Incident Response: Im Notfall handlungsfähig bleiben

Eine Cyberattacke ist eines der größten Risiken für Unternehmen: Steht der Betrieb still, wird kein Umsatz gemacht. Die Wiederherstellung des Netzwerks und der Daten kostet Zeit und Geld. Doch Unternehmen mit einem umfassenden Sicherheitskonzept können schneller wieder produktiv werden und den finanziellen Schaden begrenzen.

Erste Hilfe und Brandschutz sind für Unternehmen eine Selbstverständlichkeit. Mitarbeitende kennen die Fluchtwege beim Feueralarm und wissen, wo der Erste-Hilfe-Kasten hängt. Anders ist es bei IT-Notfällen. Hier wissen Angestellte in der Regel nicht, wie sie reagieren sollen und welchen Notruf sie wählen müssen. Vorausgesetzt, sie erkennen einen Notfall überhaupt als solchen. Dabei sind verschlüsselte Rechner und Netzwerke, ohne externe Hilfe kaum zu retten. Wenn Monitore schwarz werden und kriminelle Hacker Lösegeld fordern, braucht es spezialisierte Incident-Response-Dienstleister. Diese unterstützen Unternehmen bei der Datenrettung und Wiederherstellung der IT-Infrastruktur.

Nach Berechnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) lag der Schaden durch Ransomware im Jahr 2021 alleine in Deutschland bei 24,3 Milliarden Euro – Tendenz steigend. Daher entscheiden sich angesichts des hohen Cyberrisikos viele Firmen für eine langfristige Zusammenarbeit mit Fachleuten: Sie vereinbaren schon vor dem Eintritt eines Notfalls eine Incident-Response-Rahmenvereinbarung mit einem auf IT-Sicherheitsvorfälle spezialisierten Dienstleister. Das Ziel: Die optimale Resilienz gegen IT-Sicherheitsvorfälle. Auf diesem Weg sichern sie sich langfristig die Dienste erfahrener IT-Fachleute. Denn ein kontinuierlicher Informationsaustausch führt im Ernstfall zu einem entscheidenden Zeitvorteil und hilft, die Folgen eines Security-Vorfalls zu minimieren. Schon im Vorfeld eines möglichen erfolgreichen Angriffs leisten die Fachleute wichtige Hilfe: Sie unterstützen beim Erstellen von Notfallplänen.

Der Feind im Netzwerk

Cyberattacken gehören zu den größten Gefahren für Unternehmen, wie Zahlen des BSI zeigen: 2021 erfassten die Behörden mehr als 146.000 Cybercrime-Straftaten – eine Zunahme gegenüber dem Vorjahr von mehr als 12 Prozent. Immer noch sind viele Unternehmen ein leichtes Opfer für Cyberkriminelle, weil sie nicht einmal die einfachsten Cybersecurity-Basics berücksichtigen. Neben dem fehlenden Personal und Fachwissen ist ein nicht ausreichendes Budget ein wichtiger Grund für unzureichende IT-Sicherheitsmaßnahmen, denn bei den IT-Budgets zögern viele Verantwortliche noch immer. Ihr oft angeführtes Argument lautet: „IT-Sicherheit generiert keinen Profit.“ Dabei sollten sich Führungskräfte vielmehr die Frage stellen, ob und wie lange ihr Unternehmen im Schadensfall wirtschaftlich überlebens- und handlungsfähig ist, wenn das Netzwerk ausfällt.

Das Fatale an Cyberattacken ist: Oft bleiben die Angreifer über Wochen und Monate unbemerkt. Wenn nicht zufällig ein aufmerksamer IT-Mitarbeiter Unregelmäßigkeiten entdeckt, ist es in der Regel erst der gesperrte Bildschirm mit einer Lösegeld-Forderung, der einen Ransomware-Angriff offenbart. Ab jetzt kostet jede Minute bares Geld. Ab diesem Punkt schlägt die Stunde der Fachleute im Bereich Incident Response. Sie sind häufig die letzte Hoffnung, die Systeme wiederherzustellen.

Harte Fakten für den Einsatz

Bevor ein Incident-Response-Team aktiv werden kann, braucht es Informationen zum aktuellen Notfall. Daher müssen Verantwortliche zentrale Fragen beantworten – vergleichbar mit den zentralen Fragen beim Notruf für die Feuerwehr. Diese Antworten schaffen ein tieferes Verständnis für die aktuelle Situation im Unternehmen:

• Was ist passiert beziehungsweise was passiert gerade?
• Wann ist es passiert?
• Wie ist es aufgefallen? Aus dieser Frage lassen sich auch schon Hinweise zum Angriffsvektor entnehmen.
• Welche Maßnahmen wurden schon getroffen? Dabei geht es um die Frage, ob bereits forensische Spuren gesichert oder Indizien versehentlich unbrauchbar gemacht worden sind. Dies kann schnell passieren, wenn den handelnden Personen vor Ort die notwendigen Kenntnisse fehlen.
• Welches Unternehmen ist betroffen? Handelt es sich um ein produzierendes Gewerbe, um ein KRITIS-Unternehmen oder eine staatliche Einrichtung?

Natürlich sind auch technische Detailfragen vorab zu klären, um die Situation vor Ort besser einzuschätzen und den Einsatz zu planen. Daher brauchen die Fachleute Informationen zur IT-Infrastruktur, zur Netzwerkgröße, zu den Betriebssystemen sowie deren Patchstatus und den eingesetzten Sicherheitskomponenten.

Do‘s and Don‘ts für den IT-Sicherheitsvorfall

Wer handlungsfähig bleiben und gut vorbereitet auf den Einsatz eines externen Einsatzteams sein will, sollte folgende Do‘s and Don‘ts beherzigen:

Do‘s:

• Internen und externen Netzwerkverkehr sofort unterbrechen: So sperren Unternehmen die Angreifer aus und verhindern auch eine weitere Ausbreitung der Infektion.
• Virtuelle Maschinen pausieren oder Snapshots erstellen: Moderne Malware liegt nicht mehr auf der Festplatte, sondern im Arbeitsspeicher. Wer also eine VM ausschaltet, macht den Speicher unbrauchbar und vernichtet dabei mögliche forensische Spuren. Daher ist es ratsam, diese zu pausieren oder ein Snapshot zu erstellen, um einen aktuellen Zwischenstand zu speichern.
• Zentrale Ansprechperson benennen / Stabstelle einrichten: Kurze Kommunikationswege sind beim IT-Notfall essenziell. Eine Ansprechperson oder eine Stabstelle koordiniert dabei die Kommunikation mit dem Incident-Response-Team. Darüber hinaus stimmt sich diese Stelle auch mit beteiligten IT-Dienstleistern ab und kommuniziert mit Kunden sowie Mitarbeitenden.
• Vorurteilsfreie Kommunikation: Wichtig ist eine angstfreie Umgebung, in der auch Mitarbeitende mit wenig IT-Kenntnissen Hinweise zum Vorfall geben können. Vorwürfe oder Schuldzuweisungen helfen in dieser Situation keinem weiter!
• Back-ups prüfen und bereitstellen: Dieses Thema sollten Unternehmen schon vor einem Notfall auf der Agenda stehen haben. Denn im IT-Notfall ist es dafür zu spät. Mit aktuellen Back-ups lässt sich der Datenverlust minimal halten.
• Zusammenarbeit mit lokalen Behörden: Jedes Opfer sollte Strafanzeige stellen, damit die Behörden Ermittlungen einleiten können. Für Cybercrime hat jedes Bundesland eine eigene Anlaufstelle. Darüber hinaus ist die Informationspflicht mit dem Datenschutzverantwortlichen zu klären, um einen möglichen Verstoß fristgerecht zu melden. Dabei gilt die Faustformel: Lieber eine Meldung zu viel als zu wenig.

Don‘ts

• Systeme herunterfahren: Mit dieser Maßnahme zerstören die Betroffenen unter Umständen forensische Spuren oder machen sie unbrauchbar.
• Systeme innerhalb des kompromittieren Netzwerks anfahren: Es besteht die Gefahr, dass die Infektion weitere Teile des Netzes befällt und der Schaden immer größer wird.
• Antivirus-Lösung abschalten: Auch während eines oder nach einem aktiven Angriff hilft die Antivirus-Lösung, indem sie weitere Angriffsversuche abblockt.
• Selbstversuche: Wer ohne Fachkenntnisse handelt und Reparaturversuche unternimmt, verzögert und behindert eine schnelle Aufklärung des Infektionshergangs. Das Risiko einer “Verschlimmbesserung” ist sehr groß.
• Unbegleitete Erpresserkommunikation: Grundsätzlich gilt „Kein Dialog mit Erpressern!“ Wer dennoch dazu gezwungen ist, braucht kompetente Unterstützung.
• Schuldzuweisungen: Wer eine verdächtige Aktion direkt meldet, hilft, den Schaden frühzeitig einzudämmen. Das erfordert eine Unternehmenskultur, in der Mitarbeitende sich trauen, Fehler wie den möglichen Klick auf den Link in einer Phishing-Mail zuzugeben – ohne Konsequenzen fürchten zu müssen.

Heute ist nicht mehr die Frage, ob ein Unternehmen einer Cyberattacke zum Opfer fällt, sondern vielmehr, wann. Firmen, die sich auf dieses Szenario vorbereiten und externe Fachleute um Unterstützung bitten, handeln weitsichtig. Sie sichern auch im Schadensfall das Überleben des eigenen Unternehmens und sind schneller wieder handlungsfähig.