Wie Sie bei einer Cyberattacke einen kühlen Kopf bewahren (Mit kostenlosem Cyber-Security-Check).

Wie Sie bei einer Cyberattacke einen kühlen Kopf bewahren (Mit kostenlosem Cyber-Security-Check).

Die Frage ist nicht, ob Sie angegriffen werden. Sondern wann Sie angegriffen werden. Erfahren Sie in diesem Artikel, wie Sie sich in vier entscheidenden Bereichen so aufstellen, dass Sie bei einer Cyberattacke handlungsfähig bleiben und einen kühlen Kopf bewahren können. Machen Sie den kostenlosen Cyber-Security-Check und finden Sie heraus wie gut Ihr Unternehmen aufgestellt ist.

Die Digitalisierung beschleunigt unsere wirtschaftliche und gesellschaftliche Entwicklung. Doch die Innovationen legen nicht nur digitale Potentiale frei, sondern machen Unternehmen auch auf neuen Ebenen angreifbar. Unternehmen müssen nicht nur Ihre physischen Unternehmenswerte schützen, sondern auch Ihre immateriellen, digitalen Güter. 

Hierzu zählen die eigenen Unternehmensdaten genauso wie die Software, die das Unternehmen durchdringt und die einzelnen Funktionalitäten im Unternehmen sicherstellt – Software die Produktionsmaschinen steuert, Betriebssysteme, die die Infrastruktur steuern oder die Programme, mit denen die Mitarbeiter tagtäglich arbeiten.  

Die Zahl der digitalen Angriffe auf deutsche Unternehmen steigt dabei kontinuierlich. Im Jahr 2015 hieß es, dass ca. 50% aller Industrieunternehmen bereits Opfer von Cyberangriffen geworden sind. Oft bleibt den Unternehmen dann wenig anderes übrig, als den Forderungen der Hacker und Erpresser nachzukommen und das im Üblichen geforderte Lösegeld für die Freigabe der eigenen Daten zu bezahlen.  

Für das Jahr 2018 gibt das Bundesamt für Sicherheit und Informationstechnik (BSI) an, dass bereits 70% aller Unternehmen und Organisationen in Deutschland Opfer eines Cyber-Angriffes geworden sind. Allein im letzten Quartal 2018 stieg die Anzahl an Meldungen von schwerwiegenden Sicherheitsfällen beim BSI signifikant an. Das Beratungsunternehmen Deloitte schätzt den Schaden, der durch solche Angriffe entsteht in Deutschland auf ca. 50 Mrd. € im Jahr.

Die Frage ist demnach nicht, ob ein Unternehmen angegriffen wird, sondern die Frage lautet lediglich, wann ein Unternehmen angegriffen wird. Entscheidend ist dann, ob sich das Unternehmen zum Zeitpunkt des Angriffes ausreichend auf den Angriff vorbereitet hat.

Wie bewahre ich bei einer Cyber-Attacke kühlen Kopf?

Beim Schutz der digitalen Unternehmens-Infrastruktur geht es dabei um mehr, als nur eine funktionale Firewall im Unternehmen zu implementieren. Es geht vielmehr darum, Strukturen und Prozesse im Unternehmen zu etablieren, mit denen man sich proaktiv vor Angriffen schützen, Angriffe frühzeitig erkennen und im Ernstfall schnell handeln kann. 

In der Regel infizieren die meisten Angreife nur kleine Teile der Infrastruktur, aber auch hier kann es zu schmerzhaften Folgen für die Unternehmen kommen. Stellen Sie sich vor, ein Angreifer infiltriert Ihre Infrastruktur und sie können auf mehrere Terrabyte ihrer Daten nicht mehr zugreifen. Zwar ist nur ein kleiner Teil Ihrer Infrastruktur befallen, die Effekte strahlen aber auf andere Bereiche der Unternehmung aus und die Arbeit wird weiten Teilen erschwert.  

Besonders kritisch sind Cyber-Angriff hingegen dann, wenn das geschädigte Unternehmen keine Strukturen aufgebaut hat, um:

  1. die entstehenden Schäden per Design einzudämmen und
  2. eine schnelle und systematische Reaktion auf den Angriff zu ermöglichen.

In dem Fall können Cyber-Angriffe Ausfälle der kompletten IT-Infrastruktur nach sich ziehen, ganze Produktionsketten lahmlegen und Schadenssummen verursachen, die in den sechsstelligen Euro-Bereich oder sogar darüber hinaus gehen. Gerade für mittelständische Betriebe kann ein Cyber-Angriff somit schnell schwerwiegende Folgen bis hin Bedrohung der Zahlungsfähigkeit mit sich bringen.  

Als IT-Dienstleister begegnen uns Cyber-Attacken regelmäßig in unserem Arbeitsalltag. Im Falle einer Cyberattacke geht zuallererst darum, den entstandenen Schaden zu minimieren und an zweiter Stelle darum, dass Vertrauen in das System nach seiner Wiederherstellung zu konservieren.

Auf Basis unserer Erfahrungen haben wir vier Dimensionen herausgearbeitet, die beim Erreichen dieser beiden Ziele besonders wichtig sind:

  1. Kommunikation  
  2. Forensik
  3. Prävention
  4. Recovery 

Die vier Punkte sind keine Abfolge sondern finden parallel statt. In den vier Bereichen kann ich verschiedene Hausaufgaben als Vorbereitung auf den Ernstfall erledigen. Somit habe ich Waffen und Werkzeuge in der Hand, um ein Recovery-Projekt erfolgreich zu beenden, d.h. dass es nicht in der Katastrophe endet, und die Daten bereits nach wenigen Tagen und nicht erst einige Wochen nach dem erfolgten Angriff wieder verfügbar und die Systeme wieder online sind.

Patient Zero - Wie beginnt ein Ransomware-Vorfall?

Klassischerweise beginnt ein Ransomware-Projekt damit, dass im Unternehmen oder im direkten Umfeld des Unternehmens eine Anomalie auffällt, d.h. eine Attacke provoziert ein erstes Symptom dafür, dass etwas nicht in Ordnung sein könnte. Beispielhaft für solch einen Fall kann ein Mitarbeiter in einem Unternehmen sein, der zum Beginn seines Arbeitstages auf das SAP-System zugreifen möchte, aber keinen Zugriff mehr hat.

Allein der missglückte Zugriff auf ein System ist kein Vorbote einer erfolgten Ransomware-Attacke. Obacht ist jedoch dann geboten, wenn sich die Symptome verstärken. Auf einen Ransomware-Vorfall übersetzt würde dieser Fall eintreten, wenn sich der Mitarbeiter an seine IT-Abteilung wendet, es keine plausible Erklärung für den fehlenden Zugriff gibt und in der IT-Abteilung erkannt wird, dass das verschiedene Systeme beispielsweise flächendeckend nicht mehr verfügbar ist.

In so einem Fall bedarf es einer schnellen Einschätzung, ob weitere Systeme betroffen und wenn ja in welcher Form die Systeme betroffen sind: Welche Systeme sind verschlüsselt, beschädigt oder nicht mehr zugänglich. Man hat sich also einen Überblick über das Ausmaß des Schadens gemacht, weiß aber noch nicht, was passiert ist.  

Um sicher zu gehen, dass sich die Ursache der beschädigten Systeme im Unternehmen nicht mehr weiter ausbreitet, erfolgt dann im Idealfall ein schneller Shutdown der Systeme, die nicht mehr funktionieren. Im schlimmsten anzunehmenden Fall ist das gesamte System befallen und muss offline genommen werden. Das ist für ein Unternehmen ein Worst-Case Szenario. Komplett offline. Nichts geht mehr. Im Grunde genommen, kann ich die Mitarbeiter nach Hause schicken.

Wenn weitreichende Teile der Unternehmens-IT betroffen sind, dann ist die Wahrscheinlichkeit sehr hoch, dass der Ursache ein Schädling von außen ist. Ist der Shutdown massiv, ist man auch bereits mitten im Recovery Projekt. In einem Recovery-Projekt gilt es dabei unbedingt, die Handlungsfähigkeit zu wahren. Deswegen sind die Aufrechterhaltung und Sicherstellung der Kommunikation im Unternehmen zwei entscheidende Faktoren, um angemessen auf eine Cyber-Attacke reagieren zu können.

Warum sind Aufrechterhaltung und Sicherstellung der Kommunikation im Unternehmen so wichtig?

Die erste entscheidende Frage bei einem Shutdown ist: Welche Informationen und Kommunikationskanäle stehen mir noch zur Verfügung, wenn meine IT-Systeme flächendeckend ausfallen?

Oder anders gesagt: Wie kommuniziere ich, wenn mir viele Informationen und vielleicht kein einziger meiner gängigen Kommunikationskanäle nicht mehr zur Verfügung steht? Vielleicht weiß ich nicht mal mehr die Telefonnummer von meinem IT-Dienstleister. Vielleicht weiß ich nicht einmal mehr die Telefonnummern meiner Mitarbeiter.

So ist die Kommunikation bei einer Ransomware Attacke und einem damit verbundenen Shutdown im Unternehmen eine komplett andere, als es normalerweise im Unternehmen der Fall ist.

Uns ist ein Beispiel begegnet, in dem ein Unternehmen jahrelang sämtliche Hebel in Bewegung gesetzt hat, um WhatsApp zu verbannen und als der Fall eines Shutdowns eintrat, war WhatsApp der Kanal, der die Kommunikation im Unternehmen gewährleistet und so zur Schadensminimierung beigetragen hat.

Um auf einen Shutdown vorbereitet zu sein, hilft die Bewertung:

  • Welche Kommunikationskanäle und welche Infrastruktur habe ich noch, wenn ich komplett verschlüsselt bin?
  • Habe ich Notfallkommunikationsmöglichkeiten?
  • Habe ich unabhängige Telefonnummern und E-Mailserver, über die ich die interne und externe Kommunikation abwickeln kann?
  • Habe ich Dokumentationen, IT-Dokumentationen und Kennwörter auch dann noch vorliegen, wenn ich meine Systeme nicht mehr verfügbar habe?

Da kann ich verschiedene Szenarien durchspielen und mir Gedanken machen, ob ich auf den Ernstfall vorbereitet bin. Und im Zweifel ist eine ungeliebte Lösung deutlich besser als gar keine. Ist die Attacke abgewehrt und Normalität eingekehrt, kann man wieder normal kommunizieren.

Im Recovery-Projekt ist das oberste Ziel, den schlimmstmöglichen Fall abzuwenden und Schäden zu minimieren. Aber wenn der Dachstuhl brennt, dann schaut man nicht nach Schimmelflecken hinter der Waschmaschine.

In einem solchen Ernstfall kommt vieles auf eine gute Koordination an und auf klar zugewiesene Aufgaben. Daneben ist ein intaktes Vertrauensverhältnis zwischen den Beteiligten - also der Geschäftsführung, der internen IT-Abteilung und involvierten Dienstleisten - das A & O. Dabei sind Verträge und geschlossene SLA’s mit Dienstleistern zweitrangig, sondern primär geht um ein pragmatisches und lösungsorientiertes Vorgehen.

In der IT arbeitet man normalerweise immer mit Netz und doppeltem Boden. Im Zweifelsfall kann man immer nochmal zurück. In einem solchen Fall ist das ein bisschen anders. Wenn ich mein letztes Backup versehentlich töte, dann habe ich meinen letzten Dodo getötet und evtl. gibt es das Unternehmen danach nicht mehr. In so einer Situation ist Vertrauen die alles bestimmende Währungseinheit.

Jetzt ist durch die Kommunikation allein noch kein Krieg gewonnen. Das System ist immer noch down, und wir haben gewährleistet, dass wir weiterhin kommunizieren können. Die Grundvoraussetzung für alles weitere.

Forensik - Worauf es bei der Analyse einer Cyberattacke ankommt.

Woran es gelegen hat, ist eine entscheidende Frage, denn wenn ich das weiß, kann ich meine Ressourcen im Projekt besser verteilen.  Dann weiß ich, wo ich welche Ressourcen einsetzen muss und wo der größte Handlungsbedarf besteht.

Bei der Suche nach dem Schädling und nach den Schlupflöchern habe vielleicht nicht alle notwendigen Informationen, um sicher nachvollziehen zu können, was passiert ist. Eine große Hilfe bei dieser Suche sind die Logfiles, die das Unternehmen vorliegen hat. Wie hilfreich die Logfiles jedoch sind hängt von der Art und Weise ab, wie die Logfiles vorliegen und ob ich in der Lage bin, meine Logfiles systematisch zu durchsuchen.

Technische Hilfsmittel helfen dabei, Logfiles zu sichern und so aufzubereiten, dass sie sich nicht ständig überschreiben und dann schlussendlich auch darin zu suchen. Für kleinere Unternehmen ist die Finanzierung dieser technischen Tools jedoch schwer darstellbar und so geht es für die Unternehmen ohne diese technischen Hilfsmittel vor allem darum, Logfiles zu sichern und nicht zu überschreiben, Logfiles von befallenden Systemen nicht zu löschen sondern sie dorthin zu schieben, wo ich genügend Speicherplatz habe um später noch schauen zu können, welches System mit welchem kommuniziert hat.

Wenn ich herausgefunden habe, was passiert ist, dann ist das sehr gut, da ich mich voll auf die Wiederherstellung konzentrieren kann. Wenn das nicht geht, dann ist es zwar nicht gut, aber es ist nicht zwingend erforderlich. Es kann passieren, dass man es nur teilweise oder auch gar nicht möglich ist, die Schwachstellen des Systems zu finden, die bei der Attacke ausgenutzt wurden.

Darüber hinaus kann ich mich total auf die Wiederherstellung konzentrieren. Wenn ich hingegen nicht weiß, was passiert ist, muss ich mir hingegen die allgemein die Frage stellen, wie gut ich eigentlich gegen Cyberattacken gerüstet bin.  

Dann ist der schwierigste Punkt, dass man nicht genau weiß, inwieweit man dem System vertrauen kann und wie genau es korrumpiert wurde. In den meisten Fällen wird es aber so sein, dass man nicht genau weiß was passiert ist.

Prävention - Wie man sich bestmöglich vor einer Cyberattacke schützt.

Was sind unsere Hausaufgaben im Bereich Prävention? Ein schönes Bild, mit dem man sich diesem Bereich nähern kann, ist der des Domino Day – wo Millionen von Steinen in einer Halle aufgestellt werden. Jetzt geht es bei der Prävention um drei Dinge: Erkennen, Eingreifen, Wiederherstellen

Ich muss erkennen, dass Dominosteine umfallen, die noch nicht umfallen sollen. Hilfsmittel, dafür sind in der IT: IT-Monitoring und Alerting. Ich muss mitbekommen, wenn Identitäten kompromittiert werden oder Daten verschlüsselt werden.

Gerade das Erkennen von Angriffen ist mitunter schwer, da die Angriffe sehr gut getarnt und kaum zu erkennen sind. Vor allem geht es darum, die Mitarbeiter zu ermutigen, auch bei kleinsten Zweifeln nachzufragen und sich Unterstützung von IT-Spezialisten zu holen.  

Wenn Dominosteine umfallen, dann muss ich auch gleichzeitig in der Lage sein, einzugreifen. Um wieder in die IT zurückzugehen: Ich muss in der Lage sein, unterschiedliche Systeme, Clients, Server oder ganze Standorte netzwerkmäßig voneinander abzuschotten.

Wenn der Angreifer erst einmal ins System eingedrungen ist, dann ist der Schaden nur noch schwer abzuwenden. Er kann aber zumindest eingedämmt werden.

Die Ansteckungsgefahr der unterschiedlichen Einheiten im Unternehmen muss verringert werden und die Isolation infiltrierter Unternehmensbereiche gewährleistet werden. Gut aufgebaute Mechanismen und funktionierende Prozesse machen Unternehmen im Ernstfall handlungsfähig.

Die große Herausforderung besteht darin, herauszufinden, welches System mit welchem kommunizieren sollte. Gleichwohl ist es genauso wichtig, zu eruieren, welche System auf gar keinen Fall miteinander in Verbindung stehen sollten, um unerwünschte Brücken zueinander zu verhindern. Es gilt die Regel: So viele Brücken wie nötig zu schaffen, insgesamt aber so wenige Brücken wie möglich zu haben.  

Man muss in der Lage sein, zwischen verschiedenen Dominofeldern Schotten hochziehen zu können. In der IT über Netzwerksegmentierung und Berechtigungskonzepte helfen dabei, Schadsoftware natürlich Grenzen zu bilden, um das Voranschreiten der Eindringlinge zu verhindern.

Viele Unternehmen administrieren mit Admin-Accounts, die mit weitreichenden Rechten ausgestattet sind und weite Teile der Infrastruktur abdecken. Das macht es dem Angreifer einfach, weil er sich die Rechte einfach erkapern kann. Auf der anderen Seite, wenn ich erkenne, dass ich angegriffen werde und mein System wird nach und nach mehr kompromittiert dann kann ich bei einer granularen Administrierung auch deutlich granularer abschotten und vielleicht nur eine Abteilung abriegeln.

Der Abwehrmechanismus bei einer IT-Attacke ist vergleichbar mit einem Immunsystem: Ich kann auf den Angreifer reagieren, weil ich den Angreifer erkenne und angemessen eingreifen. Und dann geht es auch darum, auf die Wiederherstellung vorbereitet zu sein. D.h. übergeordnet geht es darum, einmal darüber nachdenken, was ist, wenn alles gelöscht ist. Habe ich dann die Tools und Systeme um alles wiederherzustellen? Es geht darum präventiv dafür zu sorgen, dass ich überhaupt wiederherstellen kann und in meinem vorgehen effektiv und effizient bin.

Und ein wichtiger Punkt dabei ist der, ob meine komplette Backup-Infrastruktur mit verschlüsselt worden ist. Wenn ich gut vorbereitet bin, dann ist sie das nicht und ich kann schneller wiederherstellen, als wenn sie es ist.

Ein anderer wichtiger Punkt ist es, daran zu denken, dass ich meine Backup- und Recovery-Systeme so aufstelle, dass ich schnell genug wiederherstellen kann. In dem Bild vom Dominoday würde das bedeuten, dass ich vielleicht genug Platz und freie Zonen habe, dass sich da Leute hinsetzen und wieder aufbauen können. Habe ich genügend Leute.

 

Kommunikation, Prävention und Forensik sind wichtig. Recovery ist wichtiger! Wenn es ernst wird, dann ist nichts wichtiger als die schnelle Wiederherstellung Ihrer Systeme.

Sehr drastisch formuliert kann man sagen, dass Backups für sich genommen nicht wichtig sind, sondern Recovery. Um auf den Ernstfall vorbereitet zu sein, muss ich sicherstellen können, dass die benötigten Backups auch tatsächlich mache. Und dass ich im schlussendlichen Ernstfall in der Lage bin, die Backups zu benutzen und sie in der benötigten Geschwindigkeit wiederherzustellen.

Dabei gliedert sich der Recovery-Prozess in drei Punkte:

  • Bestandsaufnahme
  • Infrastruktur
  • Wiederherstellung

In der Bestandsaufnahme ist meine erste Aufgabe herauszufinden, welche Backups ich insgesamt überhaupt habe und auf welchem Medium sich die Backups befinden. Habe ich bspw. einen Backupserver oder befinden sie sich auf Tape. Im nächsten Schritt mache ich das gleiche für meine Live-Systeme und erhebe, ob sie betroffen sind und ob ich sie wiederherstellen muss? Die Liste kann ich dann clustern und priorisieren sodass die Wiederherstellung in der Reihenfolge erfolgen kann, die die Beste für das Unternehmen ist.

So gewinne ich Klarheit darüber, was mein Job bei der Herstellung ist und welche Aufgaben ich in welcher Reihenfolge erfüllen muss. Wenn ich diese Klarheit gewonnen habe, kann ich mir anschauen, welche Infrastruktur mir für die Wiederherstellung zur Verfügung steht.

Und wenn ich diese Klarheit habe über Backups, Live-Systeme und Infrastruktur habe, dann geht es ans Doing und es wird wiederhergestellt. Der Zeitfaktor ist dabei sehr entscheidend. Denn jeder Systemausfall kostet bares Geld, und je länger er dauert, desto mehr Geld geht Ihrem Unternehmen verloren. Deswegen ist beim Recovery-Prozess die entscheidende Frage: Wie lange brauche ich dafür, meine Systeme wiederherzustellen. Denn nur weil ich in der Nacht ein Backup von meinem ganzen System machen kann, heißt das nicht, dass ich es auch in der gleichen zeit wiederherstellen kann. Darüber sollte ich Klarheit haben.

Fazit

Abschließend ist zu sagen, dass ich eine Cyberattacke nicht verhindern kann. Niemand ist 100% sicher gegen einer Hacker oder eine Insiderattacke. Wenn es mich trifft, dann trifft es mich. Und wenn ich mir noch nie Gedanken gemacht habe und extrem schlecht aufgestellt bin, dann habe ich vielleicht die besten Rettungskräfte, aber der Patient ist tot. Eventuell sind alle Unternehmensdaten verloren und nicht wiederherstellbar.

Vorbereitung ist in einem solchen Fall das A&O dafür, um einen kühlen Kopf zu bewahren. Wenn ich gute Tools, gute Maßnahmen und eine gute Vorbereitung habe, dann komme ich auch sehr schnell wieder online. Die vier aufgezeigten Dimensionen strukturieren Ihre Vorbereitung auf den Ernstfall. Unser kostenloser Cyber-Security-Check hilft Ihnen dabei, sich auf den Ernstfall vorzubereiten.

Jetzt kostenlos anfordern.

Fordern Sie Ihren kostenlosen Cyber-Security-Check an

Mit Klicken auf „Absenden“ erklären Sie sich einverstanden, dass die von ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung ihrer Anfrage genutzt und in unser CRM eingepflegt. Diese Einwilligung können Sie jederzeit durch Nachricht an uns widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Weitere Informationen entnehmen Sie der Datenschutzerklärung.

Thomas
Dumsch
Marketing Manager 0202 / 94 79 6 -223 t.dumsch@bucs-it.de
Thomas Dumsch 02.03.2020 allgemein