alexskopje - stock.adobe.com

Security-Checkliste: Was tun nach einem Cyberangriff?

Nach einer Attacke ist es zu spät, sich Gedanken über die beste Reaktion zu machen. Rechtzeitig erstellte Reaktionspläne und Checklisten helfen bei der Begrenzung des Schadens.

Unabhängig davon, wie viel Aufwand Sie in Ihren Netzwerksicherheitsplan stecken, kann schon ein einzelnes fehlerhaftes Update für eine neue Schwachstelle sorgen, die dann heimlich von Hackern ausgenutzt werden kann.

Selbst wenn Sie also immer Ihr Bestes geben, kann es trotzdem zu einem möglicherweise verheerenden Security-Vorfall kommen. Falls es dazu wirklich kommt, sollten Sie allerdings bereits eine umfassende Security-Checkliste für Ihr Netzwerk sowie einen detaillierten Reaktionsplan in der Tasche haben, mit dem Sie umgehend auf den Einbruch reagieren können.

Die Art des Vorfalls und Ihre IT-Umgebung bestimmen, welche Inhalte Ihr Vorfallreaktionsplan (Incident Response Plan) haben sollte. Natürlich ist jeder Einbruch auf seine Art einzigartig. Es gibt aber meist eine Reihe von Gemeinsamkeiten. Darüber hinaus sollten Sie Ihre bisherigen Erfahrungen bei der Erstellung Ihres Reaktionsplans ebenfalls berücksichtigen.

Die Security-Checkliste für Ihr Netzwerk sollte darüber hinaus verschiedene Ziele enthalten, für die Sie möglicherweise die Hilfe weiterer interner oder externer Organisationen benötigen. Dabei kann auch ein Master-Plan hilfreich sein, der mehrere aufeinander aufbauende Ebenen enthält, die sich jeweils auf bestimmte Aspekte möglicher IT-Security-Vorfälle konzentrieren. Durch diese detaillierte Vorgehensweise können Sie in der Regel schneller auf einen Einbruch reagieren.

Im Folgenden stellen wir die wichtigsten Maßnahmen vor, mit denen Sie auf einen Vorfall reagieren können.

Richtig auf einen IT-Security-Vorfall reagieren

Taktische Reaktion: Zunächst müssen Sie sich darum kümmern, dass durch den Einbruch kein weiterer Schaden entstehen kann. Wenn der Vorfall relativ fokussiert ist, wie zum Beispiel bei einem gestohlenen Admin-Passwort, dann kann eventuell bereits das Ändern der Zugangsdaten für ein Ende des Problems sorgen. Ziehen Sie aber auch in Betracht, dass der Angriff weiter gestreut sein könnte oder dass Sie, im schlimmsten Fall, nur wissen, dass es einen Vorfall gegeben hat, aber nicht genau wo und in welchem Umfang. Stellen Sie sich deswegen folgende Frage: Müssen Sie manche oder gar alle Ihre Systeme vom Netz nehmen, bis Sie die Quelle des Angriffs aufgespürt haben?

Bevor es zu einem erfolgreichen Einbruch in Ihre Systeme kommt, sollten Sie mögliche Angriffsvektoren und geeignete Reaktionen abklären. Ihre IT-Sicherheitsspezialisten sollten zum Beispiel alle Maßnahmen kennen, die sie sofort ergreifen können, ohne sich vorher jeweils eine dedizierte Erlaubnis durch etwa die Geschäftsführung dafür holen zu müssen.

Ein Beispiel ist, dass Ihre Security-Admins sofort in der Lage sein sollten, alle Netzwerke für Gäste innerhalb Ihrer Infrastruktur zu deaktivieren. Solche Netze sind meist eher eine Art Gefallen gegenüber Kunden und Partnern und weniger eine echte Notwendigkeit in Unternehmen. Es besteht zudem die Möglichkeit, dass der Einbruch von einem nicht verwalteten Gastgerät ausgeht oder dass dort noch Schadcode vorhanden ist.

Darüber hinaus ist es empfehlenswert, auch andere zwar eventuell wichtige, aber nicht unbedingt essentielle Systeme zumindest vorübergehend offline zu nehmen, um den Einbruch zu isolieren. Außerdem reduzieren Sie dadurch die Zahl der intern aktiven Anwendungen und Geräte, die der oder die Hacker attackieren können.

Wie genau Sie dabei vorgehen, hängt natürlich von Ihrem Unternehmen ab. Sie sollten diese Analyse und den sich daraus ergebenden Plan jedoch fertig haben, bevor es wirklich zu einem Einbruch gekommen ist.

Forensische Reaktion: Ein erfolgreiche Attacke auf Ihr Unternehmen ist per Definition ein kriminelles Vorgehen. Sowohl für die Strafverfolgungsbehörden als auch für Ihre Versicherung müssen Sie deswegen alle verfügbaren Beweise sichern. Deswegen sollte Ihre Security-Checkliste auch einen forensischen Teil enthalten.

Meist stehen Sie vor einer der folgenden Situationen: Entweder ist der Angriff noch in vollem Gange oder er konnte bereits gestoppt werden. Im ersten Fall wollen Sie sicherstellen, dass Beweise erstellt werden können. Im zweiten Fall müssen Sie dagegen dafür sorgen, dass die bereits angefallenen Beweise nicht wieder verschwinden.

Heutzutage verfügen die meisten IT-Systeme in Unternehmen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet.

Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten und speichern sind, werden normalerweise nicht alle Ereignisse in maximaler Detailtiefe protokolliert. Sofern ein Vorfall aber noch nicht beendet ist, werden Sie meist so detaillierte Informationen wie nur möglich haben wollen.

In Ihrem Aktionsplan sollten Sie deshalb genau dokumentieren, welche Systeme über detaillierte zusätzliche Logging-Möglichkeiten verfügen und wie sie sich möglichst schnell aktivieren und in Echtzeit ausführen lassen. Wenn ein Hacker erst einmal in Ihre Systeme eingedrungen ist, werden Sie keine Zeit mehr haben, um sich erst nach einem speziellen Logging-Tutorial umzusehen.

Nach dem Vorfall müssen Sie alle Protokolle dauerhaft sichern, die Sie selbst und die Behörden benötigen, um die Vorgänge zu analysieren. Viele System-Logs haben jedoch Kapazitätsgrenzen. Sobald sie voll sind, werden schon aufgezeichnete Daten wieder überschrieben. Ähnlich wie bei den Blackboxen in Flugzeugen werden bei diesen Systemen meist nur die jeweils aktuellsten Daten aufgehoben.

Es kommt aber sehr oft vor, dass ein erfolgreicher Einbruch nicht sofort bemerkt wird. Wenn diese Situation eintritt, wird ein Log-System, das regelmäßig Daten überschreibt, wichtige Informationen erfahrungsgemäß schon vernichtet haben, bevor sie gesichert werden konnten.

Überprüfen Sie aus diesem Grund Ihre wichtigsten Log-Systeme, um zu bestimmen, wie lange sie für eine spätere Aufklärung wesentliche Daten speichern. Manche Lösungen können möglicherweise auch über einen längeren Zeitraum Daten speichern, indem sie in bestimmten Abständen separate Archive anlegen. Diesen Punkt sollten Sie rechtzeitig abklären.

Speicher ist mittlerweile nicht mehr teuer. Sie sollten sich deswegen genau überlegen, ob Sie nicht ein paar Einstellungen bei wichtigen Logging-Funktionen anpassen, um den Zeitraum zu verlängern, in dem die anfallenden Daten gespeichert werden. Später erleichtern Sie sich so die Analyse eines Security-Vorfalls erheblich.

Informationspflichten gegenüber Behörden: Ein erfolgreicher Einbruch kann erhebliche rechtliche Auswirkungen auf die Einhaltung Ihrer Compliance-Vorgaben haben. Die Security-Checkliste für Ihr Netzwerk muss deswegen auch Maßnahmen enthalten, die beschreiben, wie die zuständigen Behörden informiert werden können. In vielen Unternehmen gibt es dafür eine eigene Rechtsabteilung, die die Polizei und andere betroffene Behörden informiert und den Kontakt mit ihnen aufrecht erhält.

Es hilft nicht nur in diesem Fall, proaktiv zu sein. Wenn Sie mit Daten arbeiten, die unter die DSGVO (Datenschutz-Grundverordnung) oder auch unter das US-Gesetz HIPAA (Health Insurance Portability and Accountability Act) fallen, dann sollten Sie Ihren Reaktionsplan auf jeden Fall mit der Rechtsabteilung abklären. Nur so berücksichtigen Sie auch alle erforderlichen Schritte, um die Anforderungen der zuständigen Behörden zu erfüllen.

Schauen Sie über den Tellerrand, um sich gegebenenfalls auch externe Hilfe zu holen: Fast jeder hat eine Meinung oder Empfehlung dazu, wie Sie am besten auf erfolgreiche Security-Vorfälle reagieren sollten. In diesem Bereich gibt es zudem zahlreiche frei verfügbare Informationen.

Nutzen Sie sie, während Sie die Security-Checkliste für Ihr Netzwerk zusammenstellen. Weitere Anlaufstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben umfangreiche Informationen auf ihrer Webseite zusammengetragen, die ebenfalls sehr hilfreich sein können.

Dazu kommen Regelwerke wie die IT-Grundschutz-Kataloge, die viele konkrete technische Maßnahmen beschreiben. Nutzen Sie alle diese Ihnen zur Verfügung stehenden Ressourcen und verwenden die auf Ihre Situation und Ihr Unternehmen zutreffenden Teile, um die richtigen Maßnahmen für Ihre Umgebung zu finden.

Nicht zuletzt sollten Sie auch überprüfen, ob Ihr Unternehmen zu den Firmen gehört, die bereits eine Cyberversicherung abgeschlossen haben. Damit senken Sie nicht nur das finanzielle Risiko eines IT-Security-Vorfalls. Diese Verträge haben möglicherweise auch direkte Auswirkungen auf Ihren Reaktionsplan – allerdings nicht immer nur positive.

Das liegt daran, dass der Versicherungsanbieter vermutlich auch bestimmte konkrete Maßnahmen vorschreibt, wie Sie auf einen Vorfall zu reagieren haben oder wie sie vermieden werden können. Außerdem erfordert er eventuell einen intensiven Kontakt mit Ihrem Team, während sich die Ereignisse noch entwickeln. Der Aufwand dafür sollte nicht unterschätzt werden.

Nächste Schritte

Das macht einen guten Vorfallreaktionsplan aus

Die Cloud-Dienste bei der Reaktion auf Vorfälle nicht vergessen

Schritt für Schritt zu einem Vorfallreaktionsplan

Erfahren Sie mehr über Disaster Recovery