Die Realität zeigt, dass es schon lange nicht mehr ausreicht, nur präventive IT-Sicherheitsmaßnahmen zu implementieren. Ein Angriff ist nur eine Frage der Zeit.
Hat ein erfolgreicher Hackerangriff stattgefunden, sind Ad-hoc-Maßnahmen notwendig. Diese müssen individuell an das Unternehmen und die Art des Angriffs angepasst werden. Wir geben Ihnen einen Überblick über die wichtigsten Verhaltensregeln:
Beachten Sie die Meldepflicht bei Cyber-Versicherungen und Behörden
Melden Sie den Angriff unverzüglich Ihrer Cyber-Versicherung, sofern Sie über eine Cyber-Police verfügen. Die Versicherungsgesellschaft wird Sie über das weitere Vorgehen informieren. Prüfen Sie zudem, ob der Angriff einer behördlichen Meldepflicht unterliegt.
Verändern Sie die Systeme nur mit Bedacht
Ein Neustart der Systeme kann die Ursachenforschung erschweren. Die Systeme sollten nur nach Rücksprache mit einem Experten abgeschaltet werden.
Bewerten und analysieren Sie den Vorfall
Führen Sie zuerst eine Bewertung des Vorfalls durch, um einen technischen Defekt auszuschließen. Ist ein Hackerangriff bestätigt, gilt es Folgendes zu klären: Woher kam der Angreifer? Wie ist er in die Systeme gelangt? Welche Systeme sind von dem Angriff betroffen? Wurden Daten entwendet und wenn ja, in welchem Umfang?
Dokumentieren Sie den Vorfall und Ihr Vorgehen
Halten Sie genau fest, was sich wann ereignet hat, welche Maßnahmen Sie getroffen haben und wer Zugriff zu den Beweismitteln hatte. Notieren Sie sich, wer ab dem Zeitpunkt des Angriffs an den kompromittierten Systemen Änderungen vorgenommen hat. Diese Informationen sind für die Aufarbeitung des Vorfalls wichtig.
Erfassen Sie die Beweise
Sichern Sie alle Beweise des Angriffs. Dazu gehören die System-Protokolle, Logfiles, Datenträger, Notizen und eventuell Fotos von Bildschirminhalten. Dies ermöglicht eine IT-forensische Untersuchung. Falls Sie über eine Cyber-Versicherung verfügen, informieren Sie sich über mögliche Vorgaben zur Beweissicherung.
Reagieren Sie schnell
Versuchen Sie so schnell wie möglich, den Schaden einzudämmen. Prüfen Sie, inwiefern eine Beendigung aller unautorisierten Zugriffe und Verbindungen zum betroffenen System notwendig ist. Im Einzelfall kann es sinnvoll sein, alles unverändert zu lassen, um dadurch mehr über die Angriffsmethode und mögliche Einfallstore zu erfahren.
Überwachen Sie den Angreifer
Stellen Sie sicher, dass Ihr Unternehmensnetz mit einem Netzwerk-Monitoring ausgestattet ist. So können Sie die Spuren des Angreifers erkennen und nachvollziehen. Ist dies nicht möglich, sollten Sie unbedingt die Datenströme protokollieren. Gewährleisten Sie hierzu, dass Ihr Proxy den Internet-Traffic protokolliert.
Stimmen Sie die interne und externe Kommunikation ab
Informieren Sie alle relevanten Fachabteilungen nach dem Need-to-Know-Prinzip über den Vorfall und das weitere Vorgehen– idealerweise über kurze Meldewege. Das Management sollte bei großen Vorfällen eingebunden werden, so können notwendige Mittel zur Rückkehr in den Normalbetrieb freigegeben werden. Prüfen Sie, ob externe Stakeholder und die Öffentlichkeit zusätzlich informiert werden müssen.
Inventarisieren Sie Ihre IT Assets
Eine umfassende Auflistung Ihrer IT Assets (Systemlandschaften oder Applikationen) ist für die Bewertung und Überprüfung des potentiellen Schadens und der eingesetzten Gegenmaßnahmen essentiell. Wenn Sie die Asset-Liste nicht schon davor erstellt haben, sollten Sie diese während des Angriffs pflegen.
Erhöhen Sie die Sicherheitsvorkehrungen
Rüsten Sie sich ausreichend gegen weitere Angriffe: Implementieren Sie eine Zwei-Faktor-Authentifizierung für alle IT-Systeme, die aus dem Internet zugänglich sind. Schränken Sie mithilfe von Proxyservern den Internetzugriff ein und halten Sie unbedingt Ihr Netzwerk-Monitoring aufrecht. Die betroffenen Benutzerkonten sollten hinsichtlich Zugangsberechtigungen und Authentisierungsmethoden geprüft werden. Ergänzend kann ein Penetrationstest, kurz Pentest, durchgeführt werden.
Sie möchten Ihr Unternehmen auf den Ernstfall vorbereiten? Erfahren Sie hier mehr oder kontaktieren Sie uns, wir helfen Ihnen gern.