Gehackt – was nun? Incident Response im Überblick

Blog Cybersicherheit
Pic Source: Gerd Altmann via Pixabay

Im Falle eines Cybernotfalls kommt es auf eine schnelle, überlegte Reaktion an – auf die Incident Response. Was gehört dazu? Das erfahren Sie hier. Außerdem geben wir ein paar konkrete Tipps zu ihrer Optimierung.
Gleich vorweg: Wir hoffen, dass Sie niemals eine Incident Response benötigen. Aber wie bei allen Notfällen gilt auch bei Cybernotfällen, dass man sie gut vorbereitet besser bewältigen kann. Dazu möchten wir mit diesem Artikel beitragen.

Wenn Sie wissen, was zu tun ist und bereits Vorkehrungen für Ihre Incident Response getroffen haben, kann Ihr Unternehmen im Ernstfall schneller zum produktiven Alltag zurückkehren. Zugleich können Sie in der Hektik und Verwirrung eines Cybernotfalls besser Ruhe bewahren, überlegter handeln und anderen Orientierung geben.

Besonders wichtig: Die richtigen, spezialisierten Ansprechpartner

Cyberkriminelle dringen oft tief in das von ihnen angegriffene System ein. Zum Beispiel, um durch einen umfassenden Ransomware-Angriff ihre Lösegeldforderung so alternativlos wie möglich zu machen. Oder um nach einer unvollständigen Entfernung der Schadsoftware erneut angreifen zu können. Daher empfehlen wir ausdrücklich, in einem Cybernotfall entsprechend spezialisierte Fachleute aus dem Bereich Cybersicherheit oder IT-Forensik hinzuzuziehen.

Grundüberlegungen zur Incident Response Ihres Unternehmens

Wie wichtig eine gute Incident Response für Ihr Unternehmen ist, können Sie selbst am besten abschätzen. Welche Schäden würde ein Cybernotfall verursachen? Zum Beispiel: Wenn alle Rechner, Server, Drucker und weiteren Systeme wie computergesteuerte Produktionsstraßen ausfallen. Wenn Sie nicht mehr auf Ihre Kundendaten zugreifen können oder eingehende Bestellungen nicht mehr in Ihrem System ankommen.

Diese Überlegungen sind selten erfreulich. Aber auf ihrer Basis lassen sich hinsichtlich der Incident Response verantwortbare Entscheidungen treffen. Gleichzeitig helfen diese Überlegungen Ihnen, besonders schützenswerte Daten und Systeme zu erkennen.

So läuft eine Incident Response ab

Eine gute Incident Response findet in drei Phasen statt: vor einem Cybernotfall, im Akutfall und nach einem Cybernotfall. Die erste Phase ist besonders wichtig. Denn auf ihr bauen alle weiteren Maßnahmen auf.

 

Phase 1: Maßnahmen vor einem Cybernotfall

Diese Phase hat einen riesigen Vorteil: es herrscht kein Zeitdruck. Sie können Ihre Überlegungen und Ihr Vorgehen in Ruhe überprüfen und optimieren. Im Idealfall werden Sie dabei bereits von spezialisierten Fachleuten aus dem Bereich Cybersicherheit oder IT-Forensik unterstützt.

Die Leitfrage dabei ist: Wie lassen sich Schäden durch einen Cyberangriff bestmöglich vermeiden bzw. verringern? Die jeweiligen Maßnahmen müssen selbstverständlich an die Besonderheiten Ihres Unternehmens angepasst werden. Viele von ihnen wirken auch präventiv, d. h. sie können Cybernotfälle verhindern.

Zu typische Maßnahmen zählen:

  • Optimierung der IT-Struktur des Unternehmens, um sensible Bereiche gezielt zu schützen
  • Technische Überprüfung der Server und Netzwerke auf Sicherheitslücke
  • Minimierung organisatorischer Sicherheitslücken, z. B. durch beruflich und privat genutzte Geräte
  • Training der Mitarbeitenden zu Cybersicherheit und zum Verhalten in Cybernotfällen
  • Ein Notfallplan für schnelle strukturierte Reaktionen im Ernstfall
  • Eine Notfall-Kontaktliste u. a. mit Fachleuten aus dem Bereich Cybersicherheit oder IT-Forensik
  • Eine Back-up-Strategie, die u. a. Datenverluste durch Ransomware berücksichtigt

Phase 2: Maßnahmen im Akutfall

Im Falle eines Falles muss es schnell gehen. Denn Cybernotfälle verursachen oft Produktionsstopps. Aber: Viele Hacker setzen genau auf diesen Zeitdruck und „verstecken“ Teile ihrer Schadsoftware schwer auffindbar im System. Daher ist im Akutfall auch Gründlichkeit von entscheidender Bedeutung.

Zentrale Maßnahmen der Incident Response im Akutfall:

  • Analyse welche Systeme befallen sind, mit welcher Schadsoftware, welche Schäden bereits bestehen
  • Überprüfung wie die Schadsoftware ins System gelangte und ob weitere, vielleicht noch inaktive Komponenten vorhanden sind
  • Schließen von Sicherheitslücken, auch von der Schadsoftware selbst verursachter
  • Entfernung der Schadsoftware
  • Wiederherstellung verlorener Daten, z. B. per Back-up

Phase 3: Maßnahmen nach einem Cybernotfall

Ein Cybernotfall muss dokumentiert und in den meisten Fällen den entsprechenden Behörden gemeldet werden. Eventuell betrifft er auch Ihre Kunden oder Partnerunternehmen – die Sie dann informieren müssen. Nicht zuletzt zeigt ein Cybernotfall Ihnen, wo die Cybersicherheit Ihres Unternehmens verbessert werden sollte.

Zu üblichen Maßnahmen nach einem Cybernotfall gehören:

  • Dokumentation des Vorfalls
  • Ggf. Meldung an die zuständigen Behörden
  • Ggf. Meldung an die Versicherung
  • Ggf. Benachrichtigung von Betroffenen z. B. wenn Kundendaten eingesehen werden konnten
  • Optimierung der Cybersicherheit durch technische Maßnahmen und Trainings für Mitarbeitende

Unsere Top 3 Tipps für Ihre Incident Response

  1. Machen Sie den Anfang. Definieren Sie: Wer ist in Ihrem Unternehmen für die Incident Response verantwortlich? Sprechen Sie mit der entsprechenden Person oder Abteilung darüber. Kontaktieren Sie ggf. externe Fachleute aus dem Bereich Cybersicherheit oder IT-Forensik und vereinbaren Sie einen (häufig kostenlosen) Beratungstermin.
  2. Verringern Sie eines Ihrer größten Cyberrisiken. Verbessern Sie die Phishing-Awareness in Ihrem Unternehmen. Denn eine legitim aussehende E-Mail mit schädlichem Anhang oder Link wird im hektischen Arbeitsalltag schnell angeklickt. Wie schnell? Perseus bietet Ihnen einen kostenlosen Test an, wie verletzlich Ihr Unternehmen für Phishing-Attacken ist.  Auf dessen Basis können Sie weitere Schritte planen.
  3. Sichern Sie Ihre Daten durch Back-ups. Cybernotfälle z. B. durch Ransomware können zu großen Datenverlusten führen. Je aktueller Ihre per Back-up gesicherten Daten dann sind, desto besser. WICHTIG: Bewahren Sie immer mindestens ein Back-up von Ihrem System aus unzugänglich auf. Zum Beispiel auf einer externen, ausgesteckten Festplatte. Denn bei vielen Angriffen werden Back-ups gezielt im System gesucht und zerstört oder verschlüsselt.

Sie haben einen Cybernotfall oder möchten Ihre Incident Response mit uns optimieren? Dann wenden Sie sich an unsere Experten von Perseus.

Sie möchten sich gerne intensiver mit dem Thema Incident Response beschäftigen? Dann fordern Sie doch unseren kostenlosen Leitfaden „Was tun im Cybernotfall“ an. Darin finden Sie deutlich mehr Informationen, als in einen Blogartikel passen.