Cyber-Attacke: Gute Vorbereitung ist die halbe Abwehr 

29. November 2021
| Keine Kommentare
Cyber-Attacke: Gute Vorbereitung ist die halbe Abwehr 

Beitrag teilen

Unternehmen, die sich intensiv auf einen Cyber-Attacke vorbereiten, haben deutlich weniger mit den Folgen der Attacken zu kämpfen. Mit einem Plan für die Reaktion auf einen Vorfall (Incident Response, IR) ist bereits viel gewonnen.

Cybersecurity konzentriert sich hauptsächlich auf die Prävention. Und das geht am besten durch Lernen aus Vorfällen. Dennoch passiert es Unternehmen immer wieder, dass sie attackiert werden. In einem solchen Fall geht es darum, den Schaden zu minimieren und so viel wie möglich aus den bekannten Erfahrungen zu lernen. Was also ist die „best Practise“?

Mit einem Plan ist viel gewonnen

Einen Plan für die Reaktion auf eine Cyber-Attacke (Incident Response, IR) legt das IT-Security-Team die Maßnahmen fest, die im Falle einer Sicherheitsverletzung oder einem Angriff greifen müssen. Folgende Fragestellungen sind die Grundlage für einen IR-Plan:

  • Wie schwerwiegend ist der Vorfall?
  • Wo befinden sich die kritischen Systeme und wie sind sie zu isolieren?
  • Wie und mit wem soll kommuniziert werden?
  • Wer ist zu kontaktieren und welche Maßnahmen sind zu ergreifen?
  • Was ist mit den Sicherheitskopien?

Dabei sollte ein IR-Plan einfach und überschaubar sein, damit er in einer Situation mit hohem Druck leicht zu befolgen ist. Das SANS Incident Handler’s Handbook und der Incident Response Guide von Sophos können bei der Planerstellung sehr hilfreich sein.

Nach einer Cyber-Attacke Hilfe anfordern

Bevor es nach einem Angriff darum geht, Computer und Systeme wiederherzustellen oder gar ein Lösegeld auszuhandeln, sollten Unternehmen Hilfe anfragen. Die Reaktion auf Angriffe erfordert spezielle Fähigkeiten, und die meisten Unternehmen beschäftigen keine Incident-Response-Spezialisten.

Ein Plan beinhaltet die Kontaktdaten von IR-Dienstleistern. Wenn sich der Angriff gegen Server und Endgeräte richtet, z.B. bei einem Ransomware-Vorfall, sollte zunächst der Anbieter für die Endpoint-Sicherheit kontaktiert wenden, insbesondere wenn dieser einen IR-Dienst anbietet. Er verfügt wahrscheinlich über Telemetriedaten der betroffenen Umgebung und hat Zugang zu vorinstallierten Tools wie EDR/XDR, mit denen er schnell helfen kann.

Hilfe ausweiten und mit Behörden zusammenarbeiten

Es ist ratsam, sich an die örtlichen Strafverfolgungsbehörden zu wenden. Mit hoher Wahrscheinlich ist mit dem Vorfall ein Verbrechen begangen worden, und möglicherweise verfügen die entsprechenden Behörden über hilfreiche Ressourcen. Selbstverständlich muss die Cyber-Attacke auch bei der Versicherungsgesellschaft für Cybersicherheit angemeldet werden, sofern eine Versicherung besteht. Im Falle einer Zusammenarbeit mit einem Technologieanbieter oder Systemintegrator kann dieser möglicherweise bei der Wiederherstellung helfen, z.B. bei den Backups.

Systeme schnell Isolieren und Vorfälle eindämmen

Der Vorfall sollte so gut wie möglich isoliert und eingedämmt werden. Dazu gehört auch das Ausschalten der Stromversorgung, das Trennen der Internetverbindung und das Trennen der Netzwerke, eine softwarebasierte Isolierung, die Anwendung von Deny-All-Firewall-Regeln und das Herunterfahren kritischer Systeme. Sollte ein noch funktionsfähiger Domänencontroller zur Verfügung stehen, gilt es, diesen wenn möglich zu erhalten, indem man den Server herunterfährt und/oder vom Netz trennt. Auch Backups sollten isoliert und vom Netzwerk getrennt sein. Darüber hinaus gilt es alle mutmaßlich kompromittierten Kennwörter zu ändern und die Konten zurückzusetzen.

Wichtig beim Einsatz von Incident-Response-Diensten, ist die Beratung darüber, wie betroffene Systeme und Verbindungen wieder in Betrieb genommen werden können.

Wichtig: Kein Lösegeld zahlen

Zwar klingt die Zahlung des Lösegelds nach einem „einfachen“ Ausweg, ermutigt die Kriminellen aber zu weiteren kriminellen Taten. Außerdem sind die Zeiten moderater Lösegeldforderungen längst vorbei: Der Sophos State of Ransomware Report 2021 zeigt, dass mittelständische Unternehmen im vergangenen Jahr durchschnittlich 147.000 Euro Lösegeld gezahlt haben. Die Sophos-Studie ergab auch, dass nur 65 Prozent der verschlüsselten Daten nach einer Lösegeldzahlung wiederhergestellt werden konnten und mehr als ein Drittel der Daten trotzdem verloren war.

Zudem ist die gesetzliche Lage bei Lösegeldzahlungen weltweit unterschiedlich. Es ist deshalb ratsam, sich über etwaige Gesetze in dem Land (oder den Ländern) zu informieren, in dem eine Organisation tätig ist.

Vorliegende Beweise aufbewahren

Allzu oft passiert es, dass Opfer einer Cyber-Attacke hauptsächlich damit beschäftigt sind, ihre Systeme und Dienste so schnell wie möglich wiederherzustellen. Dabei gehen viele Informationen verloren, die dabei helfen würden, die Ursache zu ermitteln und das Ausmaß der Sicherheitsverletzung zu verstehen. Diese können jedoch einem Incident-Response-Team Aufschluss darüber geben, mit wem sie es zu tun hat und welche Taktiken diese Gruppe üblicherweise anwendet. Sie könnte sogar einen ganz neuen Stamm von Ransomware und die verwendeten Taktiken, Techniken und Verfahren (TTPs) offenbaren.

Die Aufbewahrung der Images von Systemen und virtuellen Maschinen ist ebenso wichtig, wie die isolierte Speicherung der Malware. So können Unternehmen auch im Falle einer gerichtlichen Prüfung von Versicherungsansprüchen Beweise vorlegen oder gegenüber einer staatlichen Stelle nachweisen, dass sie nicht gegen Offenlegungsvorschriften verstoßen haben.

Vergeltung bringt noch mehr Schaden

In vielen Fällen stecken mehrere Gruppen hinter einem Ransomware-Angriff. Beispielsweise mit den Informationen aus der Lösegeldforderung und den Gemeinsamkeiten in den Taktiken, Techniken und Verfahren (TTPs) kann ein erfahrenes Incident-Response-Team in der Regel schnell erkennen, mit wem sie es zu tun haben. Vom Versuch der Vergeltung, dem so genannten „Hack Back”, wird hingegen dringend abgeraten. Er ist wahrscheinlich von vornherein illegal und kann die Situation nur noch verschlimmern.

Die Rolle der Cyberversicherung

Bei einer Cyber-Attacke, der durch eine Cyberversicherung abgedeckt ist, wird ein Schadensregulierer der Versicherungsgesellschaft zunächst einen externen Rechtsbeistand beauftragen. Dieser organisiert interne und externe Ressourcen und koordiniert die Aktivitäten bis zur Behebung des Vorfalls.

Es lohnt sich, beim Abschluss einer Versicherung im Voraus zu klären, welche Aktivitäten und welche spezialisierten Anbieter im Falle eines Cyberangriffs abgedeckt sind. Die meisten Cyber-Versicherungen akzeptieren die Nutzung bereits bestehender Dienstleister.

Immer die Kommunikation aufrechterhalten

Die Kommunikation wird durch Cyberangriffe oft schwer beeinträchtigt. E-Mail-Systeme sind möglicherweise offline, elektronische Kopien von Versicherungspolicen oder IR-Pläne sind verschlüsselt und der Angreifer überwacht möglicherweise die Kommunikation. Daher ist es ratsam, eine alternative Kommunikationsmöglichkeit bereitzuhalten, z.B. eine Instant-Messaging-Anwendung. Mit einem separaten Kanal können das gesamte Team und alle anderen Beteiligten kommunizieren. Versicherungsdaten, IR-Pläne und Kontakte zu den IR-Spezialisten sollten gesondert und in physischer Form aufbewahrt sein.

Mehr bei Sophos.com

 

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.

 

Passende Artikel zum Thema

Phishing-Studie: Mitarbeiter gehen viel zu hohes Risiko 

Knapp zwei Drittel der Mitarbeiter in Deutschland (64 %, weltweit 68 %) setzen ihr Unternehmen wissentlich Risiken aus, die zu ➡ Weiterlesen

Risiken durch steigende Nutzung von künstlicher Intelligenz

Ein Report verdeutlicht, dass 569 TByte an Unternehmensdaten an KI-Tools weitergegeben werden, und unterstreicht die Relevanz besserer Datensicherheit. KI/ML-Transaktionen in ➡ Weiterlesen

Kryptografie und Quantencomputing

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um ➡ Weiterlesen

KMU im Visier: Cyberangriffe auf Lieferketten

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um ➡ Weiterlesen

Ursachen für Datenverluste in deutschen Unternehmen

Datenverlust ist ein Problem, das im Zusammenspiel zwischen Menschen und Maschinen auftritt: „Unvorsichtige Benutzer“ sind mit viel größerer Wahrscheinlichkeit die ➡ Weiterlesen

Warum Cyberkriminelle extra auf Backups zielen

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des ➡ Weiterlesen

Report: Mehr E-Mail-Server-Angriffe und Evasive Malware

WatchGuard Internet Security Report dokumentiert einen dramatischen Anstieg der sogenannten „Evasive Malware“, was zu einer deutlichen Erhöhung des Malware-Gesamtvolumens beiträgt. ➡ Weiterlesen

Gefährlicher Irrglaube: “Wir haben keine IT-Schwachstellen”

„Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind“. Dieser oft ausgesprochene Satz täuscht eine trügerische Sicherheit ➡ Weiterlesen

Sophos, Storys
, , , ,