Incident Response: Retten was zu retten ist

30.07.2020
G DATA Blog

Wenn Cyberkriminelle erfolgreich die IT-Infrastruktur angreifen, befinden sich Unternehmen in einem Ausnahmezustand. Wie Experten Betriebe im Ernstfall unterstützen, ist Thema der achten Tekkie-Table-Episode.

Hauke Gierow spricht in Episode 008 des Tekkie Tabels mit Christian Landström, Head of Managed Security Services, und Jasper Bongertz, Principal Network Security Specialist, über das richtige Vorgehen bei einem IT-Sicherheitsvorfall. Die beiden Experten helfen Unternehmen dann, wenn die Mitarbeiter vor Ort einen IT-Incident alleine nicht bewältigen können.

Was ist eine Cyberattacke?

Besonders Unternehmen sind ein lukratives Ziel für Cyberkriminelle. Ihre Motivation: an Geld, vertrauliche Informationen oder geistiges Eigentum, wie zum Beispiel eine technische Erfindung, zu kommen. Dabei gibt es für Kriminelle verschiedene Möglichkeiten in das Unternehmensnetzwerk einzudringen. Sowohl Lücken im System als auch Mitarbeiter können zur Schwachstelle werden und einen Angriff begünstigen. Ein Ziel der Angreifer kann beispielsweise das Auslesen von Passwörtern sein, um administrative Zugänge zu erhalten. Oft verschlüsseln die Kriminellen bei einer erfolgreichen Attacke Daten und fordern ein hohes Lösegeld. Unternehmen sind von einer funktionierenden IT-Infrastruktur abhängig und ein vorübergehender Ausfall ist für sie häufig eine Katastrophe.

Ohne Experten können Firmen einen Incident oft nicht bewältigen, denn jede Unternehmens-IT ist sehr individuell. Für das Beheben eines IT-Sicherheitsvorfalls gibt es keine allgemeingültige Vorgehensweise. Experten wie Christian Landström und Jasper Bongertz, müssen erst eine genaue Analyse vornehmen, um den Ablauf des Angriffs zu verstehen und herauszufinden, was passiert ist. Die Länge eines Einsatzes im Unternehmen hängt außerdem auch sehr stark davon ab, ob Backups existieren, wie das Unternehmensnetzwerk insgesamt gepflegt wurde und was die Angreifer angerichtet haben. Ziel der Experten ist es immer, die IT-Infrastruktur wieder zum Laufen zu bekommen. Manchmal kann es nach einer Cyberattacke Wochen dauern, bis die komplette Unternehmens-IT wieder funktionstüchtig ist.

Jasper Bongertz

Unsere Aufgabe ist es nicht nur technisch zu helfen, sondern auch die richtigen Schritte abzuwägen. Ein unkoordiniertes Vorgehen muss bei einem Incident unbedingt vermieden werden, um noch größere Schäden abzuwenden.

Jasper Bongertz

Principal Network Security Specialist, G DATA CyberDefense

Bestmöglich auf den Ernstfall vorbereitet sein

Ein häufiges Problem, mit dem die Experten konfrontiert sind: Unternehmen setzen sich zu wenig mit dem Ernstfall auseinander und machen Fehler, die vermeidbar sind. Investieren Firmen sowohl in die IT als auch in die IT-Sicherheit zu wenig, ist der Schaden hinterher groß und das Bewältigen eines IT-Sicherheitsvorfalls teuer. Christian Landström und Jasper Bongertz empfehlen in ihrem Gespräch am Tekkie Table jedem Unternehmen einen Notfallplan zu erarbeiten und eine Schadensabschätzung vorzunehmen. Im Ernstfall sind die einzuleitenden Maßnahmen und das richtige Vorgehen geklärt, sodass keine wertvolle Zeit verstreicht. Denn jeder Tag, an dem ein Unternehmen handlungsunfähig ist, kostet Geld. Unternehmen sollten wissen, was ein Ausfall von bestimmten Teilen der Infrastruktur kostet und wie lange das System komplett runtergefahren bleiben könnte.

Fehler, von denen die Experten berichten, sind beispielsweise zu kurz eingestellte Logs, die nur einen Tag in die Vergangenheit reichen oder Backups, die mit der Produktivumgebung verbunden sind und bei einem Angriff kurzerhand mitverschlüsselt werden. Außerdem empfehlen sie dringend eine Cyber-Versicherung abzuschließen. Hier müssen Unternehmen sich aber vorab darüber informieren, welche Voraussetzungen im Vorfeld erfüllt sein müssen, um im Ernstfall Anspruch auf die Leistungen zu haben.

Christian Landström

IT-Sicherheit ist nicht messbar. Die besten Zertifizierungen und Schutzmaßnahmen schützen nicht vor einem Incident. Denn es kann jedes Unternehmen treffen, auch, wenn es gut vorbereitet ist.

Christian Landström

Head of Managed Security Services, G DATA CyberDefense

Richtig reagieren bei einem IT-Sicherheitsvorfall

Wenn Dateien verschlüsselt sind und eine Lösegeldforderung erscheint, ist bedachtes Handeln notwendig, um noch größere Schäden zu vermeiden. Zunächst ist es wichtig, Ruhe zu bewahren und sich schnell Hilfe bei Experten zu holen. Das genaue Vorgehen ist bei einem IT-Sicherheitsvorfall sehr individuell und von unterschiedlichen Faktoren abhängig. Eine komplette Isolation des Netzwerkes oder eine teilweise Einschränkung des Betriebs kann erforderlich sein. Experten sind auf diese Ausnahmesituationen spezialisiert und können bei einem Incident gezielt die richtigen Maßnahmen einleiten. Manchmal beobachten externe Spezialisten einen Angreifer zunächst, wenn Mitarbeiter rechtzeitig merken, dass etwas nicht stimmt. Jasper Bongertz betont am Tekkie Table die Wichtigkeit von personalisierten Admin-Konten. Nur so lässt sich rekonstruieren, wer sich zu welchem Zeitpunkt eingeloggt hat und welche Zugangsdaten für den Angriff verwendet wurden.

Im Verlauf dieser Tekkie Table Episode wird klar: Jedes Unternehmen ist ein potenzielles Angriffsziel. „Es gibt die Unternehmen, die wissen, dass sie einen Incident haben und die, die es noch nicht wissen“, sagt Jasper Bongertz. Angreifer bleiben teils mehrere Monate unentdeckt und beobachten erst einmal den Betrieb. Sobald sich abzeichnet, dass es auffällige Veränderungen im Netzwerk gibt, sollten Unternehmen umgehend handeln. Ein IT-Sicherheitsvorfall stellt immer eine Ausnahmesituation dar, auf die Experten wie Christian Landström und Jasper Bongertz aber bestens vorbereitet sind.

Effektive Incident Response erfordert Fachwissen, das nicht in jedem Unternehmen vorhanden ist. Profitieren Sie deshalb von der jahrelangen Erfahrung der Spezialisten, die sich jeden Tag mit IT-Zwischenfällen befassen. Mehr Informationen unter https://www.gdata.de/business/security-services/incident-response

Marita Bierhoff

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar