Handlungsfähig bleiben: Effektive Reaktionen auf Cyberangriffe
Ein Cyberangriff ist für jedes Unternehmen eine absolute Ausnahmesituation. Schnelles Handeln ist ebenso wichtig wie Ruhe zu bewahren. Wer schnell die richtigen Schritte einleitet, kann den Schaden deutlich verringern. Im Plenum am 6. November zeigt G DATA um 16.15 Uhr ausgewählte Fallbeispiele und Erkenntnisse von Cyberattacken auf KRITIS.
«Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.» So fasst das BSI die Lage der IT-Sicherheit zusammen. Daher ist es nicht überraschend, dass laut einer Studie von PWC zwei Drittel der deutschen Unternehmen Cyberkriminalität als größte Gefahr sehen. Und ist der Worst Case erst eingetreten und das Netzwerk kompromittiert, braucht es Incident-Response-Fachleute. Die IT-Spezialisten helfen nach einer Cyberattacke, die Folgen des Angriffs zu minimieren und schnell wieder handlungsfähig zu werden. Bei einem Erstkontakt sollten Betroffene folgende Fragen beantworten:
- Was ist passiert? Oder: Was passiert gerade?
- Wie ist der Vorfall aufgefallen?
- Welchen Meldepflichten unterliegt unsere Organisation (KRITIS, NIS-2)?
Wer handlungsfähig bleiben will, sollte im ersten Schritt den internen und externen Netzverkehr sofort unterbrechen, um einen weiteren Zugriff der Täter auf das Netzwerk zu unterbinden. Auch sollte die IT den Aufbau eines Notbetriebs in die Wege leiten und die für die Wiederherstellung benötigten Back-ups prüfen und bereitstellen. Außerdem sollten Verantwortliche die Polizei informieren und Strafanzeige stellen.
Welche Aktionen unbedingt zu vermeiden sind
Verschlüsselte Daten und Lösegeld-Erpressung sind ein Schock. Trotzdem sollten Unternehmen kein Lösegeld zahlen. In Ausnahmefällen bleibt Unternehmen aber möglicherweise keine weitere Wahl. Dann gilt: Keine Verhandlung mit den Erpressern ohne kompetente Unterstützung. Auch die Suche nach einem Schuldigen ist nur bedingt hilfreich, denn Schuldzuweisungen beheben die Situation nicht und schaffen ein Klima der Angst.
Wie kann ich einem Cyberangriff vorbeugen?
Grundsätzlich verhindern lässt sich ein Angriff nicht, aber Organisationen sollten es den Angreifern durch geeignete Schutzmaßnahmen so schwer wie möglich machen und die potenziellen Auswirkungen minimieren. Angesichts des hohen Risikos sollten Verantwortliche in Betracht ziehen, schon im Vorfeld Kontakt zu einem qualifizierten Dienstleister für Incident Response aufzunehmen. So sichern sich Unternehmen mit einem sogenannten Incident-Response-Retainer die Unterstützung von Fachleuten. Der Vorteil: Es gibt vertraglich zugesicherte Fristen, innerhalb derer die Experten ihre Arbeit aufnehmen. Wichtig dabei ist, dass die Zusammenarbeit mit einem IR-Dienstleister auf die langfristige Verbesserung der Resilienz abzielt.
Wer frühzeitig und konsequent reagiert, kann finanzielle Schäden unter Umständen deutlich verringern und ist schneller wieder handlungsfähig. Dennoch sollten Verantwortliche trotz aller Schutzmaßnahmen auch den Worst Case in Betracht ziehen und mit Unterstützung von Fachleuten einen IT-Notfallplan aufsetzen.
