich mit allen Auswirkungen vor allem auf die betroffenen Mitarbeiter befassen. In weiterer Folge aber dann auch mit Konsequenzen für alle Mitarbeiter in der Form einer überarbeiteten Richtlinie zur Benutzung der IT Ressourcen. Meist wird das als Betriebsvereinbarung ausgestaltet. Wenn Kunden oder die Öffentlichkeit betroffen sind, muss die Öffentlichkeitsarbeit aus deinem Team versuchen den möglichen Schaden – vor allem Reputationsverlust – kontrollieren. Der Angriff kann sogar rechtliche Auswirkungen haben und da ist vor allem die Hilfe eines Anwalts von Nöten.

Während das Reaktionsteam den Angriff untersucht, stellt das Team auch sicher, dass es sowohl den Vorgang als auch die Ergebnisse dokumentiert. Anhand dieser Dokumentation wirst du in der Lage sein, die Schwachstelle zu ermitteln, die zu dieser Datensicherheitsverletzung geführt hat. Mit den gesammelten Ergebnissen kannst du deine Sicherheitsrichtlinien in der Organisation dann anpassen und umarbeiten.

Kunden, die betroffen sind, müssen von der von deinem Team so schnell wie möglich durch dein Kommunikationsteam aktiv angesprochen werden. Aus Sicherheitsgründen müssen Ihre Kunden möglicherweise ihre Passwörter oder PIN-Nummern ändern, wenn möglicherweise ihre privaten Daten kompromittiert wurden.

Es wird wahrscheinlich auch notwendig sein alternative Kommunikationskanäle zu bedienen, da der normale wahrscheinlich nicht verfügbar ist.

Wenn dein Team nicht in der Lage ist, alleine die IT deines Unternehmens effektiv zu schützen, solltest du möglicherweise mit einem externen Cybersicherheitsunternehmen zusammenarbeiten. Die Auslagerung deiner Cybersicherheitsanforderungen an einen Managed Security Services Provider (MSSP) kann billiger sein und ist oft effektiver als die meisten internen IT-Teams.