Thought Leadership
Cyberangriffe sind in der heutigen Geschäftswelt eine ernstzunehmende Bedrohung, und sie werden immer raffinierter. Kein Sicherheitsverantwortlicher gewöhnt sich jemals an diese Attacken, doch das erste Mal kann besonders entmutigen. Daher empfiehlt es sich, ausreichend auf eine entsprechende Sicherheitsverletzung vorbereitet zu sein und über einen effizienten Incident-Response-Plan zu verfügen.
Kudelski Security zeigt Ihnen, welche Schritte Sie nach einem erfolgreichen Cyberangriff befolgen sollten.
Schritt 1: Ruhe bewahren
Keine Panik! Das kann schwierig sein, wenn Ihr Unternehmen gehackt wurde. Es geht dabei schließlich nicht nur um die direkten Auswirkungen des Cyberangriffs, sondern auch um finanzielle Schäden und Reputationsverlust. Daher müssen Sie ruhig bleiben und besonnen handeln. Erschweren Sie nicht die Arbeit der Spezialisten, die den Sachverhalt untersuchen. So sollten Sie etwa darauf achten, dass Sie keine Daten löschen, die von zentraler Bedeutung sind. Und auch das planlose Zurücksetzen von Passwörtern, die Deaktivierung von Konten oder der Versuch einer Kontaktaufnahme zum Angreifer zählen dazu. Zudem sollten Sie keinesfalls probieren, das Problem selbst zu beheben.
Schritt 2: Ermitteln Sie das Ausmaß
Die Reaktion auf einen Cyberangriff erfolgt am besten nach einer ersten Analyse des gesamten Vorfalls. Dazu sollten sich Unternehmen folgende Fragen stellen: Was ist betroffen und wie ist es passiert? Wann und über welchen Zeitraum geschah der Angriff? Welche Aktionen könnte der Eindringling durchführen? Die Antworten auf diese Fragen helfen den zuständigen Sicherheitsstellen zu entscheiden, wie sie am besten vorgehen. So lässt sich später der Schaden bestmöglich eingrenzen und beseitigen.
Schritt 3: Erstellen Sie einen Plan
Zeit ist bei einem erfolgreichen Cyberangriff von entscheidender Bedeutung, daher ist schnelles Handeln gefragt. Die bisher ermittelten Informationen sollten ausreichen, um die ersten Gegenmaßnahmen zu planen. Dieser Plan muss keineswegs vollständig sein und zugewiesene Rollen und Zeitpläne enthalten. Er sollte jedoch einen übersichtlichen Schritt-für-Schritt-Prozess für die ersten Phasen der Reaktion beinhalten. So lassen sich beispielsweise Incident Response Playbooks schon lange vor einem Angriff erstellen.
In den ersten Monaten als neuer Sicherheitsverantwortlicher sollten Sie außerdem Bereitschaftspläne und Übungen für die Reaktion auf mögliche Vorfälle entwickeln – Cyber-Krisensimulationen, Red-, Blue- und Purple-Teaming, Cyber-Krisensimulationen. Bei Ihrer Vorbereitung sollten Sie besonders auf eine der größten Bedrohungen eingehen: Ransomware. Hierfür bietet Kudelski Security eine Vielzahl von Ressourcen zur Unterstützung an.
Schritt 4: Dämmen Sie den Angriff ein
Zunächst sollten Sie herausfinden, ob Ihr Unternehmen über ein EDR-System (Endpoint Detection and Response) verfügt, mit dem sich das Risiko aus der Ferne eindämmen lässt. Andernfalls müssen Sie manuell vorgehen und das Netzwerk von der Anlage trennen. Bei einem physischen Anschluss stellt sich weiter die Frage, ob sich das Risiko anhand der verfügbaren Informationen lokalisieren lässt. Wichtig ist zudem, ob der Cyberangriff nur einer Workstation oder gar einem ganzen Server galt. Eine Workstation lässt sich problemlos offline schalten, da sich die Auswirkungen auf einen einzelnen Benutzer beschränken. Bei einem Server hingegen müssen Sie grundsätzlicher planen und die Konsequenzen abschätzen. Handelt es sich beispielsweise um die Infrastruktur einer Fabrik, könnten Ausfallzeiten zu erheblichen finanziellen Verlusten führen.
Sind untypische Aktivitäten nicht erst seit Kurzem aufgetreten, sondern bereits seit mehreren Monaten, ist es vermutlich für eine Eindämmung zu spät, und Sie sollten vorsichtig agieren. Die Hacker könnten darauf aufmerksam werden, dass sie entdeckt wurden, und eigene Gegenmaßnahmen starten, indem sie beispielsweise Daten löschen oder Ransomware einsetzen. In diesem Fall ist es erst einmal sinnvoller, das Verhalten der Cyberkriminellen zu beobachten. Finden Sie heraus, wie stark Ihr Netzwerk kompromittiert ist. Danach können Sie einen Plan erstellen, wie sich der Schaden begrenzen lässt.
Schritt 5: Konsultieren Sie einen Experten
Sicherheitslecks können erhebliche finanzielle Schäden verursachen. Doch wie der Vorfall gehandhabt wird, kann das Ausmaß beeinflussen. Es lohnt sich daher immer, auf das Know-how bewährter Sicherheitsexperten zurückzugreifen. So können Sie Geld sparen und den Schaden minimieren. Spezialisten mit „Managed Detection and Response“ haben Zugriff auf ein breiteres Spektrum an Technologien und Umgebungen. Sie sind außerdem mit den unterschiedlichen Bedrohungen vertrauter als unbedarfte Unternehmen. Ein guter Anbieter ist in der Lage, auf einen Vorfall in jeder Umgebung zu reagieren und sogar bei Spezialfällen effektiv zu arbeiten.
Schritt 6: Melden Sie den Sicherheitsverstoß
Unternehmensleiter müssen bei der Berichterstattung mit Vorsicht vorgehen. Fehler können sonst rufschädigende und finanzielle Konsequenzen haben – von einer negativen Außenwahrnehmung bis hin zu Geldstrafen. Wichtig ist eine sorgfältige Meldung. Dabei sollten Sie auch darauf eingehen, welche Aktionen in technischer Hinsicht durch die Angreifer durchgeführt wurden und welche möglichen Auswirkungen diese mit sich bringen.
Es ist zudem sinnvoll, dass Sie sich mit Ihrer PR- sowie Rechtsabteilung abstimmen. Gemeinsam können Sie ein angemessenes Vorgehen und eine passende Kommunikation für Medien, Aktionäre und Mitarbeiter erarbeiten. Denn je nach Auswirkung des Vorfalls werden die verschiedenen Interessengruppen Fragen stellen und prüfen, wie das Unternehmen mit dem Vorfall umgegangen ist. Es versteht sich von selbst, dass Sie keine Tatsachen leugnen sollten. Früher oder später kommen sie ans Tageslicht und können Ihre Reputation schädigen. Wenn Sie in einem stark regulierten Bereich tätig sind – etwa im Finanzwesen, in öffentlichen Versorgungsbetrieben oder im Bildungswesen –, müssen Sie außerdem zusätzliche Meldeverfahren an die Regierung oder andere Aufsichtsbehörden einhalten.
Schritt 7: Führen Sie eine Wiederherstellung durch
Der Wiederherstellungsprozess ist vom Ausmaß des Schadens abhängig. Bei kleineren Vorfällen könnte er lediglich geringe Reparaturen umfassen: die Beseitigung schädlicher Artefakte aus dem System, das Schließen einer Sicherheitslücke, die Aktualisierung der gesamten Software oder der Einsatz eines EDR-Systems. Bei größeren Vorfällen kann es hingegen erforderlich sein, die Infrastruktur komplett neu aufzusetzen, was einen erheblichen Zeit- und Kostenaufwand bedeutet. Davon unabhängig ist es aber immer sinnvoll, Prioritäten bei der Wiederherstellung zu setzen. Einige Maßnahmen lassen sich schneller umsetzen als andere, bieten aber gleichzeitig einen guten Schutz vor weiteren Cyberangriffen. Hierzu zählt etwa die Festlegung von Zielen, um die allgemeine Sicherheitslage Ihres Unternehmens zu verbessern.
Schritt 8: Machen Sie eine Post-Mortem-Analyse
Nach dem Angriff ist vor dem Angriff. Bei einem Sicherheitsvorfall deckt ein Angreifer die Sicherheitslücken des Unternehmens auf. Und das bietet Ihnen die ideale Gelegenheit, diese Schwachstellen zu beseitigen und die Widerstandsfähigkeit Ihrer Infrastruktur gegenüber Cyberangriffen zu verbessern. Dabei hilft die Post-Mortem-Analyse. Was waren die Hauptursachen für den Vorfall? Wie hätte sich der Vorfall verhindern lassen? Und welche Änderungen sollten Sie nun vornehmen, um das Risiko in Zukunft zu minimieren? Sie sollten auch Risikobewertungen und Penetrationstests einplanen, um mögliche Bedrohungen in Ihrer Infrastruktur aufzuspüren.
Fazit
Generell lässt sich festhalten, dass eine umfassende Vorbereitung auf einen Cyberangriff das A und O darstellt. Sicherheitsverletzungen können sich zwar hinsichtlich der Angriffsmethoden und der eingesetzten Technologien unterscheiden. Es gibt aber dennoch ein paar zu befolgende Richtlinien, die in jedem Fall einen Cyberangriff begrenzen und den Schaden minimal halten. Vor allem Schulungen, Bedrohungssimulationen sowie ein robuster Incident-Response-Plan gewährleisten, dass Sie Cyberkriminellen einen Schritt voraus sind und auch bei wechselnden Bedrohungen korrekt auf einen Angriff reagieren können.
kudelskisecurity.com/de/
