Was passiert nach einem Cyberangriff? Der richtige Umgang mit Cyber-Notfällen

Was passiert nach einem Cyberangriff? Der richtige Umgang mit Cyber-Notfällen
Photo by Tim Mossholder / Unsplash

Cyberangriffe gehören zum Alltag der digitalisierten Welt dazu. Daher wird das Thema Cybersicherheit viel diskutiert und befindet sich in der ständigen Weiterentwicklung. Doch zu einer umfassenden Cybersecurity gehört nicht nur die Prävention. Wir müssen auf einen tatsächlichen Angriff vorbereitet sein. Wir müssen die reale Möglichkeit, Opfer einer Cyberattacke zu werden, annehmen und uns auf den potenziellen Fall vorbereiten. Wir müssen wissen, wie wir im Falle einer Cyberattacke handeln.   

Die NIS-Richtlinie 

Ein Stück weit wird der Umgang mit Cyberattacken per Gesetz geregelt beziehungsweise vorgeschrieben. Auf EU-Ebene gilt die NIS-Richtlinie, welche vorschreibt, dass jedes Mitgliedsland nationale Strategie für die Sicherheit von Netz- und Informationssystemen (NIS-Strategie) festzulegen hat. Darunter fällt auch die Bestimmung von Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung. Ferner ist jeder Staat dazu verpflichtet, mindestens ein Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) einzurichten. Dessen Aufgaben beinhalten unter anderem die Überwachung von Sicherheitsvorfällen auf nationaler Ebene sowie die Reaktion auf Sicherheitsvorfälle. 

Firmeninterner Notfallplan – Incident Response Readiness 

Zu einer fundierten Cybersecurity gehört allerdings ebenso firmenintern die Vorbereitung auf den Ernstfall. Incident Response Readiness ist hier das Schlüsselwort. Jedes Unternehmen, egal welcher Größe, sollte einen Notfallplan entwerfen. Hier erfahren Sie mehr über die Erstellung eines solchen Notfallplans.

Ein Notfallplan hilft, Ruhe zu bewahren, strategisch vorzugehen und damit die entscheidenden Schritte zu tätigen, die den Schaden begrenzen. Schritte, die im Notfallplan enthalten sein sollten, sind:   

  1. Umgehende Meldung an interne IT-Experten, Cyber-Versicherungen und Behörden  
     
    Auch wenn anfangs nur ein Verdacht besteht, ist es wichtig, umgehend zu reagieren. Je mehr Zeit verstreicht, desto größer der Schaden. Lieber einmal zu viel reagieren als einmal zu wenig. Gibt es ein Gäste-WLAN, sollte das deaktiviert werden.  
     
  2. Analyse und Dokumentation des Vorfalls und der Beweise 

    Als nächstes geht es darum, so viele Informationen wie möglich über den Vorfall zu sammeln. Welche Geräte und Systeme sind betroffen? Was genau ist passiert? Wo ist das Problem aufgetreten? Wurden Daten entwendet oder verschlüsselt? Um welche Daten handelt es sich?  

    Des Weiteren muss dokumentiert werden, wer ab dem Zeitpunkt des Angriffs Zugriff zu den kompromittierten Systemen hatte und was daran geändert worden ist. Außerdem müssen alle Beweise gesichert werden. Dazu gehören System-Protokolle, Log-Files, Datenträger, Notizen, evtl. Fotos von Bildschirminhalten.  
     
  3. Schutz externer Festplatten und Backups  

    Gibt es eine externe Festplatte, auf der vielleicht sogar Backups vorhanden sind, ist diese umgehend zu trennen, um zu verhindern, dass diese ebenfalls mit Schadsoftware verseucht wird.  

  4. Backups 
     
    Jedes Unternehmen muss für ausreichend Backups sorgen, sodass Daten im Notfall wiederhergestellt werden können.  

Des Weiteren gilt es folgende Punkte zu beachten und ins Protokoll aufzunehmen:  

  • Systeme sollten nur mit Bedacht verändert werden. Ein Neustart kann die Ursachenerforschung erschweren. Bleibt alles vom Zeitpunkt des Angriffs an unverändert, können Angriffsmethode und Einfallstor häufig leichter nachvollzogen werden. Falls möglich, kann es aber sinnvoll sein, infizierte Systeme zu isolieren.  
  • Besitzt die Firma ein Netzwerk-Monitoring, können Spuren des Angreifers erkannt und nachvollzogen werden. Ist dies nicht möglich, sollten Datenströme protokolliert werden.   
  • Malware darf nicht gelöscht werden. Das Löschen vernichtet oder manipuliert Spuren und erschwert dem Incident Response Team die Arbeit. Zudem kommt der Löschversuch in der Regel zu spät.  
  • Kommt es zu einem Cyberangriff, sollte die Weiternutzung der Systeme unterlassen werden. Am besten bleibt alles in Ruhe im Ist-Zustand, bis IR- oder IT-Experten Anleitung zum weiteren Vorgehen gegeben haben.  

Wichtig ist, dass sämtliche Mitarbeiter über den Notfallplan und dessen Inhalt aufgeklärt sind. Jeder muss wissen, was er im Notfall zu tun oder auch nicht zu tun hat. Im besten Fall erfolgt eine leicht verständliche Schritt-für-Schritt-Anleitung.