144 Millionen neue Schadprogramm-Varianten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr gezählt und bewertet damit die IT-Sicherheitslage in Deutschland als angespannt bis kritisch. Für Unternehmen heißt das: Es ist nicht mehr die Frage, ob sie Opfer einer Cyber-Attacke werden, sondern nur noch wann. Doch was tun, wenn ungewöhnliche Vorkommnisse in der eigenen IT beobachtet werden und man möglicherweise Opfer einer Cyber-Attacke geworden ist?
1. Ungewöhnliche Vorkommnisse an die IT melden
Wenn zum Beispiel trotz mehrfacher Überprüfung der Zugangsdaten ein Mitarbeiter nicht mehr auf einen bestimmten Dienst im eigenen Unternehmensnetzwerk zugreifen kann, ist Vorsicht geboten. Solche ungewöhnlichen Vorkommnisse sollten direkt mit der IT-Abteilung oder dem zuständigen IT-Dienstleister abgeklärt werden. Dieser kann überprüfen, ob es dafür eine harmlose Ursache gibt oder doch ein Angriff vorliegt – dann heißt es schnell zu reagieren, um den Schaden zu begrenzen.
2. Ausmaß überprüfen & (Teil-)Shutdown
Zeichnet sich ab, dass das Problem an mehreren Stellen auftritt, ist erst recht schnelles Handeln gefragt: Die IT-Abteilung muss überprüfen, welche weiteren Systeme betroffen sind und wie. Liegt zum Beispiel eine Datenverschlüsselung oder eine Infizierung mit einem Virus vor? Damit sich das Problem nicht auf weitere Systeme überträgt, muss im besten Falle ein zeitnaher Shutdown der betroffenen Bereiche erfolgen. Diese können dann anschließend separat überprüft und die Schäden behoben werden. Im schlimmsten Fall muss das gesamte System vom Netz genommen werden – der „Worst Case“ für Unternehmen.
3. Kommunikation
Sind Teile oder sogar das gesamte System offline, stellt sich die Frage: Wie kann ich jetzt noch mit meinen Mitarbeitern kommunizieren und sie über das weitere Vorgehen informieren? Habe ich überhaupt die wichtigsten Telefonnummern auch außerhalb des Unternehmensnetzwerkes vorliegen? Im besten Falle liegen schon Reaktionsszenarien als Teil eines Notfallmanagements vor. In diesen wird beschrieben, wie zum Beispiel alternative Geschäftsprozesse in Notsituationen gestaltet werden können. Darüber hinaus sollte der Vorfall natürlich an die zuständigen Behörden gemeldet werden.
4. Umgang mit Erpressungsschreiben bei Ransomware
Dies gilt auch im Fall eines Angriffs mit Ransomware, deren Zahl laut BSI-Bericht auch 2020 weiter zugenommen hat. Dabei verschlüsseln die Angreifer ganze Dateninfrastrukturen, wie zum Beispiel Datenbanken. Anschließend drohen sie mit der Löschung der Daten, wenn nicht Lösegeld (engl. „Ransom“) gezahlt wird. Das BSI rät grundsätzlich davon ab, einer solchen Forderung nachzukommen, da selbst nach einer Zahlung keinesfalls sicher ist, dass die Daten wiederhergestellt werden. Im Gegenteil: Es häufen sich Fälle, dass die Angreifer die sensiblen Daten zusätzlich verkaufen oder versteigern. In jedem Fall sind durch Ransomware verschlüsselte Daten kompromittiert. Betroffene Firmen müssen laut BSI den Datenschutzaufsichtsbehörden proaktiv melden, wenn es zu Datenlecks gekommen ist.
5. Forensik & Wiederherstellung
Um die IT-Infrastruktur nach einem Shutdown wieder herzustellen, sind aktuelle Offline-Backups zur Rekonstruktion vonnöten; im besten Fall arbeitet das Unternehmen mit alternativen oder redundanten digitalen Diensten, um geschäftskritische Prozesse so schnell wie möglich wieder herstellen zu können. Gleichzeitig ist die IT-Abteilung oder der IT-Dienstleister in der Forensik gefragt: Wie konnte es zu so einer Attacke kommen? Welche Sicherheitslücke haben sich die Angreifer zunutze gemacht?
6. Prävention
Der beste Schutz vor Cyber-Attacken ist ein umfassendes IT-Konzept. Dieses setzt auf Prävention mit wichtigen Maßnahmen, um die eigene IT sicher zu halten und im Angriffsfall einen "doppelten Boden" zu haben. Dazu zählen:
1. Ungewöhnliche Vorkommnisse an die IT melden
Wenn zum Beispiel trotz mehrfacher Überprüfung der Zugangsdaten ein Mitarbeiter nicht mehr auf einen bestimmten Dienst im eigenen Unternehmensnetzwerk zugreifen kann, ist Vorsicht geboten. Solche ungewöhnlichen Vorkommnisse sollten direkt mit der IT-Abteilung oder dem zuständigen IT-Dienstleister abgeklärt werden. Dieser kann überprüfen, ob es dafür eine harmlose Ursache gibt oder doch ein Angriff vorliegt – dann heißt es schnell zu reagieren, um den Schaden zu begrenzen.
2. Ausmaß überprüfen & (Teil-)Shutdown
Zeichnet sich ab, dass das Problem an mehreren Stellen auftritt, ist erst recht schnelles Handeln gefragt: Die IT-Abteilung muss überprüfen, welche weiteren Systeme betroffen sind und wie. Liegt zum Beispiel eine Datenverschlüsselung oder eine Infizierung mit einem Virus vor? Damit sich das Problem nicht auf weitere Systeme überträgt, muss im besten Falle ein zeitnaher Shutdown der betroffenen Bereiche erfolgen. Diese können dann anschließend separat überprüft und die Schäden behoben werden. Im schlimmsten Fall muss das gesamte System vom Netz genommen werden – der „Worst Case“ für Unternehmen.
3. Kommunikation
Sind Teile oder sogar das gesamte System offline, stellt sich die Frage: Wie kann ich jetzt noch mit meinen Mitarbeitern kommunizieren und sie über das weitere Vorgehen informieren? Habe ich überhaupt die wichtigsten Telefonnummern auch außerhalb des Unternehmensnetzwerkes vorliegen? Im besten Falle liegen schon Reaktionsszenarien als Teil eines Notfallmanagements vor. In diesen wird beschrieben, wie zum Beispiel alternative Geschäftsprozesse in Notsituationen gestaltet werden können. Darüber hinaus sollte der Vorfall natürlich an die zuständigen Behörden gemeldet werden.
4. Umgang mit Erpressungsschreiben bei Ransomware
Dies gilt auch im Fall eines Angriffs mit Ransomware, deren Zahl laut BSI-Bericht auch 2020 weiter zugenommen hat. Dabei verschlüsseln die Angreifer ganze Dateninfrastrukturen, wie zum Beispiel Datenbanken. Anschließend drohen sie mit der Löschung der Daten, wenn nicht Lösegeld (engl. „Ransom“) gezahlt wird. Das BSI rät grundsätzlich davon ab, einer solchen Forderung nachzukommen, da selbst nach einer Zahlung keinesfalls sicher ist, dass die Daten wiederhergestellt werden. Im Gegenteil: Es häufen sich Fälle, dass die Angreifer die sensiblen Daten zusätzlich verkaufen oder versteigern. In jedem Fall sind durch Ransomware verschlüsselte Daten kompromittiert. Betroffene Firmen müssen laut BSI den Datenschutzaufsichtsbehörden proaktiv melden, wenn es zu Datenlecks gekommen ist.
5. Forensik & Wiederherstellung
Um die IT-Infrastruktur nach einem Shutdown wieder herzustellen, sind aktuelle Offline-Backups zur Rekonstruktion vonnöten; im besten Fall arbeitet das Unternehmen mit alternativen oder redundanten digitalen Diensten, um geschäftskritische Prozesse so schnell wie möglich wieder herstellen zu können. Gleichzeitig ist die IT-Abteilung oder der IT-Dienstleister in der Forensik gefragt: Wie konnte es zu so einer Attacke kommen? Welche Sicherheitslücke haben sich die Angreifer zunutze gemacht?
6. Prävention
Der beste Schutz vor Cyber-Attacken ist ein umfassendes IT-Konzept. Dieses setzt auf Prävention mit wichtigen Maßnahmen, um die eigene IT sicher zu halten und im Angriffsfall einen "doppelten Boden" zu haben. Dazu zählen:
- Funktionierende, regelmäßige Backups
- Monitoring der Datenverkehre
- Regelmäßige Updates der Systeme, insbesondere solchen für die IT-Security, wie z.B. die Firewall
- Interne Segmentierung der Netze
- Mitarbeitersensibilisierung
- Redundante, ausfallsichere Strukturen
- Reaktionsszenarien für den Notfall
