Incident Response: Ein IT-Notfall ruft an

Der Bildschirm wird schwarz und statt des vertrauten Desktops erscheint eine Lösegeldforderung. Das Unternehmen ist einem Ransomware-Angriff zum Opfer gefallen - mittlerweile Standard bei einer Cyberattacke. Ohne die Hilfe von externen Fachleuten ist ein derartiger Incident kaum zu bewältigen. In solchen Situationen greifen IT-Verantwortliche zum Hörer und wählen die Notfall-Nummer der G DATA Advanced Analytics in Bochum (0234 - 9762 800). Dort sprechen sie dann mit Kira Groß-Bölting, Incident-Response-Koordinatorin. Ihre Aufgabe ist es, die zentralen Informationen zu sammeln, um den Notfalleinsatz vorzubereiten, erste Handlungsempfehlungen auszusprechen und den Kunden beizustehen.

Unabhängig von der Hierarchie-Ebene – vom IT-Administrator und der Abteilungsleitung über die Geschäftsführung bis hin zum Vorstand – kämpfen alle Anrufer*innen mit ihren Gefühlen. Dazu gehört vor allem Hilflosigkeit infolge des Kontrollverlusts. Die Betroffenen sind meistens mit der Situation überfordert. Selbst Unternehmen, die über IT-Notfallpläne verfügen und sich auf den Worst Case vorbereitet haben, bleiben davon nicht verschont, denn der Incident ist ein Ausbruch aus der Routine. Diejenigen, die sonst die Kontrolle haben, finden sich plötzlich in der Zuschauerrolle wieder.

Auch Angst und Panik liegt in den Stimmen der Betroffenen. Verbunden mit Fragen wie „Haben die Cyberkriminellen mich gezielt angegriffen?“ oder „Wie kann ich das Chaos, das die Angreifer hinterlassen haben, in den Griff bekommen?“. Teilweise sind die Betroffenen auch aggressiv oder wütend und suchen einen „Sündenbock“. Lässt sich also ein*e Mitarbeiter*in identifizieren, die oder den das Unternehmen zur Rechenschaft ziehen kann? Nicht zuletzt wollen die Anrufer wissen, wie schnell der Schaden behoben ist und wann das Unternehmen wieder einsatzfähig ist. Besonders dramatisch ist die Lage für Firmen ohne funktionsfähige Backups.

Der Stress, der auf die Betroffenen einwirkt, ergibt sich aus unterschiedlichen Faktoren. Das ist hauptsächlich der finanzielle Druck, der sich etwa aus Produktionsausfällen, dem Verlust von Kunden oder Umsatzverlusten ergibt. Der zeitliche Druck ist ebenfalls immens und in einigen Branchen, wie etwa im Gesundheitssektor, deutlich größer als der finanzielle Druck. Denn hier steht die Rettung von Menschenleben und die optimale medizinische Versorgung der Patient*innen im Vordergrund. Ist ein Krankenhaus betroffen, fällt in einer ganzen Region ein Teil der medizinischen Versorgungskette zusammen.

Zusätzlich zu finanzieller und zeitlicher Not üben Vorgesetzte, Mitarbeitende und Kunden Druck aus. Die Frage, wann die Systeme wieder online sind, treibt alle um. Kunden sind ungeduldig und drohen schnell abzuwandern. Auch die Frage, wer für die Arbeitsausfälle aufkommt, verstärkt den Stress. Die Situation wird in vielen Unternehmen durch fehlende Vorbereitung oder mangelndes Notfallmanagement teils drastisch verschärft. Drängende Fragen müssen unter diesen Umständen auch noch geklärt werden: Wer darf Entscheidungen treffen? Gibt es technische Dokumentationen, die dem Incident-Response-Team die Arbeit erleichtern? Und: Wer kümmert sich um die Krisenkommunikation und legt die Inhalte dafür fest?
Wenn dann noch eine Abhängigkeit von einem IT-Dienstleister besteht, der etwa Passwörter und/oder Zugänge von Diensten administriert, die im Unternehmen nicht bekannt sind, sorgt diese Abhängigkeit für einen weiteren Zeitverlust im Kampf gegen die Angreifer und beeinträchtigt die Reaktionszeit massiv.

Eine Incident-Response-Koordinatorin muss Ruhe bewahren und koordiniert handeln. Dies gelingt mit einer Eselsbrücke wie beim Erste-Hilfe-Kurs zum Führerschein – „PAKET“. Die fünf Buchstaben stehen für Puls, Atmung, Krankenwagen, Eigenwärme und Trösten. Für den Incident heißt die Zauberformel HELFEN, um im ersten Kontakt mit gestressten Menschen einen klaren Kopf und die Kontrolle über das Gespräch zu behalten.

• H wie Hilfe zur Selbsthilfe – Es ist wichtig, Tipps zu geben oder für „Ablenkung“ zu sorgen, um betroffenen Personen das Gefühl zu geben, wieder handlungsfähig zu sein und die Kontrolle über die Situation zurückgewinnen zu können.
• E wie Ehrlichkeit – Beschönigen hilft nichts. Es braucht vielmehr eine ehrliche Antwort, damit die betroffenen Personen eine realistische Einschätzung der Situation haben.
• L wie Lauschen – Betroffene benötigen ein Ventil, um dem Ärger Luft zu machen oder anfangen zu können, das Geschehene zu verarbeiten. Es hilft ihnen, sich auszusprechen – in dem Wissen, dass am anderen Ende eine Person zuhört. Dabei ist es wichtig, aktiv zuzuhören, um im weiteren Verlauf des Gesprächs die richtigen Fragen zu stellen. So bekommen die Anrufenden das Gefühl vermittelt, dass es immer noch ein Sicherheitsnetz gibt.
• F wie Fachwissen – Angepasst an das Gegenüber braucht es Fachwissen, um zu zeigen, dass die Koordinatorin die Situation erkennt und weiß, wie man mit dem Angriff im Unternehmensnetzwerk umgehen muss. An dieser Stelle erhalten die Anrufenden auch Informationen, wie die Dienstleistung Incident Response abläuft und was passieren wird, um den Schaden zu beheben.
• E wie Ernstnehmen – Jedes Thema und jede Aussage ist in einer derartigen Ausnahmesituation ernst zu nehmen. Manchmal erfährt man einige Details erst, wenn sich eine Person sicher ist, dass es keine falschen Antworten oder Aussagen gibt.
• N wie Nachfragen – Jede Nachfrage zeigt den Betroffenen, dass ihr Anliegen wichtig ist und bei wem die Gesprächsführung liegt. Die Nachfragen dienen auch dazu, das Einsatzteam bestmöglich vorbereiten zu können – aber auch, um den Kunden auf den Einsatz einzustimmen.

Bevor ein Incident-Response-Team aktiv werden kann, braucht es Informationen zum aktuellen Notfall. Daher ist es entscheidend, zentrale Frage zu beantworten – vergleichbar mit den zentralen Fragen beim Notruf für die Feuerwehr. Diese Standardfragen schaffen ein tieferes Verständnis für die aktuelle Situation vor Ort.

• Was ist passiert beziehungsweise was passiert gerade? Denn nicht immer ist der Angriff bereits abgeschlossen.
• Wann ist es passiert?
• Wie ist es aufgefallen? Aus dieser Frage lassen sich auch schon Hinweise zum Angriffsvektor entnehmen.
• Welche Maßnahmen wurden bereits getroffen? Dabei geht es um die Frage, ob bereits forensische Spuren gesichert oder Spuren versehentlich unbrauchbar gemacht worden sind. Dies kann schnell passieren, wenn den handelnden Personen vor Ort die notwenigen Kenntnisse fehlen.
• Welches Unternehmen ist betroffen? Handelt es sich um ein produzierendes Gewerbe, um ein KRITIS-Unternehmen oder eine staatliche Einrichtung?

Natürlich sind auch technische Detailfragen vorab zu klären, um die Situation vor Ort besser einschätzen und den Einsatz entsprechend planen zu können. Dann ist die Entscheidung zu treffen, ob das Incident-Reponse-Team Remote-Hilfe leisten kann oder ein Einsatz vor Ort nötig ist. Dazu gehören Informationen zur IT-Infrastruktur, zur Netzwerkgröße, zu den eingesetzten Betriebssystemen sowie deren Patchstatus und den eingesetzten Sicherheitskomponenten.

Wer handlungsfähig bleiben und gut vorbereitet auf den Einsatz eines externen Einsatzteams sein will, sollte folgende Dinge beachten:

• Internen und externen Netzwerkverkehr sofort unterbrechen: So sperren Unternehmen die Angreifer aus und verhindern, dass sie weiteren Zugang zum Netzwerk haben. Und damit auch eine weitere Ausbreitung der Infektion.
• Virtuelle Maschinen pausieren oder Snapshots erstellen: Es ist nicht ratsam, virtuelle Maschinen (VMs) herunterzufahren. Besser ist es, diese zu pausieren oder ein Snapshot zu erstellen, um einen aktuellen Zwischenstand zu speichern. Denn moderne Verschlüsselungs-Trojaner liegen nicht mehr auf der Festplatte, sondern im Arbeitsspeicher. Wer also eine VM ausschaltet, macht den Arbeitsspeicher unbrauchbar und vernichtet dabei mögliche forensische Spuren.
• Zentrale Ansprechperson / Stabstelle festlegen: Kurze Kommunikationswege sind ein zentraler Faktor beim IT-Notfall. Eine Ansprechperson oder eine Stabstelle koordiniert dabei die Kommunikation zwischen intern und dem Incident-Response-Team. Darüber hinaus kümmert sich diese Stelle auch um die Abstimmung mit anderen externen IT-Dienstleistern wie etwa dem Systemhaus und der Kommunikation zu Kunden und Mitarbeitenden.
• Vorurteilsfreie Kommunikation: Im Mittelpunkt sollte eine konstruktive Arbeitsumgebung stehen. Wichtig dabei ist eine angstfreie Umgebung, in der auch Mitarbeitende mit wenig IT-Kenntnissen Hinweise zum Vorfall geben können. Vorwürfe oder Schuldzuweisungen helfen in dieser Situation keinem weiter!
• Backups prüfen und bereitstellen: Dieses Thema sollten Unternehmen eigentlich schon vor einem Notfall auf der Agenda stehen haben. Denn im Worst Case ist es dafür zu spät. Mit aktuellen Backups lässt sich der Datenverlust minimal halten.
• Zusammenarbeit mit lokalen Behörden: Jedes Bundesland hat eine eigene Anlaufstelle für Cybercrime eingerichtet (in NRW ist das LKA https://polizei.nrw/en/node/1173 zuständig). Die Ansprechpersonen sind mit Cyberattacken vertraut. Des Weiteren sollten die Opfer Strafanzeige stellen, damit die Behörden Ermittlungen einleiten können. Zusätzlich ist die Informationspflicht mit dem Datenschutzverantwortlichen zu klären, um einen möglichen Verlust von privaten Daten fristgerecht zu melden. Hier gilt übrigens die Faustformel: Lieber eine Meldung zu viel als zu wenig.

Es gibt allerdings auch Maßnahmen, die Unternehmen im IT-Notfall keinesfalls machen sollten. Damit schaden sie sich mehr und erschweren dem Incident-Response-Team die Arbeit:

• Systeme herunterfahren: Mit dieser Maßnahme zerstören die Betroffenen mögliche forensische Spuren oder machen sie unbrauchbar.
• Systeme innerhalb des kompromittierten Netzwerks anfahren: Es besteht die Gefahr, dass die Infektion weitere Teile des Netzwerks befällt und der Schaden immer größer wird.
• Antivirus-Lösung abschalten: Auch während eines oder nach einem aktiven Angriff hilft die Antivirus-Lösung, indem sie weitere Angriffsversuche abblockt.
• Selbstversuche: Wer keine entsprechenden Fachkenntnisse besitzt, verzögert und behindert eine schnelle Aufklärung des Infektionshergangs. Dieser ist unerlässlich, um schnell den Vorfall lösen zu können. Das Risiko, eine “Verschlimmbesserung” herbeizuführen, ist sehr groß.
• Unbegleitete Erpresserkommunikation: Grundsätzlich gilt „Kein Dialog mit Erpressern!“ Einzige Ausnahme: Wenn sich ausschließlich durch die Lösegeldzahlung die Existenz des Unternehmens retten lässt. Dafür braucht es aber kompetente Unterstützung durch die Behörden.
• Schuldzuweisungen: Es braucht eine angstfreie Umgebung, in der Mitarbeitende sich trauen, Fehler wie den möglichen Klick auf den Link in einer Phishing-Mail zuzugeben – ohne Konsequenzen fürchten zu müssen. Wer eine verdächtige Aktion direkt meldet, hilft mit, den Schaden frühzeitig einzudämmen.

So kompliziert die Anrufe von betroffenen Menschen auch sein können, es geht immer darum, zentrale technische Fragen zu klären – trotz hohen emotionalen Stresses. Mit dem Telefonat bei den Fachleuten beginnt die Arbeit des Incident-Response-Teams, die von Fall zu Fall unterschiedlich und doch in den Grundzügen gleich ist. Dabei nimmt eine Incident-Response-Koordinatorin eine zentrale Rolle ein. Unmittelbar im Anschluss an den Notruf erfolgt die Einsatz- und Personalplanung, die Fallübergabe an das Team sowie der Start der Rettungsmission.