Es ist passiert: Ein Mitarbeiter hat einen fragwürdigen Anhang einer Phishing-Mail geöffnet und kann nun nicht mehr auf die Unternehmensdaten zugreifen. Dann kommt die Aufforderung, eine hohe Geldsumme zu zahlen, um den Zugang zurückzubekommen.
Wie in so einem Fall reagiert wird, legen
Unternehmen bestenfalls fest, bevor es zu einem Zwischenfall kommt. Denn nur
dann kann der Schaden schnellstmöglich eingedämmt werden.
Nicht immer ist der Sicherheitsvorfall so schwerwiegend wie bei einem
Hackerangriff mit Lösegeldforderung. Wir
zeigen dir die verschiedenen Handlungsoptionen, die du bei leichten und
schweren IT-Sicherheitsvorfällen hast und auch, wie du NICHT reagieren
solltest.
Abgesehen vom Worst-Case-Szenario eines Hackerangriffs gehören auch der Diebstahl eines Firmengeräts, eine defekte Festplatte mit kritischen Daten oder die versehentliche Übermittlung von vertraulichen Daten an einen falschen Empfänger zu IT-Sicherheitsvorfällen.
Sobald die Vertraulichkeit, Verfügbarkeit und Integrität deiner Unternehmensdaten nicht mehr gewährleistet ist, kann dadurch ein großer Schaden entstehen. Grund dafür sind nicht immer böswillige Handlungen, sondern oft auch Unachtsamkeit oder die Nichteinhaltung von Sicherheitsrichtlinien.
Um das Risiko eines Sicherheitsvorfalls zu minimieren, ist ein starkes IT-Sicherheitskonzept samt Mitarbeiterschulungen und der Kontrolle der Sicherheitsrichtlinien unverzichtbar. Dennoch besteht immer die Möglichkeit, dass ein Hacker eine Lücke in der Software findet oder eine so realistische Phishing-Mail verschickt, dass Unternehmensdaten gestohlen oder verschlüsselt werden.
Zu den häufigsten IT-Sicherheitsvorfällen gehören Phishing-Angriffe, Ransomware-Angriffe (Schadsoftware, die häufig durch Phishing ins Unternehmen gebracht wird) und der Diebstahl oder Verlust von Hardware, auf der vertrauliche Daten gespeichert sind.
In Zeiten von Remote Work, in denen jeder Mitarbeiter nicht nur seinen Monitor im Büro, sondern auch noch Laptop, Tablet und Firmenhandy für die Arbeit nutzt, ist das Risiko eines Geräteverlusts oder Diebstahls so hoch wie nie.
Bereits Kleinigkeiten wie das Einrichten einer Bildschirm-PIN verringern das Risiko, dass Unbefugte Zugriff zu einem gestohlenen Gerät bekommen. Doch die PIN ist keine Sicherheitsgarantie.
Besser geeignet ist eine MDM-Software, in der alle Firmengeräte registriert sind. Darüber können Daten aus der Ferne gelöscht und Zugänge gesperrt werden.
Auch eine gute MDM-Richtlinie, die den Mitarbeitern vorschreibt, sich in Firmenkonten immer wieder abzumelden und die Passwörter nicht auf dem mobilen Gerät zu speichern, erhöht ebenfalls die Sicherheit bei Diebstahl oder Verlust.
Während der Verlust eines Firmenhandys als leichter IT-Sicherheitsvorfall eingestuft werden kann - vor allem, wenn du eine MDM-Software verwendest - bedeutet ein Hacker-Angriff, der das gesamte Firmennetzwerk lahmgelegt oder gefährdet, einen deutlich schwereren Schaden.
Als oberste Regel gilt: Ruhe bewahren und nicht überstürzt handeln. Ja, eine möglichst schnelle Reaktion ist notwendig, allerdings nicht, wenn die Situation durch unüberlegte Handlungen noch schlimmer wird. So kann es weitergehen:
Das sind vertrauenswürdige Personen aus betroffenen Abteilungen des Unternehmens, die sich um die Lösung des Vorfalls kümmern.
Welche Systeme sind betroffen?
Können Spuren gesichert werden?
Welche Daten und Zugänge sind kompromittiert?
Wer kann uns helfen?
Welche Tagesaufgaben sind dringend und welche können bis zur Klärung des Vorfalls liegen bleiben?
Welche Dienste funktionieren weiterhin, welche nicht?
Sowohl in der DSGVO und dem BSIG als auch in eventuellen Verträgen sind Meldepflichten vorgeschrieben. Betreiber kritischer Infrastrukturen müssen beispielsweise unverzüglich jeden Sicherheitsvorfall melden.
Andere Unternehmen haben länger Zeit: Bei einem DSGVO-Verstoß durch den Verlust personenbezogener Daten muss innerhalb von 72 Stunden ein Landesdatenschutzbeauftragter benachrichtigt werden. Auch eventuell betroffene Personen müssen informiert werden.
Überprüfe auf jeden Fall die gesetzlichen Regelungen und die individuell abgeschlossenen Verträge mit Geschäftspartnern.
Hat dein Unternehmen ein eigenes IT-Sicherheitsteam, das den Sicherheitsvorfall selbst aufklären und lösen kann? Hervorragend. Gerade bei KMUs ist das aber in der Regel nicht der Fall, sodass externe Experten eingeschaltet werden müssen. Dafür gibt es die sogenannte digitale Rettungskette des BSI.
Das BSI hat ein dezentrales Cyber-Sicherheitsnetzwerk (CSN) aus freiwilligen IT-Sicherheitsexperten aufgebaut, die KMU in ganz Deutschland bei Sicherheitsvorfällen unterstützen. Je nach Schwere des Vorfalls ist eine andere Eskalationsstufe entlang der Rettungskette notwendig - Bei einem schweren Hackerangriff handelt es sich direkt um die 6. Stufe.
Auf der Website des CSN gibt es jede Menge Informationen, wie Unternehmen sich bei leichteren Sicherheitsvorfällen selbst helfen können.
Können Unternehmen das Problem nicht selbst lösen, steht die Kontaktstelle des CSN jederzeit zur Verfügung.
Kostenlose Hotline: 0800-274 1000
Wenn du nicht sicher bist, welche Eskalationsstufe du brauchst und wie schlimm der Vorfall wirklich ist, hilft dir die Kontaktstelle bei der Einschätzung.
Bei kleineren Störungen und Sicherheitsvorfällen stellen Experten einen digitalen Leitfaden oder Handlungsempfehlungen zur Verfügung, mit denen das Unternehmen das Problem möglichst selbst lösen kann.
Vorfall-Praktiker sind vom BSI geschulte und geprüfte IT-Experten mit Sicherheitserfahrung, die dich telefonisch zur Lösung des Vorfalls beraten. Das BSI bietet auch an, deine eigenen Mitarbeiter zu Vorfall-Praktikern zu schulen, damit kleinere Probleme in Zukunft intern gelöst werden können.
Ist der Vorfall schwerwiegender, wird ein Vorfall-Experte mit spezifischer IT-Sicherheitserfahrung kontaktiert, der den Vorfall vor Ort analysiert und bei der Auflösung hilft.
Kann ein Vorfall-Experte allein nicht helfen, wird ein Spezialisten-Team von einem im CSN registrierten und zertifizierten IT-Sicherheitsdienstleister eingeschaltet.
Das CSN ist nur eine mögliche Anlaufstelle. Du kannst aber auch ohne dessen
Unterstützung externe Experten beauftragen. Wenn du Anzeige erstatten willst,
gehört dazu in jedem Fall ein IT-Forensiker, der den Fall gerichtsfest aufarbeitet und
eventuell sogar den Täter identifizieren kann.
Darüber hinaus solltest du die Polizei kontaktieren, denn bei einem Cyberangriff
werden normalerweise gleich mehrere Gesetze verletzt. So gewährleistest du
weiterhin die gerichtsfeste Sicherung von Beweisen, um später erfolgreich Anzeige
zu erstatten.
Die technische Reaktion ist ausschlaggebend, um den Schaden nicht zu vergrößern, aber auch, um die Spuren des Täters nicht zu verwischen.
Ein Hackerangriff kann die betroffenen Systeme teilweise für Monate (oder auch für immer) außer Betrieb setzen. Das wäre für deine Kunden, dein Unternehmen und auch deine Mitarbeiter fatal. Also muss die Arbeitsfähigkeit, wenn auch nur eingeschränkt, so schnell wie möglich wiederhergestellt werden.
Das Krisenteam sollte dazu zunächst alle Teilbereiche betrachten und in diese vier Kategorien ordnen:
Nicht betroffen
Alle Arbeiten und Dienstleistungen, die ohne die betroffenen Systeme durchführbar sind
Auslagerungsfähig
Alle Dienstleistungen, für die zwar eigentlich betroffene Systeme verwendet werden, die aber auch an andere Systeme, andere Standorte der Organisation oder sogar an Subunternehmer ausgelagert werden können. Alternativ können andere Unternehmen vielleicht zeitweise die erforderliche IT-Ausstattung zur Verfügung stellen.
Mit mobilem Equipment eingeschränkt möglich
Das sind Dienstleistungen, die zwar eigentlich die betroffenen Systeme verwenden, aber auch mit nicht betroffenem Equipment wie privatem Handy, einem sauberen Laptop oder mobilem Hotspot durchgeführt werden können. Kann z.B. nicht mehr über das Firmennetzwerk telefoniert werden, ist die Kommunikation über private Mobiltelefone weiterhin möglich.
Ohne Neuaufbau nicht arbeitsfähig
Alle Dienstleistungen, die nicht in die obigen Kategorien fallen, sind von den betroffenen Systemen so abhängig, dass sie gar nicht mehr umgesetzt werden können. Da von Schadsoftware infizierte Systeme in der Regel nicht sicher wiederverwendet werden können, ist ein grundlegender Neuaufbau nötig.
Danach gilt es, in jeder Kategorie die wichtigsten Dienstleistungen auszuwählen und Prioritäten zu setzen. Was muss als erstes wieder laufen, was kann etwas länger warten?
Wurden zuvor regelmäßige Backups gemacht, können die meisten Dienste schnell wiederhergestellt werden.
Dein Unternehmen hat ein hieb- und stichfestes Sicherheitskonzept: Antivirenprogramme, Firewalls, Zwei-Faktor-Authentifizierung, End-to-End-Verschlüsselung und regelmäßige Mitarbeiterschulungen gegen Phishing-Angriffe und Co.
Doch egal wie gut dein Unternehmen geschützt ist - Ein IT-Sicherheitsvorfall lässt sich nie zu 100 % vermeiden. Deshalb solltest du bereits im Voraus wissen, was im Ernstfall zu tun ist. Denn du weißt jetzt:
Aber wissen das auch deine Mitarbeiter? Ohne eine geeignete Vorbereitung auf den Ernstfall wird der Schaden schnell unnötig größer, weil die Mitarbeiter falsch reagieren.
Damit du möglichst schnell und überlegt reagieren kannst, solltest du dir bereits im Voraus Gedanken gemacht haben, wo du den Vorfall überall melden musst. Dir selbst spart es eine Menge Stress, wenn du nicht erst später alle Verträge und Gesetzestexte durchgehen musst. Außerdem kannst du bereits im Voraus eine Kontaktstelle festlegen - Das kann die CSN-Hotline sein, dein IT-Dienstleister oder ein externer IT-Sicherheitsexperte in deiner Nähe.
Regelmäßige Backups, die extern gespeichert werden, sind notwendig, um den Betrieb schnellstmöglich wiederherzustellen. Gibt es keine Backups, wenn Daten gestohlen und verschlüsselt werden, kann es sein, dass sie unwiderruflich verloren sind. Gerade wenn Lösegelder gefordert werden, nehmen dir saubere Backups den Druck, denn die Daten können unabhängig vom Angriff wieder zurückgespielt werden.