beebright - stock.adobe.com

Was ist in den ersten 24 Stunden nach einem Angriff zu tun?

Wenn in einem Unternehmen der Ernstfall eines Cyberangriffs eintritt, ist eine angemessene und schnelle Reaktion von Bedeutung. Ein beispielhafter Ablauf der ersten 24 Stunden.

Ein Cyberangriff kann jedes Unternehmen treffen. Wenn der Ernstfall eintritt, ist gerade angesichts der Rechenschaftspflicht und dem Wert der betroffenen Daten eine angemessene und schnelle Reaktion von größter Bedeutung. Je nach Unternehmen, Team und Art des Angriffs fällt die Reaktion unterschiedlich aus. Die ersten 24 Stunden könnten aber exemplarisch so verlaufen.

Den Angriff bestätigen und alle Beteiligten informieren

Zunächst muss festgestellt werden, ob es sich bei dem Vorfall tatsächlich um eine Sicherheitsverletzung oder nur um einen Fehlalarm handelt. Dies ist absolut entscheidend. Hierzu sollte zunächst eine Bewertung durchgeführt werden, ob Daten gefährdet sind oder kompromittiert wurden beziehungsweise, ob die Angreifer einen Weg in die Infrastruktur, Anwendungen, Cloud-Dienste und so weiter gefunden haben.

Finden sich dabei eindeutige Beweise für eine Sicherheitsverletzung, muss unter Umständen eine sofortige interne Mitteilung herausgegeben, der Zugang zu den gefährdeten Systemen für nicht unbedingt erforderliche Benutzer gesperrt und/oder die Umgebung isoliert werden, um die Ausbreitung zu begrenzen.

Wenn sich die erste Stunde dem Ende zuneigt, ist es an der Zeit, die gesammelten Informationen an die internen Beteiligten weiterzugeben und eine Antwort zu formulieren.

Planen, testen und sich vorbereiten

Der Reaktionsplan hängt wesentlich von den Erkenntnissen über den Angriff ab. So ist eine Ransomware-Attacke sehr offensichtlich, da die Angreifer Bedingungen für die Entschlüsselung der Daten stellen. Andere Angriffe hingegen sind schwieriger zu identifizieren, wie beispielsweise eine Datenexfiltration oder eine Zero-Day-Kompromittierung, die auf einen ausgefeilteren, möglicherweise staatlich unterstützen Angriff hinweist. In jeden Fall bedarf es für alle Szenarios einen erprobten Plan, der die Reaktion bereits im Vorfeld festlegt.

Die Angreifer könnten jedoch die Abwehrmaßnahmen beobachten und auf diese Weise ihre weiteren Schritte planen. Da die Betroffenen mittlerweile über die Situation informiert sind, stehen Sicherheitsverantwortliche unter großem Druck, den Vorfall unter Aufrechterhaltung des normalen Geschäftsbetriebs zu lösen.

Genau dieser Versuch, Sicherheit und Geschäftskontinuität in Einklang zu bringen, kann sehr stressig sein und Sicherheitsverantwortliche unter Druck setzen, drastische Maßnahmen zu vermeiden. Detaillierte Aufzeichnungen über den Verlauf des Angriffs sind dabei von unschätzbarem Wert.

Es muss sichergestellt werden, dass jede getroffene Entscheidung und ihr entsprechender Kontext zum jeweiligen Zeitpunkt festgehalten werden. Dies hilft nicht nur bei der Ausarbeitung künftiger Pläne, sondern auch bei der Aufarbeitung des gesamten Prozesses und der getroffenen Entscheidungen nach Beendigung des Vorfalls.

Neil Thacker, Netskope

„Man sollte alle rechtlichen und behördlichen Meldepflichten kennen und sich entsprechend vom Kommunikationsteam beraten lassen.“

Neil Thacker, Netskope

Die Öffentlichkeit informieren

Wenn die Abhilfemaßnahmen angelaufen sind, müssen die Betroffenen und die Behörden über die Geschehnisse, sofern dies möglich ist, informiert werden. Das Unternehmen befindet sich in einer heiklen Situation. Deshalb ist es wichtig, eng mit dem Kommunikationsteam zusammenzuarbeiten, um eine angemessene Kommunikation zu gewährleisten.

Auch wenn die Öffentlichkeit gegenüber Cyberangriffen abgestumpft ist, sollten man sich nicht in falscher Sicherheit wiegen. Die Aufsichtsbehörden und die Wettbewerber werden die Reaktion genau verfolgen und bewerten. Deshalb sollte man alle rechtlichen und behördlichen Meldepflichten kennen und sich entsprechend vom Kommunikationsteam beraten lassen.

Feierabend machen

Sobald der Vorfall unter Kontrolle ist und kommuniziert wurde, sollten auch Sicherheitsverantwortliche eine Pause einlegen. Die meisten Cyberangriffe finden außerhalb der Geschäftszeiten statt. Insofern ist es nicht unwahrscheinlich, dass das Sicherheitsteam bereits einen Arbeitstag hinter sich hatte, bevor der Angriff erkannt wurde. Auch wenn es schwerfällt: Die wichtigste Aufgabe ist jetzt, einen Schritt zurückzutreten, nach Hause zu gehen und sich auszuruhen. Müde, überarbeitete Menschen treffen meist schlechte Entscheidungen.

Nach dem ersten Tag

Wie es weitergeht, ist schwer zu prognostizieren. Möglicherweise müssen neu entdeckte Schwachstellen beseitigt und Backups wiederhergestellt werden. Auch sollte man sich auf weitere potenzielle Angriffe vorbereiten, da bekanntermaßen erfolgreich angegriffene Unternehmen häufig erneut zu Zielen von Cyberkriminellen werden.

Auf alle Fälle haben das Sicherheitsteam und die Sicherheitsverantwortlichen wertvolle Erfahrungen gewonnen. Diese sollten genutzt werden. So kann eine Fallstudie erstellt werden, um weitere Mittel zu erhalten. Die Reaktionspläne müssen entsprechend aktualisiert werden. Vor allem aber sollten die Erfahrungen mit anderen geteilt werden, denn der Austausch von Informationen und Erkenntnissen ist die beste Waffe, die wir zur Bekämpfung von Cyberbedrohungen haben.

Über den Autor:
Neil Thacker ist CISO EMEA von Netskope.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Disaster Recovery