06.12.2018, Autor: Tim Berghoff

Wenn der Admin im Krisenfall schon Feierabend hat

Viele IT-Notfälle könnten wesentlich besser behandelt werden, wenn jeder weiß, wer zuständig ist. Gerade wenn es um sicherheitsrelevante Vorfälle geht, zählt oft jede Sekunde.

Herr Schmidt arbeitet in der Buchhaltung eines mittelständischen Maschinenbauunternehmens mit 96 Mitarbeitern. Am Freitagnachmittag will er nur noch kurz ein paar Dinge erledigen, bevor es in den wohlverdienten Feierabend geht. Doch dabei macht ihm die IT einen Strich durch die Rechnung. Denn kurz bevor er gehen will, kommt noch eine Mail rein – das soll dann aber auch die letzte für heute sein.

„Na toll“, denkt er sich – „wieder einer, der kurz vor Toresschluss noch seine Rechnungen einreichen will“. Entnervt öffnet er den Mailanhang und will gerade auf „Drucken“ klicken, als der Rechner plötzlich stockt. „Nicht das auch noch…!“, entfährt es ihm. Naja, soll der Anhang sich erst mal richtig öffnen – in der Zwischenzeit kann man ja noch eine andere Excel-Tabelle weiter ausfüllen. Aus dem Augenwinkel sieht er plötzlich, dass einige Dateien im Explorer-Fenster sich verändert haben. Dann erscheint der Text: „Your files have been encrypted“.

Von Verschlüsselungstrojanern hat Herr Schmidt schon häufiger gehört – ist sich aber nicht ganz sicher, wie er reagieren soll. Also sucht er einen Ansprechpartner in der IT-Abteilung -doch der Flur ist wie ausgestorben. Ein Blick in einige der Büros bestätigt seine Befürchtung. Ein anderer Mitarbeiter begegnet ihm mit einer Tasse Kaffee in der Hand auf dem Flur. „Wen suchst du denn?“, fragt er. „Ich suche irgendwen von der IT, ich glaube mein Rechner hat einen Virus!“. Der Kollege kratzt sich am Kopf und meint „Ich glaube da wirst du keinen Erfolg haben. Der Schröder ist gerade eben raus und was mit den anderen ist – keine Ahnung. Da musst Du mal schauen, vielleicht läuft von denen noch einer irgendwo hier rum.“

    Richtiges Handeln im Krisenfall kann den Schaden begrenzen

    Herr Schmidt ist also auf sich allein gestellt. Denn auch im Telefonsystem finden sich keinerlei verfügbare Ansprechpartner mehr. Dabei könnte richtiges Handeln im Krisenfall den Schaden in vielen Fällen minimieren – gerade bei Verschlüsselungstrojanern.

    Denn viele dieser Programme verbreiten sich von selbst weiter, wenn sie erst einmal ein Firmennetzwerk infiziert haben. Programme wie NotPetya konnten dabei ganze globale Unternehmen wie die Reederei Moller-Maersk lahmlegen, indem sie Netzlaufwerke suchten und verschlüsselten. Das Virus konnte sich so von Abteilung zu Abteilung durchfressen. Hier könnte es also helfen, infizierte Rechner schnell vom Netzwerk zu trennen.

    Mitarbeiter für IT-Notfälle sensibilisieren

    Doch dafür müssen Mitarbeiter erstens in Grundlagen der IT-Sicherheit geschult werden und zweitens wissen, wer wann verfügbar ist. Denn wer ein Grundverständnis von IT-Sicherheit hat, der wird auch nicht ständig Fehlalarme auslösen. Doch selbst wenn das geschieht: Besser ein Fehlalarm als ein komplett unbrauchbares Firmennetzwerk.

    Deshalb gilt es gerade im Unternehmenskontext, Hemmschwellen für Mitarbeiter abzubauen über merkwürdiges Verhalten ihrer Rechner zu sprechen. Wer befürchten muss, für die Meldung eines Vorfalls Konsequenzen zu erleiden wird das Problem im Zweifelsfall zum Schaden der Firma verheimlichen – und lässt den Kriminellen damit Raum, ihren Angriff durchzuführen.

    Alarm schlagen, leicht gemacht

    In vielen Bürogebäuden hängen auf jeder Etage Schilder, die Notfallanweisungen enthalten. Dummerweise beschränken sich diese meist nur auf den Brandschutz oder Krankheitsfälle. Sinnvoll wäre es, an zentralen Stellen auch Informationen zugänglich zu machen, wie im IT-Notfall verfahren werden soll. Und mit „Notfall“ ist eindeutig nicht der leere Toner, das abgelaufene Passwort oder die komische Fehlermeldung gemeint, die seit Tagen immer beim Start des CRM-Tools kommt und die man immer weggeklickt hat.

    Handelt es sich um Bereiche mit Publikumsverkehr, dann sollten diese Informationen natürlich so angebracht werden, dass kein Besucher sie sehen kann – schließlich geht eine intern verwendete Nummer niemanden außerhalb des Unternehmens etwas an.

    Ebenfalls hilfreich kann das Bereitstellen von Sofortmaßnahmen sein, die ein Anwender vor der Ankunft des Notfall-Teams selbst umsetzen kann. Diese können je nach Anforderungen unterschiedlich ausfallen, wie zum Beispiel das Trennen der Netzwerkverbindung an einer verdächtigen Maschine oder deren Trennung vom Stromnetz.

    Tipps für Unternehmen:

    1. Klare Anweisungen, was im Fall eines IT-Notfalls zu tun ist
    2. Handreichungen für Mitarbeiter, damit sie die Schwere eines Vorfalls zumindest grob beurteilen können
    3. Mitarbeiter sollten ermutigt werden, über Probleme in der IT zu sprechen – damit Angriffe schneller auffallen


    Share this article

    G DATA | Trust in German Sicherheit