Richtiger Umgang mit Cybervorfällen

Richtiger Umgang mit Cybervorfällen

Eine Cyberattacke bleibt eines der größten Risiken für Unternehmen, da jede Sekunde Stillstand – egal ob in der Produktion oder in der Verwaltung – viel Geld kostet. Um handlungsfähig zu bleiben, müssen Unternehmen zusätzlich zu Endpoint-Protection-Lösungen weitere Maßnahmen umsetzen, um im Falle von Cybervorfällen richtig reagieren zu können. Das Stichwort lautet: Incident Readiness.

Die Bedeutung von Incident Readiness

IT-Sicherheit ist seit langem ein Thema auf Managementebene, wie Sicherheitsfachleute seit Jahren betonen. Nun gießt auch die NIS-2-Direktive der EU dieses Credo in entsprechende gesetzliche Regelungen. NIS steht für Network and Information Security. Das Ziel ist eine Stärkung der IT-Sicherheit entlang der Wertschöpfungs- und Lieferketten. Insbesondere die Elektronikindustrie, die von einem Netzwerk von Zulieferern vor allem aus Asien abhängig ist, hat hier die ein oder andere offene Flanke.

Auch wenn im Hintergrund noch an der Umsetzung in nationales Recht gearbeitet wird, ist heute schon klar, dass kein Unternehmen mehr auf Risiko spielen kann. Zu hoffen, dass schon alles gut gehen wird, kann schnell nach hinten losgehen. Gerade wenn es einmal zu einem ausgewachsenen Cybervorfall kommt, macht sich das besonders schmerzhaft durch finanzielle Verluste bemerkbar.

Hier enthält die neue NIS-2-Richtlinie klare Vorgaben: Innerhalb von 24 Stunden muss ein Unternehmen einen potenziellen Cybervorfall gemeldet haben – auch an Feiertagen und Wochenenden. Regelmäßige Updates zu der Benachrichtigung nach 72 Stunden und nach 30 Tagen gehören nun ebenfalls zum Pflichtprogramm. Die Abschlussberichte müssen vollständig sein und den genauen Hergang sowie die Ursachen für den sicherheitsrelevanten Vorfall enthalten.

Frühzeitige Vorbereitung ist entscheidend

Es ist ratsam, dass Verantwortliche sich frühzeitig mit den kommenden gesetzlichen Änderungen beschäftigen. Dabei sollten sie die Gelegenheit nutzen, die IT-Sicherheit zu verbessern, wichtige Geschäftsprozesse zu prüfen und sinnvoll abzusichern. Zusätzlich zu allen Sicherheitsmaßnahmen muss jetzt auch das Eintreten eines IT-Notfalls in die Überlegungen einbezogen werden. Fachleute sprechen in diesem Zusammenhang von Incident Readiness.

Papier ist geduldig – und sicher

Für IT-Notfälle brauchen Unternehmen unbedingt einen Krisenplan – am besten auf Papier. Dieser Plan sollte unter anderem eine Übersicht des eigenen Netzwerkes und der verwendeten Geräte enthalten. Denn im Notfall sind diese Informationen wichtig und im Aktenschrank besser aufgehoben als auf dem verschlüsselten Server oder dem nicht funktionsfähigen Notebook des Administrators oder der Administratorin.

Dieser Krisenplan sorgt dafür, dass ein externes Incident-Response-Team deutlich schneller die Arbeit aufnehmen kann und das Unternehmen so in kürzerer Zeit wieder arbeitsfähig ist. Gleichzeitig lässt sich der finanzielle Schaden begrenzen. Ein eigenes Incident-Response-Team ist in den wenigsten Unternehmen vorhanden. Denn ein solches Team hoch spezialisierter Fachleute zu unterhalten, ist ebenfalls für viele Unternehmen finanziell nicht sinnvoll.

Mitarbeitende In-House für Incident Response zu qualifizieren, ist nahezu unmöglich, da gerade dieser Bereich einschlägige Erfahrungen im Bewältigen von Sicherheitsvorfällen erfordert – und diese kann man nicht in einem Buch nachlesen oder in einem Kurs lernen.

Vorbereitet sein auf Cybervorfälle

Das Fatale an Cybervorfällen ist: Oft bleiben die Angreifer über Wochen und Monate unbemerkt. Wenn nicht zufällig ein aufmerksamer IT-Mitarbeiter Unregelmäßigkeiten entdeckt, ist es in der Regel erst der gesperrte Bildschirm mit einer Lösegeld-Forderung, der einen Ransomware-Angriff offenbart. Jetzt kostet jede Minute bares Geld. Ab diesem Punkt schlägt die Stunde der Fachleute im Bereich Incident Response. Sie sind häufig die letzte Hoffnung, die Systeme wiederherzustellen.

Bevor ein Incident-Response-Team aktiv werden kann, braucht es Informationen zum aktuellen Notfall. Daher müssen Verantwortliche zentrale Fragen beantworten – vergleichbar mit den zentralen Fragen beim Notruf für die Feuerwehr. Diese Antworten schaffen ein tieferes Verständnis für die aktuelle Situation im Unternehmen:

Zentrale Fragen im Notfall

  • Was ist passiert – genauer gesagt, was passiert gerade?
  • Wann ist es passiert?
  • Wie ist es aufgefallen? Aus dieser Frage lassen sich auch schon Indizien zum Angriffsvektor ableiten.
  • Welche Maßnahmen wurden schon getroffen? Hier geht es um die Frage, ob bereits forensische Spuren gesichert oder Indizien versehentlich unbrauchbar gemacht wurden. Dies kann schnell passieren, wenn den handelnden Personen vor Ort die notwendigen Kenntnisse fehlen.
  • Welches Unternehmen ist betroffen? Handelt es sich um ein produzierendes Gewerbe, um ein KRITIS-Unternehmen oder eine staatliche Organisation?

Natürlich sind auch technische Detailfragen vorab zu klären, um die Situation vor Ort besser einzuschätzen und den Einsatz zu planen. Daher brauchen die Fachleute Informationen zur IT-Infrastruktur, zur Netzwerkgröße, zu den Betriebssystemen sowie deren Patch-Status und den eingesetzten Sicherheitskomponenten.

Do‘s und Don‘ts für den Umgang mit Cybervorfällen

Wer gut vorbereitet und handlungsfähig bleiben und auf den Einsatz eines externen Einsatzteams vorbereitet sein will, sollte folgende Do‘s und Don‘ts im Falle von Cybervorfällen berücksichtigen:

Do‘s:

  • Internen und externen Netzwerkverkehr sofort unterbrechen: So sperren Unternehmen die Angreifer aus und verhindern eine weitere Ausbreitung der Schadsoftware.
  • Virtuelle Maschinen pausieren oder Snapshots erstellen: Moderne Malware liegt nicht mehr auf der Festplatte, sondern im Arbeitsspeicher. Wer also eine VM ausschaltet, macht den Speicher unbrauchbar und vernichtet dabei mögliche forensische Spuren. Daher ist es ratsam, diese zu pausieren oder einen Snapshot zu erstellen, um einen aktuellen Zwischenstand zu speichern.
  • Zentrale Ansprechperson benennen / Stabstelle einrichten: Kurze Kommunikationswege sind beim IT-Notfall essenziell. Eine Ansprechperson oder eine Stabstelle koordiniert dabei die Kommunikation mit dem Incident-Response-Team. Darüber hinaus stimmt sich diese Stelle auch mit beteiligten IT-Dienstleistern ab und kommuniziert mit Kunden sowie Mitarbeitenden.
  • Vorurteilsfreie Kommunikation: Wichtig ist eine angstfreie Umgebung, in der auch Mitarbeitende mit wenig IT-Kenntnissen Hinweise zum Vorfall geben können. Vorwürfe oder Schuldzuweisungen helfen in dieser Situation keinem weiter!
  • Backups prüfen und bereitstellen: Dieses Thema sollten Unternehmen schon vor einem Notfall auf der Agenda haben. Denn im IT-Notfall ist es dafür zu spät. Mit aktuellen Back-ups lässt sich der Datenverlust minimal halten.
  • Zusammenarbeit mit lokalen Behörden: Jedes Opfer sollte Strafanzeige stellen, damit die Behörden Ermittlungen einleiten können. Für Straftaten im Cyberraum hat jedes Bundesland eine eigene Anlaufstelle. Darüber hinaus ist die Informationspflicht mit dem Datenschutzverantwortlichen zu klären, um einen möglichen Verstoß fristgerecht zu melden. Dabei gilt die Faustformel: Lieber eine Meldung zu viel als zu wenig.

Don‘ts:

  • Systeme herunterfahren: Mit dieser Maßnahme zerstören die Betroffenen unter Umständen forensische Spuren oder machen sie unbrauchbar.
  • Systeme innerhalb des kompromittierten Netzwerks anfahren: Es besteht die Gefahr, dass die Schadsoftware weitere Teile des Netzes befällt und der Schaden immer größer wird.
  • Antivirus-Lösung abschalten: Auch während oder nach einem aktiven Angriff hilft die Antivirus-Lösung, indem sie weitere Angriffsversuche abblockt.
  • Selbstversuche: Wer ohne Fachkenntnisse handelt und Reparaturversuche unternimmt, verzögert und behindert eine schnelle Aufklärung des Infektionshergangs. Das Risiko einer “Verschlimmbesserung” ist sehr groß.
  • Unbegleitete Erpresserkommunikation: Grundsätzlich gilt „Kein Dialog mit Erpressern!“ Wer dennoch dazu gezwungen ist, braucht kompetente Unterstützung.
  • Schuldzuweisungen: Wer eine verdächtige Aktion direkt meldet, hilft, den Schaden frühzeitig einzudämmen. Das erfordert eine Unternehmenskultur, in der Mitarbeitende sich trauen, Fehler wie den möglichen Klick auf den Link in einer Phishing-Mail zuzugeben – ohne Konsequenzen fürchten zu müssen.

Fazit: Investition in die Sicherheit lohnt sich

Heute stellt sich nicht mehr die Frage, ob Unternehmen Cybervorfällen zum Opfer fallen, sondern vielmehr, wann. Firmen, die sich auf dieses Szenario vorbereiten und externe Fachleute um Unterstützung bitten, handeln weitsichtig. Sie sichern auch im Schadensfall das Überleben des eigenen Unternehmens und sind schneller wieder handlungsfähig. Untersuchungen zeigen, dass bei einem IT-Notfall nicht der Einsatz des Incident-Response-Teams der größte Kostenpunkt ist, sondern der entgangene Umsatz durch den Stillstand.

Verantwortliche sollten sich besser heute als morgen mit der NIS-2 und IT-Sicherheit auseinandersetzen und ihre Strategie anpassen. Das kostet erst einmal Geld und macht Arbeit – wird aber langfristig von großem Nutzen sein. Denn bereits ein verhinderter Cybervorfall kann die Kosten für die Sicherheit mehrfach decken.

Facebook
LinkedIn
Twitter
XING
Email

Jüngste Beiträge

Kategorien
Schlagwörter
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!

Privatsphäre-Einstellungen

Entscheiden Sie, welche Cookies Sie zulassen möchten. Sie können diese Einstellungen jederzeit ändern. Dies kann jedoch dazu führen, dass einige Funktionen nicht mehr zur Verfügung stehen. Informationen zum Löschen der Cookies finden Sie in der Hilfe Ihres Browsers. ERFAHREN SIE MEHR ÜBER DIE VON UNS VERWENDETEN COOKIES.

Mit dem Schieberegler können Sie verschiedene Arten von Cookies aktivieren oder deaktivieren:

  • alles blockieren
  • Wesentliches
  • Funktionalität
  • Analytik
  • Werbung

Diese Website wird

Diese Website wird nicht

  • Remember which cookies group you accepted
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Merken Sie sich Ihre Login-Daten
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Speichern & Schließen