Incident Response: Retten, was zu retten ist

Erste Hilfe und Brandschutz sind für Unternehmen eine Selbstverständlichkeit. Angestellte kennen die Fluchtwege beim Feueralarm und wissen, wo der Erste-Hilfe-Kasten hängt. Anders ist es bei IT-Notfällen. Hier wissen Mitarbeitende in der Regel nicht, wie sie reagieren sollen und welchen Notruf sie wählen müssen. Vorausgesetzt, sie erkennen einen Notfall überhaupt als solchen. Dabei steht auch für solche Notfälle Hilfe bereit. Spezialisierte Incident-Response-Firmen unterstützen Unternehmen bei der Datenrettung und Wiederherstellung der IT-In­frastruktur.

Angesichts der steigenden Cybergefahr entscheiden sich viele Firmen für eine langfristige Zusammenarbeit mit Fachleuten und vereinbaren vertraglich schon vor dem Eintritt des Worst Case eine Kooperation – einen sogenannten Incident Response Retainer. Ihr Ziel: Die bestmögliche Resilienz gegen IT-Sicherheitsvorfälle. Gleichzeitig sichern sie sich langfristig die Dienste erfahrener IT-Experten – für den Fall der Fälle. Denn ein kontinuierlicher Informationsaustausch führt im Ernstfall zu einem erheblichen Zeitvorteil und hilft, die Folgen eines Security-Vorfalls zu minimieren. Und schon im Vorfeld eines möglichen erfolgreichen Angriffs leisten die Fachleute wichtige Hilfe. Denn sie unterstützen beim Erstellen von Notfallplänen und -strategien.

Der Feind in meinem Netzwerk

Cyberattacken gehören zu den grössten Gefahren für Unternehmen, wie auch das aktuelle «Allianz Risiko Barometer» bestätigt. Immer noch sind viele Unternehmen ein leichtes Opfer für Cyberkriminelle, weil sie nicht einmal die einfachsten Cybersecurity-Basics berücksichtigen. Abgesehen vom fehlenden Fachwissen ist auch ein nicht ausreichendes Budget ein wichtiger Grund für unzureichende IT-Sicherheitsmassnahmen, denn bei den IT-Budgets zögern viele Verantwortliche noch immer. Ihr oft angeführtes Argument lautet: «IT-Sicherheit generiert keinen Profit.» Dabei sollten sich Führungskräfte vielmehr die Frage stellen, ob und wie lange ihr Unternehmen im Schadensfall wirtschaftlich lebens- und handlungsfähig ist, wenn das Netzwerk ausfällt. Statt zu reagieren, müssen Unternehmen agieren. Dabei müssen sie nicht nur ihre IT-Sicherheitsmassnahmen auf den Prüfstand stellen, sondern sich auch der Frage stellen, was im IT-Notfall passiert.

Ein falscher Klick in einer Phishing-Mail, ein schlecht gesicherter Rechner, eine ungepatchte kritische Sicherheitslücke – mehr braucht es nicht, um Cyberkriminellen das Tor ins Unternehmensnetzwerk zu öffnen. Das Fatale daran: Oft bleiben die Angreifer über Wochen und Monate unbemerkt. Wenn nicht zufällig ein aufmerksamer IT-Mitarbeiter Unregelmässigkeiten entdeckt, ist es in der Regel erst der gesperrte Bildschirm, auf dem etwa ein Totenkopf mit Lösegeld-Forderung erscheint, der eine Ransomware-Attacke offenbart. Klar ist: Ab jetzt kostet jede Minute bares Geld. Ab diesem Punkt schlägt die Stunde der Fachleute im Bereich Incident Response. Sie sind häufig die letzte Hoffnung, die Systeme wiederherzustellen – und den betroffenen Firmen die Zahlung des Lösegeldes zu ersparen.

Vorbereiten auf den Ernstfall

Unternehmen, die sich für eine Zusammenarbeit mit auf Incident Response spezialisierten Fachleuten entscheiden, profitieren auf vielen Ebenen. Im Fall eines Angriffs vermeiden die Firmen teure Ausfallzeiten, weil im Vorfeld eine Recovery-Strategie definiert wurde. So lassen sich IT-Systeme deutlich schneller wiederherstellen. Gleichzeitig können sich Firmen darauf verlassen, dass sich im Notfall ein spezialisiertes Incident-Handling-Team um die betroffenen Systeme kümmert. Denn sollte es zu einem grossflächigen Angriff kommen, der mehrere Unternehmen gleichzeitig trifft, haben Firmen ohne Rahmenvereinbarung das Nachsehen und müssen sich hintenanstellen. Ein dritter Vorteil: Auch ohne Hilfe im Notfall leisten die Fachleute wertvolle Arbeit: Sie beraten zu präventiven Massnahmen und helfen mit, die IT-Sicherheit zu verbessern. Durch gezielte Tests decken die Fachleute technische und organisatorische Schwachstellen auf, sodass Unternehmen diese schliessen können – von Netzwerksegmentierung, Härtung der Systeme und Back-up-Prozessen bis hin zu Remote-Zugängen und BYOD-Policys. Und nicht zuletzt sichern sich die Unternehmen durch den Rahmenvertrag feste Stundensätze, die günstiger sind als reguläre Honorare, die im Notfall zu zahlen sind.

Retter in der Not

Tritt ein IT-Sicherheitsvorfall – Incident – ein, ist schnelles Handeln entscheidend, um den Schaden so gering wie möglich zu halten. Um befallene Systeme restlos vom schadhaften Code zu befreien, analysieren Malware-Experten die Systeme zunächst mit speziellen Tools. Im ersten Schritt gilt es, das Problem einzugrenzen sowie den bereits entstandenen Schaden abzuschätzen, die genutzte Schadsoftware zu identifizieren und zu prüfen, ob die Täter weitere Werkzeuge eingesetzt haben. Gleichzeitig prüfen die Fachleute, wie die Angreifer in das System eingedrungen sind. Es gilt, die Lücke zu schliessen, um das Nachladen von weiterer Schadsoftware und das Abgreifen von Firmendaten zu verhindern. Ein wesentlicher Punkt im IT-Notfall ist die Wiederherstellung der Daten. Diese hängt unmittelbar mit der Back-up-Strategie des Unternehmens zusammen. Hat eine Firma die Sicherung getrennt vom Netzwerk aufbewahrt, können die Incident-Response-Fachleute auf eine unverschlüsselte Datenbasis zugreifen und das Unternehmen schnell wieder vollständig arbeitsfähig machen. Komplizierter ist es, wenn beim Angriff die Back-ups ebenfalls verschlüsselt wurden.

Nach dem Angriff ist vor dem Angriff

Nach einem erfolgreichen Wiederanlauf der IT-Infrastruktur, ist die Arbeit der Fachleute aber noch lange nicht beendet. Denn es gilt, die ausgenutzten Schwachstellen zu schliessen und die IT-Sicherheit signifikant zu verbessern. Die Erfahrungen zeigen, dass drei einfache Massnahmen helfen, die IT-Sicherheit und damit auch die Reaktionsfähigkeit im Ernstfall zu verbessern:

1. Stellen Sie die Logs vernünftig ein, sodass die IT-Mitarbeitenden mindestens eine Woche, besser einen Monat in die Vergangenheit zurückschauen können. So lassen sich Unregelmäs­sigkeiten frühzeitig erkennen.

2. Legen Sie Back-ups an und speichern diese getrennt vom Netzwerk. Unter Umständen auch auf Datenträgern in ab­geschlossenen Schränken. Denn die Erfahrungen zeigen, dass Angreifer gezielt im Netzwerk nach Back-ups suchen und diese zerstören oder verschlüsseln, um den Druck auf die Opfer zu erhöhen.

3. Legen Sie für jeden Administrator ein persönliches Admin-Konto an – zusätzlich zu den normalen Benutzerkonten. Und für die Administration an der Domain und am Active Directory erstellen Sie weitere nutzergebundene Admin-Konten. Das ist aufwändig, aber sehr sinnvoll und hilfreich. Denn im Schadensfall lässt sich nachvollziehen, was wann passiert ist. Wenn sich mehrere Admins einen Zugang mit einem schwachen Passwort teilen, fallen verdächtige Aktionen kaum auf.

Heute ist nicht mehr die Frage, ob ein Unternehmen einer Cyberattacke zum Opfer fällt, sondern vielmehr wann. Unternehmen, die sich auf dieses Szenario vorbereiten und externe Fachleute um Unterstützung bitten, handeln weitsichtig. Sie sichern auch im Schadensfall das Überleben des eigenen Unternehmens und sind schneller wieder handlungsfähig.

Verhalten bei IT-Notfällen

• Notfall dem verantwortlichen IT-Mitarbeiter melden

• Wer meldet den Vorfall?

• Welches IT-System ist betroffen?

• Wie wurde mit dem IT-System gearbeitet, was wurde ­beobachtet?

• Wann ist das Ereignis eingetreten?

• Wo befindet sich das betroffene IT-System (Gebäude, Raum etc.)?