Cybersicherheit | Schadenmanagement | Hinweise
Was ist die richtige Reaktion und Vorgehensweise in einem Cybernotfall? Braucht man einen konkreten Notfallplan? Und gibt es einen Zusammenhang zwischen Reaktionszeit und Schadenhöhe? Im zweiten Teil unseres Interviews mit Perseus-IT-Forensiker Julian Krautwald erfahren Sie, welche Sofortmaßnahmen Unternehmen nach einer erfolgten Cyberattacke ergreifen sollten.
Was wäre die richtige Reaktions- und Vorgehensweise der betroffenen Person in einem Cybernotfall?
Die Reaktion und die Handlungsanweisungen hängen vom jeweiligen Vorfall ab. In einer perfekten Welt gibt es für jede Situation einen strukturierten Notfallplan mit klar definierten Zuständigkeiten und Verantwortungsbereichen, die sofort greifen, wenn es zu einem Cybervorfall kommt. In der Realität sieht das allerdings anders aus. Hier hängt die richtige Vorgehensweise im Cybernotfall stark davon ab, inwieweit sich die betroffenen Unternehmen im Vorfeld mit dem Incident Management (Notfallmanagement) beschäftigt haben.
Was sollten die Mitarbeiter im Notfall also genau tun?
Ruhe bewahren und nicht in Panik verfallen! Außerdem sollten sie angehalten sein, nicht selbständig zu entscheiden, ob es sich bei der Anomalie oder dem “Event” tatsächlich um einen Cybernotfall handelt. Der Mitarbeiter sollte das Event in diesem Fall dem internen IT-Experten melden. Der IT-Experte sollte dann wiederum die Anomalie untersuchen und entscheiden, ob es sich um ein nicht-sicherheitskritisches Ereignis (wie z.B. ein technisches Problem, einen Benutzerfehler, eine Service-Störung usw.) oder einen (für das Unternehmen) „echten” Incident handelt. Erst dann können natürlich weitere Handlungsanweisungen befolgt werden.
Eine in allen Fällen richtige Vorgehensweise gibt es also nicht?
Die richtige Vorgehensweise im Cybernotfall hängt natürlich stark davon ab, inwieweit sich das betroffene Unternehmen schon mit dem Thema Incident Management beschäftigt hat, und inwiefern aus dieser Arbeit entsprechende Richtlinien und klare Prozesse bzw. Handlungsanweisungen für die Mitarbeiter erstellt und herausgegeben wurden. Es fängt schon damit an, dass die meisten Unternehmen noch nicht einmal für sich selbst definiert haben, was für das Unternehmen selbst ein Informationssicherheitsvorfall ist und was ggf. nur ein technisches Problem. Mit anderen Worten: Es gibt keine pauschal-richtige Handlungsweise im Cybernotfall, da eine Handlungsanweisung für das eine Unternehmen zwar genau die richtige sein könnte, für das andere jedoch könnte es den Notfall jedoch noch verschlimmern.
Gibt es einen Zusammenhang zwischen Reaktionszeit und Schadenhöhe?
Es gibt Vorfälle, bei denen die resultierenden Auswirkungen tatsächlich von der Reaktionszeit abhängen. Wird beispielsweise „nur” ein System von mir verschlüsselt oder gleich ein gesamtes Netzwerk und zusätzlich auch meine Backups? Werden “lediglich” ein paar “unwichtige” Daten exfiltriert oder über hunderte GB an hoch sensitiven Geschäftsgeheimnissen?
Werden „lediglich” ein paar Bekannte über den infizierten E-Mail Server „in meinem Namen” mit Phishing Mails angegriffen, oder ist es gleich das komplette Adressbuch der Firma mit allen Geschäftskontakten?
All diese Beispiele demonstrieren, dass eine schnelle, vor allem aber auch koordinierte und bedachte Vorgehensweise bei der Behandlung von Cybernotfällen den zu erwartenden Schaden enorm eindämmen kann.
Welche Maßnahmen sollten Unternehmen zeitnah umsetzen, die noch keine nachhaltige Cybersicherheitskultur in Ihrem Betrieb integriert haben?
Eine Cybersicherheitskultur in einem Unternehmen zu verankern, ist natürlich nicht von Jetzt auf Gleich geschehen – es ist vielmehr ein langwieriger Prozess. Zudem geht es natürlich darum, hieraus nicht ein einmaliges “Event” zu machen, sondern das Thema Informationssicherheit eben auch nachhaltig zu integrieren und zu leben. Ob man nun versucht, eine möglichst tief verankerte Cybersicherheitskultur in einem Unternehmen zu integrieren, oder ob man doch erst einmal mit ein paar wenigen kurzfristigen Maßnahmen starten möchte: um eines werden Sie nicht drum herum kommen: Das Thema Informationssicherheit muss zur Chefsache gemacht werden. Rückt die Geschäftsführung die Thematik nicht in den Fokus und erkennt ihren Stellenwert nicht, wird sich ein Unternehmen äußerst schwer tun, wirklich etwas zu erreichen.
Wie leiten Sie für Ihr Unternehmen ab, welche kurzfristigen Maßnahmen die richtigen sind?
Als erstes macht es sicherlich Sinn, darüber nachzudenken, wie lange Sie ohne Zugriff auf bestimmte Daten oder Systeme Ihrer Firma tatsächlich „überleben“ können, oder wie schwerwiegend es wäre, wenn bestimmte sensitive Informationen in die Hände unautorisierter Dritter gelangen würden. Mit anderen Worten: Man sollte erst einmal seine “Kronjuwelen” identifizieren, um diese dann im nächsten Schritt mit passenden Maßnahmen abzusichern.
Ein minimaler Maßnahmenplan zur Absicherung von Arbeitsplatzrechnern könnte somit z.B. aus den folgenden Themenbereichen bestehen:
Darüber hinaus macht es natürlich in jedem Fall Sinn, einen Notfallplan zu erstellen – sich also einen Prozess zu überlegen, wer in einem Cybernotfall was wie genau macht. Wenn in diesem Schritt ebenfalls klare Verantwortlichkeiten verteilt werden, können Sie im Falle eines Cybernotfalls sehr viel Zeit und am Ende des Tages somit auch sehr viel Geld sparen.
Vorfallstypen und Sofortmaßnahmen
Eine Auswahl von möglichen Cybervorfällen:
Cyber security | Damage management | Information
What is the correct response and procedure in a cyber emergency? Do you need a specific emergency plan? And is there a correlation between response time and the extent of damage? In the second part of our interview with Perseus IT forensic expert Julian Krautwald, you will learn what immediate measures companies should take after a cyber attack.
What would be the correct response and course of action for the person affected in a cyber emergency?
The response and instructions depend on the specific incident. In a perfect world, there would be a structured emergency plan for every situation with clearly defined responsibilities and areas of responsibility that would take effect immediately in the event of a cyber incident. In reality, however, things look different. In this case, the correct procedure in a cyber emergency depends heavily on the extent to which the affected companies have dealt with incident management (emergency management) in advance.
So what exactly should employees do in an emergency?
Stay calm and don’t panic! They should also be instructed not to decide for themselves whether the anomaly or ‘event’ is actually a cyber emergency. In this case, the employee should report the event to the internal IT expert. The IT expert should then investigate the anomaly and decide whether it is a non-security-critical event (such as a technical problem, user error, service disruption, etc.) or a ‘real’ incident (for the company). Only then can further instructions be followed, of course.
So there is no one correct procedure in all cases?
The correct procedure in a cyber emergency naturally depends heavily on the extent to which the affected company has already dealt with the topic of incident management and the extent to which this work has resulted in the creation and publication of appropriate guidelines and clear processes or instructions for employees. It starts with the fact that most companies have not even defined for themselves what constitutes an information security incident for the company itself and what is merely a technical problem. In other words, there is no blanket correct course of action in a cyber emergency, as instructions that are exactly right for one company could make the emergency even worse for another.
Is there a correlation between response time and the amount of damage?
There are incidents where the resulting impact actually depends on the response time. For example, is ‘only’ one of my systems encrypted, or is it an entire network and my backups as well? Is “only” a few ‘unimportant’ pieces of data exfiltrated, or hundreds of GB of highly sensitive business secrets?
Are ‘only’ a few acquaintances being attacked with phishing emails ‘in my name’ via the infected email server, or is it the entire company address book with all business contacts?
All these examples demonstrate that a fast, but above all coordinated and considered approach to dealing with cyber emergencies can greatly reduce the expected damage.
What measures should companies that have not yet integrated a sustainable cyber security culture into their operations implement in the near future?
Establishing a cyber security culture in a company is, of course, not something that can be done overnight – it is a lengthy process. In addition, it is important not to turn this into a one-off ‘event’, but to integrate and live the topic of information security in a sustainable manner. Whether you are trying to integrate a cyber security culture that is as deeply rooted as possible in a company, or whether you want to start with a few short-term measures, there is one thing you cannot avoid: the topic of information security must be made a top priority. If management does not focus on the issue and recognise its importance, a company will find it extremely difficult to achieve anything.
How do you determine which short-term measures are right for your company?
First of all, it certainly makes sense to think about how long you can actually ‘survive’ without access to certain data or systems in your company, or how serious it would be if certain sensitive information fell into the hands of unauthorised third parties. In other words, you should first identify your ‘crown jewels’ and then secure them with appropriate measures.
A minimum action plan for securing workstation computers could therefore consist of the following areas, for example:
In addition, it makes sense in any case to draw up an emergency plan – i.e. to consider a process for who does what and how exactly in the event of a cyber emergency. If clear responsibilities are also assigned in this step, you can save a lot of time and, at the end of the day, a lot of money in the event of a cyber emergency.
Types of incidents and immediate measures
A selection of possible cyber incidents:
