Ein Cyberangriff stellt Unternehmen vor große Herausforderungen. Um bei einem Sicherheitsvorfall effektiv zu handeln und zu reagieren, ist ein Incident Response Management ein wichtiger Bestandteil um den Schaden zu minimieren und erste Maßnahmen umzusetzen. Was Incident Response alles umfasst, wie ein entsprechender Plan aussehen kann und welche Tools sinnvoll sein können, erfahren Sie in unserem Format „5 Fragen an…“ mit Marc Nemes, Mitarbeiter beim FZI Forschungszentrum Informatik in Karlsruhe.
Was sind die ersten Schritte, die ein Unternehmen umsetzen sollte, wenn ein Sicherheitsvorfall entdeckt wird?
Das Wichtigste ist, zunächst Ruhe zu bewahren. In den seltensten Fällen ist bei einem entdeckten IT-Sicherheitsvorfall jede Minute entscheidend. Zeitnah sollte bei einem größeren Unternehmen jedoch ein Krisenstab mit allen wichtigen Akteurinnen und Akteuren eingerichtet werden, dazu zählen z.B. die Geschäftsleitung, IT-Admins, Datenschutzbeauftragte und die Kommunikationsabteilung. Der Krisenstab kann dann gemeinsam das weitere Vorgehen besprechen, Aufgaben verteilen und beschließen, wann er das nächste Mal zusammentrifft.
Beispielsweise kann die oder der Datenschutzbeauftragte prüfen, ob Meldepflichten vorliegen, während die Geschäftsführung die Cyberversicherung informiert und die IT-Abteilung versucht, die Sicherheitskopien physisch zu trennen (falls dadurch keine Daten verloren gehen o.Ä.). Zusätzlich sollten in der Regel betroffene Systeme isoliert und verwendete Passwörter geändert werden, um eine Ausbreitung von Schadsoftware zu verhindern und Angreifer aus dem System auszusperren. Auch die Mitarbeitenden sollten informiert werden, damit sie sich melden können, falls ihnen etwas seltsam vorkommt oder vorkam. Anschließend ist eine Kontaktaufnahme zur Zentralen Ansprechstelle Cybercrime des zuständigen Landeskriminalamts sinnvoll.
„Ein Notfallplan sollte wie eine Brandschutzübung alle paar Jahre getestet werden.“
Marc Nemes
Wie wichtig ist es, ein Incident-Response-Plan und -Team im Voraus zu haben? Welche Schlüsselrollen sollten in dem Team vertreten sein?
Für ein erfolgreiches Incident Response ist ein Notfallplan unerlässlich. Auch wenn es auf den ersten Blick lästig und aufwändig erscheint, einen Notfallplan anzulegen, so spart er im Falle eines IT-Sicherheitsvorfalls wertvolle Zeit. Der Notfallplan sollte zum einen klar zeigen, wer im Notfall welche Aufgaben übernimmt und wer kontaktiert werden sollte. Dadurch wissen bereits zu Beginn des IT-Sicherheitsnotfalls alle Beteiligten, was sie zu tun haben und können parallel ihren Aufgaben nachgehen. Dabei sollten zumindest die Rollen der oben genannten Personen im Krisenstab beschrieben sein. Für die häufigsten Szenarien, wie ein Verschlüsselungstrojaner oder ein Datendiebstahl, können detaillierte Pläne ausgearbeitet werden.
Der Notfallplan sollte dann, wie eine Brandschutzübung, alle paar Jahre getestet werden – selbst wenn der Test schon Wochen im Voraus geplant und angekündigt wird. Hilfreich sind zusätzlich Checklisten, um einen Überblick über erledigte und noch offene Aufgaben und Gegenmaßnahmen zu behalten. Gerade bei den technischen Aspekten des Notfallplans ist es wichtig, die Dokumentation auf einem aktuellen Stand zu halten, beispielsweise, wenn neue Systeme dazukommen oder alte Systeme abgeschaltet werden.
Nur so hat man bei einem Notfall eine gute Übersicht über die existierenden Systeme im Unternehmen und deren Abhängigkeiten und Verbindungen. Diese Vorbereitung ist zugegeben mit zusätzlichem Aufwand verbunden, jedoch kann man sich in Ruhe im Voraus Gedanken machen und muss diese Schritte nicht erst durchgehen, wenn der Vorfall eingetroffen ist.
Zur Person:
Marc Nemes studierte Informatik am Karlsruher Institut für Technologie mit den Schwerpunkten Kryptographie und Sicherheit sowie Algorithmentechnik. Beim FZI Forschungszentrum Informatik in Karlsruhe arbeitet er im Forschungsbereich „Cybersecurity and Law“.
Welche Tools und Technologien sind Ihrer Meinung nach am effektivsten für die Incident Response?
Die sinnvoll eingesetzten Tools hängen von dem jeweiligen Unternehmen ab. So kann ein professionelles System zur Erkennung von Eindringlingen (Intrusion Detection) möglicherweise einen Angreifer erkennen, bevor dieser Schaden anrichten an, jedoch sind derartige Systeme häufig sehr kostspielig und daher für ein sehr kleines Unternehmen nicht zu empfehlen. Ein einfaches Monitoring-System, welches fehlgeschlagene Anmeldeversuche oder erfolgreiche Anmeldungen aus dem Ausland oder nachts erkennt ist wesentlich günstiger und kann oftmals sogar selbst implementiert werden. Wichtig ist auch ein passendes Werkzeug zur Dokumentation der Infrastruktur zu finden, damit schnell klar ist, welche Systeme existieren, welche Ports geöffnet sind und welche Schritte notwendig sind, um einen bestimmten Bereich des Netzwerks zu isolieren. Wenn nach einem Angriff die Systeme neu aufgesetzt werden sollen, ist ein Programm zur Verwaltung der Sicherheitskopien essentiell. Zuletzt können auch nicht-elektronische Werkzeuge bei der Incident Response sehr effektiv sein. Dazu gehören Flipcharts und Whiteboards für die allgemeine Organisation des Vorfalls, oder Klebezettel mit relevanten Informationen über ein System, welche an den jeweiligen Bildschirm geklebt werden. So kann beispielsweise (farblich) markiert werden, welche Systeme schon bereinigt wurden und wieder einsatzbereit sind und welche Systeme noch nicht wieder an das Netzwerk angeschlossen werden dürfen.
Welche häufigen Fehler sehen Sie bei Unternehmen, wenn sie auf Sicherheitsvorfälle reagieren?
Mitarbeitende und IT-Admins, die einen IT-Sicherheitsvorfall in Ihrem Unternehmen entdecken, sind verständlicherweise oftmals zunächst panisch. Diese Panik führt in der Praxis jedoch leider zu unüberlegten Handlungen, welche den bereits eingetretenen Schaden vergrößern oder eine spätere Analyse erschweren. Beispielsweise wird bei einem Verschlüsselungstrojaner der betroffene Computer oftmals abrupt ausgeschaltet, um eine Ausbreitung von Schadsoftware zu verhindern. Das Problem dabei ist jedoch, dass dadurch der flüchtige Arbeitsspeicher des Systems ebenfalls verloren geht. Wird das System stattdessen in den Ruhemodus (engl. „Hibernate“) versetzt, wird die Ausbreitung ebenso verhindert, es besteht jedoch nachträglich eher die Möglichkeit, den zur Verschlüsselung der Daten generierten Schlüssel aus dem Arbeitsspeicher zu extrahieren, und damit die Daten wieder zu entschlüsseln.
Von einer Bezahlung des Lösegeldes rate ich ab. Es gibt keine Garantie, dass die Kriminellen die Daten auch wieder entschlüsseln, stattdessen wird teilweise nach einer getätigten Überweisung noch mehr Geld verlangt. Außerdem markiert sich das betroffene Unternehmen bei den Kriminellen als zahlungswillig, was die Chance eines erneuten Angriffs verstärken kann. Daher ist es besonders wichtig, die betroffenen Systeme nicht nur von Grund auf neu zu installieren (um alle Artefakte der Schadsoftware zu entfernen), sondern bei der Nachbereitung auch das Einfallstor zu finden und zu schließen. Ist der Angriff beispielsweise über eine Schwachstelle in einer veralteten Software erfolgt, ist damit zu rechnen, dass der gleiche Angriff nach kurzer Zeit wieder erfolgen wird, wenn das System 1:1 wie vorher betrieben wird. Dann waren alle Wiederherstellungsmaßnahmen umsonst.
Bei der Außenkommunikation sind die Unternehmen teilweise zu zurückhaltend. Meiner Erfahrung nach haben die Kunden oftmals Verständnis für den Cyberangriff, da sowohl das gehackte Unternehmen als auch dessen Kunden die Opfer sind, und die Kriminellen die eigentlichen Täter. Auch bei der Meldung an die Landesdatenschutzbehörde weiß ich von keinem Fall, bei dem ein Unternehmen bestraft wurde, weil es voreilig etwas gemeldet hat, obwohl sich später herausgestellt hat, dass der Angriff doch nicht so schlimm wie erwartet gewesen ist und gar nicht hätte gemeldet werden müssen.
Wie kann ein Unternehmen den Schaden eines Sicherheitsvorfalls minimieren und die Wiederherstellung beschleunigen?
Sollte es trotz aller Sorgfalt zu einem IT-Sicherheitsvorfall kommen, kann ein Unternehmen immer noch den entstehenden Schaden minimieren. Dies gelingt hauptsächlich durch eine gute Vorbereitung auf einen Notfall, wie mit dem oben genannten Notfallplan. Um den Zugriff eines Angreifers auf Dateien einzuschränken und somit den Schaden zu begrenzen, sollten alle Nutzer nur auf die Daten zugreifen können, auf die sie für ihre Arbeit auch wirklich zugreifen müssen. Somit kann auch ein Angreifer, der ein Konto gehackt hat, nur auf diese Daten zugreifen.
In den Fällen bei denen alle Betriebsgeheimnisse eines Unternehmens gestohlen wurden, nachdem das Benutzerkonto von jemandem aus der Personalabteilung gehackt wurde, ist in den seltensten Fällen diese Person daran schuld. Vielmehr lag es dann an einem zu lockeren Zugriffsmanagement des Unternehmens. Ordentliche Sicherheitskopien können den Schaden bei vielen Angriffen deutlich reduzieren, vor allem bei den häufig auftretenden Verschlüsselungstrojanern.
Je aktueller die Sicherheitskopien sind, desto geringer ist der Datenverlust, was die Zeit der manuellen Nacharbeiten reduziert. Neben dem Sicherungsintervall und der sicheren Aufbewahrung der Sicherheitskopien ist jedoch auch ein regelmäßiger Wiederherstellungstest wichtig. Viele Unternehmen erstellen monatelang Sicherheitskopien, merken jedoch erst im Ernstfall, dass die Wiederherstellung nicht so funktioniert wie erwartet, weil sie nie getestet wurde.
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
