Was tun im Falle eines Cyberangriffs?

Das Szenario, vor dem jeder Angst hat – der Bildschirm wird schwarz, die Rechner sind gesperrt und es erscheint eine Nachricht, dass Sie gehackt worden sind und die Angreifer einen wie auch immer gearteten Betrag für die Freigabe der Daten fordern. Dieses ist die deutlichste Form eines Angriffes – es gibt aber auch viele weitere Indizien/ Anzeichen dafür, dass ihr System kompromittiert wurde (z.B. der unkontrollierte Versand von Mails, verdächtiges Verhalten auf dem Server,…) und vermutlich weitergehende Maßnahmen bis zur Vollverschlüsselung vorbereitet werden oder Ihr System ausgespäht wird. 

Charakteristisch für Cyberattacken ist oft, dass quasi schlagartig die Kommunikation im kompletten Unternehmen zum Erliegen kommt und damit meist auch die Wertschöpfung. Von da an beginnt das Krisenmanagement. Oberste Priorität hat hier die Wiederherstellung der internen Kommunikation (über Privathandys und alternative Wege zur internen IT, die zu dem Zeitpunkt nicht genutzt werden kann und darf). Danach geht es darum schnell externe Unterstützung zu aktivieren. Parteien, die dabei involviert sein sollten bzw. müssen, sind unter anderem die Polizei, die Versicherung (falls vorhanden), der Datenschutzbeauftragte (muss in jedem Fall hinzugezogen werden), externe IT-Dienstleister, die bei der Aufklärung und beim Wiederaufbau unterstützen und ggf. weitere Stakeholder. Jedes Unternehmen sollte hierfür eine Notfallliste mit allen Nummern und Ansprechpartnern zur Hand haben, die analog verfügbar ist im Bedarfsfall. 

Im nächsten Schritt geht es an die Forensik – hier wird ermittelt was genau passiert ist und welche Systeme und Daten tatsächlich betroffen sind (sollte dies nicht möglich sein, muss immer davon ausgegangen werden, dass das Komplettsystem kompromittiert ist!). Sobald die Ursache und das Ausmaß geklärt sind, geht es an den Wiederaufbau. Dabei gilt es zunächst die Kontrolle zurückzugewinnen und die Systeme nach und nach wiederherzustellen. Ein entscheidender Faktor ist in dem Kontext vor allem die Geschwindigkeit, denn im Normalfall ist das betroffene Unternehmen zu dem Zeitpunkt immer noch nicht arbeitsfähig und jede Verzögerung bei der Bereitstellung bedeutet einen weiteren Ausfall der Arbeitsleistung. 

Sobald alle Systeme wieder unter Kontrolle sind, folgt abschließend noch die Aufarbeitung des Vorfalls. Unter dem Motto „Lernen und besser werden“, gilt es die Schwachstellen, die ausgenutzt wurden, zu identifizieren und zu schließen. Das Ganze geht einher mit dem Auf- /Ausbau eines IT-Sicherheitsmanagements im Unternehmen, um die Angriffsfläche und die Ausbreitung von Angriffen künftig besser unterbinden zu können.

Wie läuft so ein Angriff in der Praxis ab? Die Motivation professioneller Angreifer lässt sich vereinfacht gesagt in drei Kategorien unterteilen:

• Schnelles Geld verdienen (möglichst vollständige Verschlüsselung, Lösegelderpressung) 
• Spionage (möglichst lange unentdeckt bleiben)  
• Politische Motivation (unterschiedliche Ziele) 

Mit Abstand am häufigsten sehen wir den ersten Punkt. Meist erfolgt der Versuch hier über Streuangriffe, mit denen bekannte Sicherheitslücken (z.B. in Softwareprodukten) ausgenutzt oder offen im Internet erreichbare Dienste angegriffen werden. Ein gezielter Zugriff erfolgt meist nur, wenn die Täter es irgendwie geschafft haben an spezifische Zugangsdaten zu kommen (z.B. über schlecht gesicherte Zugänge, kompromittierte Passwörter, die auch für den Firmenaccount genutzt werden, …). Über das jeweils genutzte Einfallstor versuchen die Täter dann den Zugriff auf andere Systeme auszuweiten, ggf. weitere (Schad-) software nachzuladen oder auch einen stabilen Fernzugriff einzurichten. Die Strategie ist immer zunächst sich im System fest zu setzen und dann das eigentliche Zeil zu verfolgen (Erpressung, Datendiebstahl, Verkauf des Zugangs, …).

Das Gefahrenpotential ist also wie gesehen hoch und das Ausmaß kann verheerend sein. Doch wie können sich Unternehmen schützen bzw. bestmöglich vorbereiten, um den Schaden möglichst in Grenzen zu halten? Auch wenn das Thema an der Stelle nicht abschließend behandelt werden kann, nachfolgend noch ein paar Tipps für effektive Schutzmaßnahmen:

• Minimieren Sie die Angriffsfläche so weit es geht in dem Sie bekannte Schwachstellen schließen (Netzzugänge sichern, Sicherheitsupdates regelmäßig installieren,…) und passende Sicherheitssoftware einsetzen (Firewall, Antivirenprogramme,…)
• Sichern Sie die Zugänge zu Ihren Systemen bestmöglich ab über sichere Passwörter, minimale Benutzerrechte und möglichst einen zweiten Faktor für kritische Bereiche
• Etablieren Sie Maßnahmen über die die Ausbreitung bei einem erfolgreichen Angriff möglichst eingedämmt werden kann (Systeme isolieren, Netztrennung, Übergänge minimieren).
• Achten Sie auf ein funktionsfähiges (isoliertes) Backup aller relevanten Systeme und Daten!

Alle diese Bausteine helfen, um einen Cyberangriff möglichst schadfrei zu überstehen!

Wie in jeder Krisensituation sind die Erprobung im Vorfeld sowie die Etablierung passender Abläufe im Notfall ein wichtiger Baustein, um für den Ernstfall vorbereitet zu sein. Hier hilft es meist externes Wissen ins Haus zu holen sei es um die eigenen Schwachstellen besser identifizieren oder einfach nur um von den Erfahrungen anderer profitieren zu können. Die Fornax GmbH, mit Sitz in Lauchheim und Nördlingen, arbeitet mittlerweile bereits im 15. Jahr erfolgreich an sicheren Konzepten für die IT im Mittelstand und berät Unternehmen aus der Region in allen Fragen rund um die IT-Sicherheit. Sie ist eng verzahnt sowohl mit Behörden, Versicherern und vielen weiteren Parteien und wird deshalb häufig hinzu gerufen, wenn es darum geht akute Krisensituationen in Unternehmen aufzulösen. Wobei Prävention in dem Zusammenhang immer zunächst im Fokus stehen sollte, weshalb die Fornax auch eigene Konzepte für Sicherheitsanalysen in Unternehmen und Security Awareness Schulungen anbietet.