Im Gespräch mit Sven Ulke, Senior Manager DFIR beim deutschen IT-Dienstleister SVA System Vertrieb Alexander GmbH:
Wie können Organisationen bestmöglich mit der aktuellen Situation umgehen?
Es gibt viele Arten von Cyber-Sicherheitsvorfällen. Für die meisten aber gilt, dass sie zu spät erkannt werden und ein Unternehmen unvorbereitet treffen. Zwar ist eine zügige Reaktion in einem Notfall wichtig, ein unbedachter Schnellschuss aber häufig kontraproduktiv. Benutze ich z. B. mein letztes Back-up ist das vielleicht eine schnelle Lösung, habe aber den Angreifer u. U. weiter im Netzwerk. Denn wenn ich das Eingriffstor nicht schließe, ist die Gefahr groß, dass das Problem wieder auftaucht. Auch ist häufig nicht immer klar, wer entscheidet. Eine Cyberattacke kommt zwar in der IT hoch, betrifft aber in ihren Auswirkungen das gesamte Unternehmen. Daher sollte man vorab einen gut durchdachten Incident Response Plan vorbereiten: Einen Notfallplan, der die Analyse einschließt und davon ausgehend die nötigen Schutzmaßnahmen trifft und auch die geeigneten Charaktere im Haus als Krisenstab bestimmt. Um Vorfälle effektiv zu bewältigen bzw. die Aufrechterhaltung des Betriebs im Ernstfall sicherzustellen. Diesen sollte man dann auch realitätsnah proben, damit jeder weiß, wie in dieser Sondersituation der Betrieb funktioniert. Auch um Stress und Chaos soweit es geht, zu vermeiden.
Eine Blaupause für einen funktionierenden Plan gibt es dazu wahrscheinlich nicht?
Leider nein. Unser Credo lautet: Um effektiv auf einen Angriff reagieren zu können, müssen wir proaktiv und partnerschaftlich mit dem Kunden in regelmäßigem Austausch stehen. Dann können die potenziellen Gefahren erkannt und die notwendigen Vorkehrungen getroffen werden. Dazu muss zunächst klar sein: Welche Bereiche sind besonders wichtig bzw. haben direkten Einfluss auf mein Kerngeschäft? Anhand dieser Risikobewertung schaut man, welche IT-Systeme involviert sind und womit man startet, um die kritischsten Vermögenswerte zu schützen. An diesem Punkt sehen wir, dass es oftmals schwerfällt, pragmatisch zu priorisieren. Ein Prozess, den wir mithilfe unserer Business Impact Analyse unterstützen.
Die Maßnahmen müssen kundenseitig auch umsetzbar sein.
Unbedingt. Unsere organisatorischen und technischen Empfehlungen zur Risikominimierung sind individuell auf jeden Kunden und seine Ressourcen abgestimmt. Dabei hilft uns die regionale Nähe extrem, schnell ein gutes Bild von der Struktur eines Unternehmens zu bekommen. Jeder Kunde erhält beispielsweise mit Vertragsabschluss zwei SVA Forensik-Experten als feste Ansprechpartner. Wir unterstützen über die 24/7 Notfall-Hotline in der deutschen Zentrale – zunächst als Initialhilfe aus der Ferne – sind als bundesweites Team aber auch schnell vor Ort. Dort leisten wir bei Bedarf auch den kompletten Wiederaufbau des Netzwerkes oder der Serversysteme des Kunden, von Grund auf. Dazu haben wir für die verschiedensten Lösungen die jeweiligen Experten im Haus und durch unsere über 200 Herstellerpartnerschaften außerdem die Möglichkeit, kurzfristig z. B. Ersatzhardware besorgen zu können. Ebenso unterstützen wir bei regulatorischen Anforderungen und Reportings gemäß der EU-Datenschutz-Grundverordnung bzw. der Erfüllung der IT-Sicherheitsgesetze von DORA bis NIS2.