12.02.2024
Ein Cyberangriff ist für viele Unternehmen ein Schock. Er kostet Geld, Zeit und kann das Image schädigen. Es ist deshalb wichtig für Unternehmen, sich entsprechend vorzubereiten. Dazu gehört vor allem eine angemessene IT-Sicherheitsstrategie und -ausstattung. Gerade für kleine- und mittelständische Unternehmen (KMU) kann es dabei vorteilhaft sein, einen Blick auf Anbieter von Managed Services zu werfen, um die IT-Sicherheit an einen spezialisierten externen Dienstleister auszulagern.
Als Vorbereitung auf einen potenziellen Cyberangriff ist ein entsprechender Notfallplan zu erstellen, um im Ernstfall ein koordiniertes Vorgehen zu gewährleisten. Der Plan regelt unter anderem, wer wann informiert wird: die Geschäftsführung, die verantwortlich und gegebenenfalls auch haftbar ist, die Rechtsabteilung, die Unternehmenssicherheit und Aufsichtsbehörden. Festgelegt werden sollte auch, wann Kunden, Partner und die Öffentlichkeit über einen Angriff informiert werden. Frühzeitig Transparenz zu schaffen, hat sich bei vergangenen Vorfällen bewährt. Denn ein Hackerangriff ist kein peinlicher Patzer mehr, sondern etwas, dass trotz aller Sicherheitsvorkehrungen regelmäßig Behörden, Unternehmen und andere Organisationen betrifft. Zu den Vorab-Maßnahmen sollte darüber hinaus eine entsprechende Versicherung gehören, denn bei einem „erfolgreichen“ Angriff geht es auch um finanzielle Risiken.
Ganz besonders betrifft das Thema IT-Sicherheit sogenannte kritische Infrastrukturen, kurz KRITIS. Dabei handelt es sich um Organisationen und Einrichtungen von wesentlicher Bedeutung für das staatliche Gemeinwesen. Dazu zählen Energie (z. B. Strom), Wasser, Transport, Verkehr, Gesundheit und IT. Ob ein Unternehmen der kritischen Infrastruktur zuzuordnen ist, kann anhand der KRITIS-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) überprüft werden. Bei Beeinträchtigung oder Ausfall einer oder mehrerer Komponenten dieser kritischen Infrastrukturen kann es zu Versorgungsengpässen oder Störungen der öffentlichen Sicherheit kommen. Zudem sind KRITIS in hohem Maße voneinander abhängig – ohne Strom und damit IT können beispielsweise Kraftwerke nicht betrieben werden. KRITIS-Organisationen unterliegen außerdem im Falle eines Angriffs einer Meldepflicht. Beim BSI können Sie dann Hilfe in Anspruch nehmen: Ein Mobiles Incident Response Team (MIRT) unterstützt bei einem IT-Sicherheitsvorfall aktiv und hilft bei der Aufarbeitung.
Vorgehen bei einem Angriff
Trotz umfassender Sicherheitsmaßnahmen besteht weiterhin die Möglichkeit eines Angriffs. Professionelle Cyberattacken werden heutzutage von organisierter Kriminalität oder staatlich unterstützten Gruppierungen mit erheblichen Ressourcen und entsprechender krimineller oder ideologischer Motivation durchgeführt. Laut BSI-Bericht zur Lage der IT-Sicherheit in Deutschland war die Bedrohungslage im Cyber-Raum 2023 so hoch wie nie zuvor. Schon in jüngster Vergangenheit war die Lage dramatisch: Eine Studie im Auftrag des Digitalverbands Bitkom aus dem Jahr 2022 zeigte, dass ein Großteil der deutschen Unternehmen (84 Prozent) jeglicher Größe und Branche von Cyberangriffe betroffen waren oder davon ausgehen.
Tritt ein Hackerangriff auf, gilt es, Ruhe zu bewahren. Die Gegenmaßnahmen sind individuell, sie müssen an das Unternehmen, die IT-Infrastruktur vor Ort und an die Art des Angriffs angepasst werden. Zunächst gilt es, einen Vorfall zu bewerten und zu analysieren. Handelt es sich tatsächlich um einen Angriff oder lediglich um eine technische Störung? Es kann sinnvoll sein, direkt externe Expertinnen und Experten hinzuzuziehen, um eine korrekte Einschätzung vornehmen zu können. Handelt es sich tatsächlich um einen Angriff, greift idealerweise der Notfallplan. Ist dieser noch nicht erarbeitet, sollte ein konkreter Angriff dazu genutzt werden, über eine umfassende Dokumentation die Grundlage für einen Notfallplan zu schaffen.
Wenn möglich sollten in der akuten Situation keine Angriffsspuren zerstört werden. Es kann auch sinnvoll sein, Screenshots, Datenträger und andere digitale Informationen zu sichern. Zudem sollte das betroffene System nicht weiterverwendet und im aktuellen Zustand belassen werden. So können Expertinnen und Experten Beweise analysieren und gegebenenfalls Rückschlüsse auf das Vorgehen der Angreifer ziehen. Zudem heißt es, schnell Maßnahmen zu ergreifen, um das Ausmaß festzustellen. Ist nur ein PC betroffen, mehrere oder das gesamte Netzwerk?
Anschließend ist es wichtig, die betroffenen Systeme vom Internet und vom internen Netzwerk zu trennen. So können weitere unbefugte Zugriffe verhindert werden. Die Vorgehensweise bei Servern hängt davon ab, welche Funktion diese erfüllen. Ist das System geschäftskritisch, ist es ratsam, es zu isolieren. Ansonsten könnte sich ein Angreifer im gesamten Netzwerk ausbreiten. In den meisten Fällen empfiehlt sich, vorsorglich mehr als zu wenige Systeme zu isolieren. Auch sollten Back-ups gestoppt werden.
Aufarbeitung und Learnings
Jegliche Schadsoftware sollte nach erfolgreicher Eindämmung von den betroffenen Systemen und Ressourcen entfernt werden. Es ist sinnvoll, dabei alle Beteiligten über den Fortschritt auf dem Laufenden zu halten.
Die ordnungsgemäße Wiederherstellung nach einem Hackerangriff kann einige Zeit in Anspruch nehmen. Hierbei spielen die Art des Angriffs und der Schaden eine entscheidende Rolle. Ist zum Beispiel die Schadsoftware von den Systemen entfernt, kann in der Regel der Normalbetrieb wieder aufgenommen werden. Die betroffenen Bereiche oder Systeme sollten jedoch überwacht werden, um weitere Risiken auszuschließen. Abschließend sollte der Vorfall genau analysiert und besprochen werden. Die Erkenntnisse können zur Prävention künftiger Hackerangriffe genutzt werden.
War die interne IT-Abteilung beim Angriff auf sich allein gestellt und etwaige Grenzen erkannt, ist jetzt der richtige Zeitpunkt über die Zusammenarbeit mit einem Managed Service Provider nachzudenken. So kann die IT-Abteilung entlastet und die IT-Sicherheit des Unternehmens auf ein neues Niveau gehoben werden. Dieser bietet diverse Lösungen, um das Netzwerk mit zusätzlichen Angriffshürden zu versehen. Dazu gehören zum Beispiel die Implementierung eines SIEM (Security Incident Event Management) oder einer Managed Firewall inklusive Monitoring, welches die Überwachung der einzelnen Netzwerkkomponenten ermöglicht. Denn ein erneuter Angriffsversuch ist wahrscheinlich nur eine Frage der Zeit.
Mehr zum Thema KRITIS: KRITIS (byon.de)
