Die Bedrohung durch kriminelle Hacker und die damit einhergehende Angst einem Cyberangriff zum Opfer zu fallen ist vor allem bei IT-lastigen Firmen weiter angestiegen. Die dem Data Breach Investigations Report 2022 vorliegenden Daten sind auch in diesem Jahr wieder außergewöhnlich bedrohlich. Finanziell motivierte Gruppen und skrupellose staatliche organisierte Hacker traten gerade in der letzten Zeit so aggressiv wie selten zuvor auf. Dabei fällt auf, dass die Anzahl der Ransomware-Angriffe seit 2017 ein exponentielles Verhalten zeigen und nun einen Anstieg der Sicherheitsverletzungen auf 25% verzeichnen.
Es ist jedoch wichtig zu wissen, dass Ransomware erst tätig werden kann, wenn diese in der Infrastruktur Ihres Unternehmens angekommen ist. Nur dort kann sie ihren erpresserischen Zweck erfüllen. Diesen Eingang schafft sie ausschließlich, wenn gewisse Voraussetzungen erfüllt sind, also die Notwendigkeit, sich damit zu beschäftigen:
- Die Passwörter zur System-Anmeldung sind in einer akzeptablen Zeit knackbar, da diese zu kurz bzw. zu unsicher sind
- Mitarbeiter sind auf Phishing Mails nicht aktuell sensibilisiert
- Schwachstellen sind vorhanden (z.B. weil noch nicht gepatcht) und können ausgenutzt werden
- Der oder die Rechner sind Teil eines Botnetzes
… Sie kommen wie gewohnt in Ihren Betrieb, jedoch verweigert Ihnen die EDV gerade jetzt, wo dringende Arbeiten erledigt werden müssen, ihre Dienste. Was ist passiert, wer ist verantwortlich, wer kann helfen, was ist mit den Daten, wie lange dauert es? Das sind normalerweise genau die Fragen, die auch in dieser Reihenfolge gestellt werden. Wie hierauf die Antworten ausfallen, hängt sehr stark von den Vorbereitungen auf dieses Ereignis und andere unerwartete Szenarien ab.
Vorbereitung
Wie kann ich mich überhaupt auf einen Vorfall vorbereiten, den ich gar nicht kenne?
Vorbereitungen fangen mit Überlegungen zu möglichen Ereignissen an. Hierzu können Sie auf anerkannte Literatur und bereits durchdachte Situationen zurückgreifen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die Sicherheitsbehörde des Bundes und der Gestallter eines sicheren Einsatzes von Informations- und Kommunikationstechnik in unserer Gesellschaft. Durch diese Vorarbeiten und der daraus folgenden Dokumentation werden Ihnen viele Fragen auf dem Weg Ihrer Vorbereitung auf den Ernstfall beantwortet.
Einige grundlegende Überlegungen und Maßnahmen sollen Ihnen an dieser Stelle den Weg erleichtern um Ihr Unternehmen sicherer zu machen.
Störung, Notfall, Krise
Die Definition und die Abschätzung der Reichweite dieser Begriffe ist enorm wichtig, um herauszufinden wann eine Erweiterung notwendiger Maßnahmen erforderlich wird. Eine gemeldete Störung innerhalb Ihrer IT werden Sie mittels Ihres eigenen Helpdesks und dem dafür ausgebildetem Personal selbst beseitigen können. Wenn jedoch hierfür die technischen und organisatorischen Möglichkeiten nicht mehr ausreichen, muss zwangsläufig die nächste Eskalationsstufe ausgerufen werden und zwar im wahrsten Sinne des Wortes. Die mit der Situation und der Materie am besten betrauten Personen müssen dann informiert werden, um den Notfall respektive die Krise meistern zu können.
Will man bereits an dieser Stelle nicht in einen planlosen Zustand verfallen, ist es ratsam, sich bereits im Vorfeld Gedanken über die Zusammensetzung einer solchen Personengruppe zu machen. Welche Kompetenzen müssen vorhanden sein, mit welchen aktuellen Unterlagen kann gerechnet werden, welches Budget ist vorhanden und sind diese Personen in dieser äußerst angespannten Situation überhaupt in der Lage ohne jegliche Schuldzuweisungen lösungsorientiert arbeiten zu können? Die Zusammensetzung einer solchen Personengruppe, auch als Krisenstab bezeichnet, erfordert ein hohes Maß an Fingerspitzengefühl, damit im Ernstfall wirklich nichts schiefgeht.
Notfallszenarien
Wie kann ich mich auf einen Vorfall vorbereiten? Diese eingangs gestellte Frage, ist durchaus mit der Auswahl gezielter Szenarien und der hierauf durchdachten Maßnahmen beantwortbar.
Die Risiken, die für das Zustandekommen eines Notfalles verantwortlich sind, sollten Sie in Gruppen einteilen und mit einer geringen Anzahl von Szenarien (max. 15) beginnen. Am besten, Sie orientieren sich an den folgenden Risikogruppen und bilden hieraus die für Sie überschaubaren Szenarien:
- der Ausfall zentraler Computersysteme,
- der Zusammenbruch der Netzinfrastruktur,
- die Zerstörung wichtiger Gebäude,
- der Wegfall wichtiger Lieferanten oder
- ein erheblicher Ausfall von Mitarbeitern.
Obwohl die meisten System-Komponenten mit Redundanzen versehen wurden, sind jedoch einige wesentliche Bauteile ausgefallen, so dass Sie der eigentlichen Aufgabe, IT-Dienste für Ihre Benutzer zur Verfügung zu stellen, derzeitig nicht mehr nachkommen können. Sie stellen fest, dass erheblicher Vandalismus zu diesem Schaden geführt hat, ohne dass Sie momentan nachvollziehen können, unter welchen Umständen es dazu kommen konnte. Aus Gründen sehr schwierig verfügbarer Ersatzteile und sogar ganzer Systeme ist der Zeitrahmen für die notwendige Erneuerung wesentlich größer anzunehmen.
Risikobehandlung
Stellen Sie sich einfach mal die Frage: Für wie hoch schätzen Sie die Häufigkeit des Eintretens eines solchen Vandalismus-Ereignisses in Stufen von sehr wahrscheinlich bis unwahrscheinlich ein. Verknüpfen Sie diesen Häufigkeitswert mit einer Aussage über die Höhe des angenommenen Schadens. So erhalten Sie eine Aussage über das Risiko dieses Vorfalls, denn das Risiko, bzw. Risikohöhe lässt sich wie folgt bestimmen:
Risiko = Eintrittswahrscheinlichkeit * Schadenshöhe
Für mehrere in dieser Art durchdachte und verknüpfte Szenarien erhalten Sie so eine Risikomatrix mit der Maßgabe diese Risiken zu behandeln. So können Sie diese vermeiden (durch Eliminieren der Quelle), akzeptieren, verlagern (durch Outsourcing, Cyber-Versicherung) oder reduzieren (durch bauliche, bzw. organisatorische Maßnahmen). In allen Fällen ist es jedoch notwendig eine Messgröße zu definieren, die den Fortschritt bzw. den Reifegrad gegenüber der Zielvorstellung beschreiben kann.
Notfallhandbuch
Ist ein Notfallhandbuch vorhanden, dann sind bereits wesentliche Vorarbeiten durchgeführt worden, um einem nicht mehr als Störung zuzuordnenden Ereignis entgegenzutreten. Ein solches Notfallhandbuch behandelt die Notfallvorsorge, und kümmert sich um die Risiken möglicher Notfälle und um die Etablierung eines Krisenstabs, bereits vor dem Eintritt eines Notfalls. Ein solches Notfallhandbuch kümmert sich auch um die Notfallbewältigung, also um die Wiederherstellung und die Geschäftsfortführung, nachdem ein Notfall eingetreten ist. Darüber hinaus ist es auch die Aufgabe eines Notfallhandbuches die aktuelle Sicherheits-Situation durch Tests und Prüfungen kontinuierlich zu verbessern.
In der Regel ist aber eine solche Dokumentation nicht vorhanden. In diesem Fall muss nach dem Erkennen eines Ereignisses improvisiert werden um wieder einen akzeptablen Zustand der IT-Services zu erreichen. Diese sicherlich unorganisierte Reaktion auf einen Vorfall kann zeitlich nicht mit einem durchdachten Notfallkonzept Schritt halten. Es ist also seitens der Geschäftsleitung abzuwägen, wieviel Ressourcen für die Erstellung eines Notfallhandbuches bereitgestellt werden können und damit die folgenden Situationen abzuwägen:
- Die Vorbereitung auf einen Notfall bietet eine wesentliche Einsparung an kostbaren Geschäfts- und Produktionstätigkeiten,
- Unvorbereitet auf einen Notfall zu sein, verursacht unkontrollierte Wiederherstellungsversuche aufgrund eines unerwarteten und nicht im Vorfeld durchdachten Ereignisses.
Eine weitere gute Möglichkeit, eine solche Entscheidung zugunsten eines Notfallhandbuches herbeiführen zu können, ist die Simulation eines realistischen auf das Unternehmen abgestimmten Notfalls. Dabei gilt es nicht, diese Simulation als Seminar zu betreiben, sondern als einen sehr stark dynamisch ausgerichteten Workshop, verbunden mit einer massiven aktiven Beteiligung der Teilnehmer.
Notfall-Simulation
Die meisten durchgeführten Simulationen beschreiben ein statisches Ereignis. Hierin wird ein Vorfall besprochen und dessen Auswirkungen nach unterschiedlichen Vorgehensweisen ausgewertet. Ein solcher Workshop bietet sicherlich Einblicke in die Ergebnisse von Entscheidungen, bietet aber keine Aussage hinsichtlich des Zusammenwirkens der Personen innerhalb des Krisenstabes. Genau dieses Aufeinandertreffen von Personen in einer sehr außerordentlichen emotionsgeladenen Situation birgt die Gefahr von persönlichen Ausbrüchen und einer dem Sinn des Krisenstabes nicht gewachsenen Aufgabe.
In der Regel tritt eben diese Situation innerhalb eines Workshops auf, wenn dieser es schafft, dass schon durch die Simulation eines Vorfalls die Nerven blank liegen und es zum Eklat kommt. Dieses Ergebnis sorgt für eine veränderte Zusammensetzung des Krisenstabes und dient dazu, die an ihn in einem realen Vorfall gestellte Aufgabe, nämlich die Geschäftsfortführung, also den Wiederanlauf der Prozesse, so schnell wie möglich wieder zu erreichen.
Arbeit des Krisenstabes
Nachdem die Zusammensetzung über einen Notfall-Simulations-Workshop geregelt werden konnte, sollte nun der Krisenstab bei einem wirklichen Notfall relativ rasch und problemlos seine Arbeit aufnehmen. So müssen vor allem einige technische und organisatorische Hindernisse beseitigt werden. Handelt es sich um einen Ransomware-Angriff, wonach Zahlung erfolgen soll, muss sicherlich geprüft werden, in wieweit eine eigenständige Bewältigung der Situation möglich ist.
- Sind alle Systeme vom Netz genommen?
- Stehen nicht kompromittierte Backups zur Verfügung?
- Sind diese Backups lesbar und vollständig?
- Ist damit ein vollständiger Restore auf einem neuen System erfolgreich?
- Ist der Zeitraum zum letzten funktionieren Backup akzeptabel?
Was ist jedoch im Falle eines Notfalls bzw. eines Angriffes zu tun:
- Stellen Sie diejenigen internen / externen Mitarbeiter mit den besten Erfahrungen bezüglich dieses Vorfalles zusammen (falls nicht schon geschehen)
- Ändern Sie Ihre Firewalleinstellungen
- Ändern Sie alle Passwörter
- Lassen Sie Ihre Bankkonten überprüfen
- Melden Sie den Vorfall der Polizei (CyberCrime), alleine schon um mögliche Ansprüche geltend machen zu können
- Haben Sie eine Cyber-Versicherung / Betriebsausfallversicherung abgeschlossen, auch hier ist eine Information nötig, z.B. um gewisse Versicherungsauflagen beachten zu müssen
- Ihre Datenschutzaufsichtsbehörde erwartet innerhalb 72 Stunden eine Meldung des Vorfalls
- Informieren Sie Ihre Partner, Ihre Lieferanten und vor allem Ihre Kunden, aber achten Sie auf eine abgesprochene Öffentlichkeitsarbeit, auch wenn Sie die Medien ansprechen, Webseite ändern oder sonstige Auftritte anpassen müssen.
Wahrscheinlich sind Ihre Mitarbeiter bereits über den Flurfunk informiert. Dennoch darf keine Information nach außen gelangen, denn Widersprüchliches und Ungenaues befeuern Klatsch und Tratsch und genau DAS brauchen Sie im Moment am wenigsten (schließlich haben alle Ihre Mitarbeiter eine Verschwiegenheitserklärung unterschrieben!)
Es ist eine hohe Kunst, Ihre Kunden, die Partner, die Lieferanten und nicht zuletzt die gesamte Öffentlichkeit so zu informieren, dass das Image des Unternehmens keinen Schaden erleidet, im Gegenteil, es muss der Versuch unternommen werden, ein positives Mitgefühl zu erzeugen.
Weiterhin muss überlegt werden, welche Daten und welche Datenarten bei diesem Vorfall in Mitleidenschaft gezogen worden sind (Verfügbarkeit, Vertraulichkeit und Integrität sind hier die entsprechenden Stichworte). Die Datenschutzaufsichtsbehörde erwartet eine genaue Auskunft über Hergang und Durchführung. Auch im Nachgang wird sich die Aufsichtsbehörde bei Ihnen melden und dabei hoffentlich keine unangenehmen Fragen stellen müssen. Achten Sie also genau darauf, dass alle den Vorfall betreffenden Handlungen mitprotokolliert werden (Stichwort: Rechenschaftspflicht).
Selbst wenn es zu einem Notfall gekommen ist, selbst wenn dieser Notfall zu einer Krise eskalieren musste so gibt es doch immer wieder Hoffnung und neue Herausforderungen, denn:
Behind every cloud sun is waiting (Zitat von Hoffmann, Constanze Paula)
Angebot
Das Thema des IT-Notfalls konnte in diesem Beitrag nur ansatzweise umrissen werden, soll aber einen Einstieg in die Thematik ermöglichen. Für alle, die proaktiv an der sicherheitsrelevanten Ausgestaltung Ihres Unternehmens mitarbeiten wollen und sich mit dem Gedanken tragen, für einen Notfall vorbereiten zu sein, können wir verschiedene Angebote unterbreiten:
- Workshop zum gegenseitigen Kennenlernen und zur Einführung in die Notfall-Thematik, Dauer 1 Tag
- 10 autorisierte Beratertage zur Etablierung eines Notfallmanagements mit der Maßgabe der Förderung von 50 % der Beratungskosten über das Bundesministerium für Wirtschaft und Energie – Eine Belohnung des Ministeriums für die Verbesserung der Sicherheit Ihres Unternehmens.
Autor
Dr. Frank H. Thiele ist Geschäftsführer der GSG Global Service Group GmbH und ist vor allem Experte im Bereich IT-Security. Er galt als die treibende Kraft bei der Etablierung des Portals it-security.de. Hierin werden alle sicherheitsrelevanten Themen behandelt und ausgiebig dokumentiert. Ein Blick in das Portal lohnt sich immer, denn Sinn und Zweck ist die Verbesserung der IT-Sicherheit in Ihrem Unternehmen.