Lösungen

Preise

Partner

Login

Kostenlose Beratung
Bildquelle: Gerd Altmann via Pixabay
24.03.2021

Gehackt – was nun? Incident Response im Überblick

Cybersicherheit | Cyberangriff | Tipps und Trends  Hinweise

Im Falle eines Cybernotfalls kommt es auf eine schnelle, überlegte Reaktion an – auf die Incident Response. Was gehört dazu? Das erfahren Sie hier. Außerdem geben wir ein paar konkrete Tipps zu ihrer Optimierung.

Gleich vorweg: Wir hoffen, dass Sie niemals eine Incident Response benötigen. Aber wie bei allen Notfällen gilt auch bei Cybernotfällen, dass man sie gut vorbereitet besser bewältigen kann. Dazu möchten wir mit diesem Artikel beitragen.

Wenn Sie wissen, was zu tun ist und bereits Vorkehrungen für Ihre Incident Response getroffen haben, kann Ihr Unternehmen im Ernstfall schneller zum produktiven Alltag zurückkehren. Zugleich können Sie in der Hektik und Verwirrung eines Cybernotfalls besser Ruhe bewahren, überlegter handeln und anderen Orientierung geben.

 

Besonders wichtig: Die richtigen, spezialisierten Ansprechpartner

Cyberkriminelle dringen oft tief in das von ihnen angegriffene System ein. Zum Beispiel, um durch einen umfassenden Ransomware-Angriff ihre Lösegeldforderung so alternativlos wie möglich zu machen. Oder um nach einer unvollständigen Entfernung der Schadsoftware erneut angreifen zu können. Daher empfehlen wir ausdrücklich, in einem Cybernotfall entsprechend spezialisierte Fachleute aus dem Bereich Cybersicherheit oder IT-Forensik hinzuzuziehen.

Grundüberlegungen zur Incident Response Ihres Unternehmens

Wie wichtig eine gute Incident Response für Ihr Unternehmen ist, können Sie selbst am besten abschätzen. Welche Schäden würde ein Cybernotfall verursachen? Zum Beispiel: Wenn alle Rechner, Server, Drucker und weiteren Systeme wie computergesteuerte Produktionsstraßen ausfallen. Wenn Sie nicht mehr auf Ihre Kundendaten zugreifen können oder eingehende Bestellungen nicht mehr in Ihrem System ankommen.

Diese Überlegungen sind selten erfreulich. Aber auf ihrer Basis lassen sich hinsichtlich der Incident Response verantwortbare Entscheidungen treffen. Gleichzeitig helfen diese Überlegungen Ihnen, besonders schützenswerte Daten und Systeme zu erkennen.

 

So läuft eine Incident Response ab

Eine gute Incident Response findet in drei Phasen statt: vor einem Cybernotfall, im Akutfall und nach einem Cybernotfall. Die erste Phase ist besonders wichtig. Denn auf ihr bauen alle weiteren Maßnahmen auf.

Phase 1: Maßnahmen vor einem Cybernotfall

Diese Phase hat einen riesigen Vorteil: es herrscht kein Zeitdruck. Sie können Ihre Überlegungen und Ihr Vorgehen in Ruhe überprüfen und optimieren. Im Idealfall werden Sie dabei bereits von spezialisierten Fachleuten aus dem Bereich Cybersicherheit oder IT-Forensik unterstützt.

Die Leitfrage dabei ist: Wie lassen sich Schäden durch einen Cyberangriff bestmöglich vermeiden bzw. verringern? Die jeweiligen Maßnahmen müssen selbstverständlich an die Besonderheiten Ihres Unternehmens angepasst werden. Viele von ihnen wirken auch präventiv, d. h. sie können Cybernotfälle verhindern.

 

Zu typische Maßnahmen zählen:

  • Optimierung der IT-Struktur des Unternehmens, um sensible Bereiche gezielt zu schützen
  • Technische Überprüfung der Server und Netzwerke auf Sicherheitslücke
  • Minimierung organisatorischer Sicherheitslücken, z. B. durch beruflich und privat genutzte Geräte
  • Training der Mitarbeitenden zu Cybersicherheit und zum Verhalten in Cybernotfällen
  • Ein Notfallplan für schnelle strukturierte Reaktionen im Ernstfall
  • Eine Notfall-Kontaktliste u. a. mit Fachleuten aus dem Bereich Cybersicherheit oder IT-Forensik
  • Eine Back-up-Strategie, die u. a. Datenverluste durch Ransomware berücksichtigt

 

Phase 2: Maßnahmen im Akutfall

Im Falle eines Falles muss es schnell gehen. Denn Cybernotfälle verursachen oft Produktionsstopps. Aber: Viele Hacker setzen genau auf diesen Zeitdruck und „verstecken“ Teile ihrer Schadsoftware schwer auffindbar im System. Daher ist im Akutfall auch Gründlichkeit von entscheidender Bedeutung.

 

Zentrale Maßnahmen der Incident Response im Akutfall:

  • Analyse welche Systeme befallen sind, mit welcher Schadsoftware, welche Schäden bereits bestehen
  • Überprüfung wie die Schadsoftware ins System gelangte und ob weitere, vielleicht noch inaktive Komponenten vorhanden sind
  • Schließen von Sicherheitslücken, auch von der Schadsoftware selbst verursachter
  • Entfernung der Schadsoftware
  • Wiederherstellung verlorener Daten, z. B. per Back-up

 

Phase 3: Maßnahmen nach einem Cybernotfall

Ein Cybernotfall muss dokumentiert und in den meisten Fällen den entsprechenden Behörden gemeldet werden. Eventuell betrifft er auch Ihre Kunden oder Partnerunternehmen – die Sie dann informieren müssen. Nicht zuletzt zeigt ein Cybernotfall Ihnen, wo die Cybersicherheit Ihres Unternehmens verbessert werden sollte.

 

Zu üblichen Maßnahmen nach einem Cybernotfall gehören:

  • Dokumentation des Vorfalls
  • Ggf. Meldung an die zuständigen Behörden
  • Ggf. Meldung an die Versicherung
  • Ggf. Benachrichtigung von Betroffenen z. B. wenn Kundendaten eingesehen werden konnten
  • Optimierung der Cybersicherheit durch technische Maßnahmen und Trainings für Mitarbeitende

 

Unsere Top 3 Tipps für Ihre Incident Response

  1. Machen Sie den Anfang. Definieren Sie: Wer ist in Ihrem Unternehmen für die Incident Response verantwortlich? Sprechen Sie mit der entsprechenden Person oder Abteilung darüber. Kontaktieren Sie ggf. externe Fachleute aus dem Bereich Cybersicherheit oder IT-Forensik und vereinbaren Sie einen (häufig kostenlosen) Beratungstermin.
  2. Verringern Sie eines Ihrer größten Cyberrisiken. Verbessern Sie die Phishing-Awareness in Ihrem Unternehmen. Denn eine legitim aussehende E-Mail mit schädlichem Anhang oder Link wird im hektischen Arbeitsalltag schnell angeklickt. Wie schnell? Perseus bietet Ihnen einen kostenlosen Test an, wie verletzlich Ihr Unternehmen für Phishing-Attacken ist.  Auf dessen Basis können Sie weitere Schritte planen.
  3. Sichern Sie Ihre Daten durch Back-ups. Cybernotfälle z. B. durch Ransomware können zu großen Datenverlusten führen. Je aktueller Ihre per Back-up gesicherten Daten dann sind, desto besser. WICHTIG: Bewahren Sie immer mindestens ein Back-up von Ihrem System aus unzugänglich auf. Zum Beispiel auf einer externen, ausgesteckten Festplatte. Denn bei vielen Angriffen werden Back-ups gezielt im System gesucht und zerstört oder verschlüsselt.

 

Sie haben einen Cybernotfall oder möchten Ihre Incident Response mit uns optimieren? Dann wenden Sie sich an unsere Experten von Perseus.

Sie möchten sich gerne intensiver mit dem Thema Incident Response beschäftigen? Dann fordern Sie doch unseren kostenlosen Leitfaden „Was tun im Cybernotfall“ an. Darin finden Sie deutlich mehr Informationen, als in einen Blogartikel passen.

24.03.2021

Hacked – what now? Incident response at a glance

Cyber security | Cyber attack | Tips and trends Information

In the event of a cyber emergency, a quick, well-considered response is essential – incident response. What does this involve? Find out here. We also provide a few specific tips on how to optimise your response.

 

First things first: we hope you never need to respond to an incident. But as with all emergencies, cyber emergencies are easier to deal with if you are well prepared. This article aims to help you do just that.

If you know what to do and have already taken precautions for your incident response, your company can return to productive everyday business more quickly in an emergency. At the same time, you can better maintain calm in the hectic and confusing situation of a cyber emergency, act more deliberately and provide guidance to others.

 

Particularly important: the right, specialised contacts

Cybercriminals often penetrate deep into the system they are attacking. For example, to make their ransom demand as unavoidable as possible through a comprehensive ransomware attack. Or to be able to attack again after incomplete removal of the malware.

We therefore strongly recommend that you consult appropriately specialised experts in the field of cyber security or IT forensics in the event of a cyber emergency.

Basic considerations for your company’s incident response

You are in the best position to assess how important a good incident response is for your company. What damage would a cyber emergency cause? For example, if all computers, servers, printers and other systems such as computer-controlled production lines fail. If you can no longer access your customer data or incoming orders no longer arrive in your system.

 

These considerations are rarely pleasant. But they form the basis for making responsible decisions regarding incident response. At the same time, these considerations help you identify data and systems that are particularly sensitive.

 

How incident response works

Good incident response takes place in three phases: before a cyber emergency, during an acute incident, and after a cyber emergency. The first phase is particularly important, as all further measures are based on it.

 

Phase 1: Measures before a cyber emergency

This phase has one huge advantage: there is no time pressure. You can take your time to review and optimise your considerations and approach. Ideally, you will already be supported by specialists in the field of cyber security or IT forensics.

The key question here is: How can damage from a cyber attack be best avoided or minimised? The measures you take must, of course, be tailored to the specific characteristics of your company. Many of them also have a preventive effect, i.e. they can prevent cyber emergencies.

 

Typical measures include:

  • Optimising the company’s IT structure to protect sensitive areas in a targeted manner
  • Technical review of servers and networks for security vulnerabilities
  • Minimising organisational security gaps, e.g. through devices used for professional and private purposes
  • Training employees on cyber security and how to behave in cyber emergencies
  • An emergency plan for quick, structured responses in serious cases
  • An emergency contact list including experts in cyber security or IT forensics
  • A backup strategy that takes into account data loss due to ransomware, among other things

 

Phase 2: Measures in acute cases

In the event of an incident, speed is of the essence. Cyber emergencies often cause production stoppages. However, many hackers rely precisely on this time pressure and ‘hide’ parts of their malware in the system where they are difficult to find. Therefore, thoroughness is also crucial in acute cases.

 

Key incident response measures in an emergency:

  • Analyse which systems are affected, what malware is involved and what damage has already been done
  • Check how the malware got into the system and whether there are any other components that may still be inactive
  • Close any security gaps, including those caused by the malware itself
  • Remove the malware
  • Restore lost data, e.g. from a backup

 

Phase 3: Measures after a cyber emergency

A cyber emergency must be documented and, in most cases, reported to the relevant authorities. It may also affect your customers or partner companies, whom you must then inform. Last but not least, a cyber emergency shows you where your company’s cyber security needs to be improved.

 

Standard measures following a cyber emergency include:

  • Documentation of the incident
  • Reporting to the relevant authorities, if necessary
  • Reporting to the insurance company, if necessary
  • Notification of affected parties, e.g. if customer data has been accessed
  • Optimisation of cyber security through technical measures and training for employees

 

Our top 3 tips for your incident response

  1. Take the first step. Define who is responsible for incident response in your company. Talk to the relevant person or department about this. If necessary, contact external experts in cyber security or IT forensics and arrange a consultation (often free of charge).
  2. Reduce one of your biggest cyber risks. Improve phishing awareness in your company. A legitimate-looking email with a malicious attachment or link can quickly be clicked on in the hectic day-to-day work environment. How quickly? Perseus offers a free test to assess how vulnerable your company is to phishing attacks. You can use the results to plan further steps.
  3. Secure your data with backups. Cyber emergencies, e.g. caused by ransomware, can lead to significant data loss. The more up to date your backed-up data is, the better. IMPORTANT: Always keep at least one backup of your system in an inaccessible location. For example, on an external, unplugged hard drive. This is because many attacks specifically search for backups in the system and destroy or encrypt them.

 

Do you have a cyber emergency or would you like to optimise your incident response with us? Then get in touch with our experts at Perseus.

Would you like to learn more about incident response? Then request our free guide, ‘What to do in a cyber emergency.’ It contains much more information than can fit in a blog article.

Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung