Bei einem Hackerangriff einen kühlen Kopf zu bewahren und die richtigen Maßnahmen einzuleiten, kann das Schlimmste verhindern. Wir zeigen, wie man mit dem Worst-Case-Szenario richtig umgeht:
- Allgemeines
- Schritt 1: Sofortmaßnahmen und Krisenmanagement
- Schritt 2: Forensik und Gegenmaßnahmen
- Schritt 3: Einbeziehen der Behörden
- Schritt 4: Kommunikation
- Schritt 5: Vorbeugende Maßnahmen
- Zusammenfassung und Fazit
Allgemeines
In der heutigen Zeit sind kleine und mittelständische Unternehmen (KMU) sowie öffentliche Betriebe, Kommunen und Verwaltungen zunehmend Ziel von Cyberangriffen. Die Gründe dafür können vielfältig sein: Einfachere IT-Systeme, geringere Budgets für IT-Sicherheit, oder die Erkenntnis Angreifender ein kleines Unternehmen, das Teil einer größeren Lieferkette ist, als Einfallstor nutzen zu können.
Was auch immer die Ursache sein mag: Ist es einmal zu einem Vorfall gekommen, so entscheidet die Art und Geschwindigkeit der Reaktion maßgeblich über das Ausmaß des Schadens. Aus diesem Grund möchten wir an dieser Stelle einmal einige wichtige Handlungsempfehlungen für den Ernstfall formulieren.
Schritt 1: Sofortmaßnahmen und Krisenmanagement
Die erste Herausforderung bei einem Cyberangriff ist in der Regel herauszufinden, was überhaupt passiert ist. Welche Systeme sind betroffen? Welche Services laufen noch? Wie lässt sich intern mit den Mitarbeitenden kommunizieren und welche Informationen werden nach außen gegeben?
Die Sofortmaßnahmen dienen der schnellen Aufklärung der Situation und der Schadenminderung.
Im Rahmen des Krisenmanagements wird ein Krisenstab ins Leben gerufen, der regelmäßig in sehr kurzen Abständen zur Lagebesprechung und schnellen Entscheidung zusammenkommt. Ziel ist, wieder vor die Welle der Ereignisse zu kommen und wieder zu agieren, anstatt bloß auf die Geschehnisse zu reagieren. In dieser frühen Phase sind zwei Dinge empfehlenswert:
Schritt 1a): Dokumentation der Schadensmerkmale, Auffälligkeiten und jeder Handlung seit Wahrnehmung der Attacke. In der Rückschau wird es sonst unmöglich, Entscheidungen nachvollziehen zu können.
Schritt 1b): Hinzuziehen von Expert:innen, um die richtige Interpretation der Situation sicherzustellen. Die hauseigene IT ist in dieser Situation in der Regel an Ihrer Grenze, sodass hierauf spezialisierte Anbieter in möglichst kurzer Zeit gefunden, deren Dienstleistung eingekauft und sie schnellstmöglich geonboarded werden müssen. Wenn hingegen ein Versicherungsschutz besteht, können Sie sich an den 24/7-Notfallservice Ihres Versicherers wenden. Damit einhergehend findet auch die Schadensmeldung bei Ihrem Versicherer statt.
Schritt 2: Forensik und Gegenmaßnahmen
Sobald Sofortmaßnahmen ergriffen und eine detaillierte Analyse des Angriffs durchgeführt wurde, gilt es zu eruieren, wie nächste Schritte aussehen können. Hierbei arbeitet die Unternehmens-IT im besten Fall eng mit dem externen Notfallteam und den Behörden zusammen.
Wenn es sich bei dem Angriff um einen Ransomware-Angriff handelt, wird zunächst geprüft, ob Sie die verschlüsselten Daten wiederherstellen können. Hierfür gibt es verschiedene Möglichkeiten, wie das Zugreifen auf Backups oder das Entschlüsseln der Daten mit spezieller Software. Andernfalls gilt es eventuell mit den Angreifenden in Verhandlung zu gehen. Achtung: Ob und wie, dies in Betracht gezogen und umgesetzt wird ist unbedingt von Spezialisten zu bewerten. In einigen Situationen, kann geschickte Verhandlung und Entrichtung eines Lösegeldes letztlich zu einer Schadensbegrenzung führen. Cyberversicherte Unternehmen profitieren dann nicht nur von der Deckung des eingesetzten Verhandlungsspezialisten, sondern in der Regel auch der Erstattung des gezahlten Lösegeldes. Eine Verhandlung in Eigenregie ist in keinem Fall zu empfehlen.
Gleichzeitig sollten alle notwendigen Bemühungen angestellt werden, die Sicherheitslücken in Ihrem IT-System zu schließen, um weitere Angriffe zu verhindern. Das bedeutet zum Beispiel das Neuaufsetzen von virtuellen Umgebungen und Accounts, das Einspielen von Sicherheitsupdates oder das Ändern von Passwörtern. Auch sollten Sie Ihre Mitarbeitende über den Angriff informieren und sie für das Thema IT-Sicherheit sensibilisieren.
Schritt 3: Einbeziehen der Behörden
Während das Notfallteam den Angriff analysiert, um die richtigen Sofortmaßnahmen zu treffen, sollten auch die zuständigen Behörden, wie z.B. das ZAC (Zentrale Anlaufstelle cybercrime), das LKA oder das Bundesamt für Sicherheit in der Informationstechnik (BSI), hinzugezogen werden. Sie können das Unternehmen bei der Untersuchung des Vorfalls und der Feststellung von Beweisen vor allem zur Strafverfolgung unterstützen.
Schritt 4: Kommunikation
In vielen Fällen haben solche Vorfälle ebenfalls Auswirkungen auf Ihre Kund:innen und/oder Lieferketten. Wenn es bspw. zu Betriebsunterbrechungen und damit ggf. zu Produktengpässen, zu Datenverlusten oder sogar Schadsoftwareübertragungen kommt, sollten die Betroffenen schnellstmöglich und proakiv informiert werden. Nur so können diese ihrerseits notwendige Maßnahmen ergreifen und größere Schäden und Reputationsverluste eingedämmt werden. Die gute Nachricht für Gewerbe mit einer Cyber-Police: Auch die hierbei entstehenden Kosten für die Kommunikation wird von der Versicherung getragen.
Schritt 5: Vorbeugende Maßnahmen
Um zukünftige Angriffe zu verhindern, sollten Sie präventive Maßnahmen ergreifen oder verstärkend anpassen. Dazu gehören zum Beispiel das regelmäßige Einspielen von Sicherheitsupdates, das sorgfältige Erstellen von Backups sowie das Schulen der Mitarbeitenden in Sachen IT-Sicherheit. Auch sollten Sie regelmäßige Penetrationstests durchführen lassen, um Schwachstellen rechtzeitig erkennen und ihnen vorbeugen zu können. Viele Versicherer bieten hier Unterstützung, indem sie Versicherten hauseigenen E-Trainings zur Mitarbeitendenschulung anbieten oder bei der Erstellung eines Notfallplans unterstützen.
Zusammenfassung und Fazit
Insgesamt ist es wichtig, schnell zu handeln und alle beteiligten Parteien zu informieren, um die Lage schnell wieder zu kontrollieren und den Schaden so zu minimieren und eine schnelle Wiederherstellung der Systeme, Daten und damit des Betriebsablaufs zu ermöglichen.
Natürlich ist auch unter Einhaltung der oben genannten Schritte der Angriff nicht mit dem Ergreifen der vorbeugenden Maßnahmen vergessen. Die Herstellung der Normalität beinhaltet die vollständige Wiederherstellung der Systeme, des gewohnten Produktions- oder Arbeitsablaufs, die Rehabilitation in den Augen der Kund:innen und Zulieferer sowie im schlimmsten Fall den Umgang mit finanziellen Folgen und Haftbarkeit.
Insbesondere in Bezug auf die Absicherung gegen finanzielle Folgen und zur Finanzierung der Abwehr oder Inanspruchnahme von Schadensersatzansprüchen ist an dieser Stelle noch einmal empfohlen, den Wert einer Cyberversicherung für Ihre Unternehmung als Teil einer ganzheitlichen IT-Sicherheitsstrategie zu prüfen.
Detailliertere Informationen zum Vorgehen in einzelnen Risikosituationen gibt auch der BSI in seinem „Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle“ Für Fragen hierzu steht die CyberDirekt GmbH gern beratend an Ihrer Seite: Beratung vereinbaren