Wie reagiere ich auf IT-Sicherheitsvorfälle?

    Es ist passiert: Ein Mitarbeiter hat einen fragwürdigen Anhang einer Phishing-Mail geöffnet und kann nun nicht mehr auf die Unternehmensdaten zugreifen. Dann kommt die Aufforderung, eine hohe Geldsumme zu zahlen, um den Zugang zurückzubekommen.

    Wie in so einem Fall reagiert wird, legen Unternehmen bestenfalls fest, bevor es zu einem Zwischenfall kommt. Denn nur dann kann der Schaden schnellstmöglich eingedämmt werden.

    Nicht immer ist der Sicherheitsvorfall so schwerwiegend wie bei einem Hackerangriff mit Lösegeldforderung. Wir zeigen dir die verschiedenen Handlungsoptionen, die du bei leichten und schweren IT-Sicherheitsvorfällen hast und auch, wie du NICHT reagieren solltest.

    TLDR

    • IT-Sicherheitsvorfälle sind Hackerangriffe, aber auch die Kompromittierung von sensiblen Daten durch den Verlust eines Gerätes oder eine falsche Freigabe.
    • Ein von Schadsoftware befallenes Gerät sollte zur Spurensicherung möglichst unberührt bleiben, aber vom Netzwerk getrennt werden.
    • Je nach Vorfall gelten Meldepflichten. Die sind in der DSGVO, dem BSIG und individuellen Geschäftsverträgen festgelegt.
    • Polizei und externe IT-Sicherheitsexperten sollten im Ernstfall herangezogen werden. Das CSN ist ein IT-Experten-Netzwerk des BSI, an das KMUs sich bei Sicherheitsvorfällen wenden können.
    • Gute Vorbereitung (Schulung der Mitarbeiter zur richtigen Reaktion auf einen IT-Sicherheitsvorfall, regelmäßige Backups) dämmt den Schaden ein und sorgt für eine schnellere Betriebswiederherstellung.

    Was ist ein IT-Sicherheitsvorfall?

    Abgesehen vom Worst-Case-Szenario eines Hackerangriffs gehören auch der Diebstahl eines Firmengeräts, eine defekte Festplatte mit kritischen Daten oder die versehentliche Übermittlung von vertraulichen Daten an einen falschen Empfänger zu IT-Sicherheitsvorfällen.

    Sobald die Vertraulichkeit, Verfügbarkeit und Integrität deiner Unternehmensdaten nicht mehr gewährleistet ist, kann dadurch ein großer Schaden entstehen. Grund dafür sind nicht immer böswillige Handlungen, sondern oft auch Unachtsamkeit oder die Nichteinhaltung von Sicherheitsrichtlinien.

    Um das Risiko eines Sicherheitsvorfalls zu minimieren, ist ein starkes IT-Sicherheitskonzept samt Mitarbeiterschulungen und der Kontrolle der Sicherheitsrichtlinien unverzichtbar. Dennoch besteht immer die Möglichkeit, dass ein Hacker eine Lücke in der Software findet oder eine so realistische Phishing-Mail verschickt, dass Unternehmensdaten gestohlen oder verschlüsselt werden.

    Zu den häufigsten IT-Sicherheitsvorfällen gehören Phishing-Angriffe, Ransomware-Angriffe (Schadsoftware, die häufig durch Phishing ins Unternehmen gebracht wird) und der Diebstahl oder Verlust von Hardware, auf der vertrauliche Daten gespeichert sind.

    Wie reagiere ich, wenn Firmengeräte gestohlen wurden?

    In Zeiten von Remote Work, in denen jeder Mitarbeiter nicht nur seinen Monitor im Büro, sondern auch noch Laptop, Tablet und Firmenhandy für die Arbeit nutzt, ist das Risiko eines Geräteverlusts oder Diebstahls so hoch wie nie.

    Bereits Kleinigkeiten wie das Einrichten einer Bildschirm-PIN verringern das Risiko, dass Unbefugte Zugriff zu einem gestohlenen Gerät bekommen. Doch die PIN ist keine Sicherheitsgarantie.

    Besser geeignet ist eine MDM-Software, in der alle Firmengeräte registriert sind. Darüber können Daten aus der Ferne gelöscht und Zugänge gesperrt werden.

    Auch eine gute MDM-Richtlinie, die den Mitarbeitern vorschreibt, sich in Firmenkonten immer wieder abzumelden und die Passwörter nicht auf dem mobilen Gerät zu speichern, erhöht ebenfalls die Sicherheit bei Diebstahl oder Verlust.

    Wie reagiere ich auf einen Hacker-Angriff?

    Während der Verlust eines Firmenhandys als leichter IT-Sicherheitsvorfall eingestuft werden kann - vor allem, wenn du eine MDM-Software verwendest - bedeutet ein Hacker-Angriff, der das gesamte Firmennetzwerk lahmgelegt oder gefährdet, einen deutlich schwereren Schaden.

    Organisatorische Reaktion auf einen schweren IT-Sicherheitsvorfall

    Als oberste Regel gilt: Ruhe bewahren und nicht überstürzt handeln. Ja, eine möglichst schnelle Reaktion ist notwendig, allerdings nicht, wenn die Situation durch unüberlegte Handlungen noch schlimmer wird. So kann es weitergehen:

    1. Einen Krisenstab einrichten

    Das sind vertrauenswürdige Personen aus betroffenen Abteilungen des Unternehmens, die sich um die Lösung des Vorfalls kümmern.

    1. Fragen klären

    Welche Systeme sind betroffen?

    Können Spuren gesichert werden?

    Welche Daten und Zugänge sind kompromittiert?

    Wer kann uns helfen?

    Welche Tagesaufgaben sind dringend und welche können bis zur Klärung des Vorfalls liegen bleiben?

    Welche Dienste funktionieren weiterhin, welche nicht?

    1. Meldepflichten beachten

    Sowohl in der DSGVO und dem BSIG als auch in eventuellen Verträgen sind Meldepflichten vorgeschrieben. Betreiber kritischer Infrastrukturen müssen beispielsweise unverzüglich jeden Sicherheitsvorfall melden.

    Andere Unternehmen haben länger Zeit: Bei einem DSGVO-Verstoß durch den Verlust personenbezogener Daten muss innerhalb von 72 Stunden ein Landesdatenschutzbeauftragter benachrichtigt werden. Auch eventuell betroffene Personen müssen informiert werden.

    Überprüfe auf jeden Fall die gesetzlichen Regelungen und die individuell abgeschlossenen Verträge mit Geschäftspartnern.

     

    1. Externe Unterstützung holen

    Hat dein Unternehmen ein eigenes IT-Sicherheitsteam, das den Sicherheitsvorfall selbst aufklären und lösen kann? Hervorragend. Gerade bei KMUs ist das aber in der Regel nicht der Fall, sodass externe Experten eingeschaltet werden müssen. Dafür gibt es die sogenannte digitale Rettungskette des BSI.

    Das BSI hat ein dezentrales Cyber-Sicherheitsnetzwerk (CSN) aus freiwilligen IT-Sicherheitsexperten aufgebaut, die KMU in ganz Deutschland bei Sicherheitsvorfällen unterstützen. Je nach Schwere des Vorfalls ist eine andere Eskalationsstufe entlang der Rettungskette notwendig - Bei einem schweren Hackerangriff handelt es sich direkt um die 6. Stufe.

    • 1.    Selbsthilfe

    Auf der Website des CSN gibt es jede Menge Informationen, wie Unternehmen sich bei leichteren Sicherheitsvorfällen selbst helfen können.

     

    • 2.    Kontaktstelle des CSN

    Können Unternehmen das Problem nicht selbst lösen, steht die Kontaktstelle des CSN jederzeit zur Verfügung.

    Kostenlose Hotline: 0800-274 1000

    Wenn du nicht sicher bist, welche Eskalationsstufe du brauchst und wie schlimm der Vorfall wirklich ist, hilft dir die Kontaktstelle bei der Einschätzung.

    • 3.    Digitaler Ersthelfer

    Bei kleineren Störungen und Sicherheitsvorfällen stellen Experten einen digitalen Leitfaden oder Handlungsempfehlungen zur Verfügung, mit denen das Unternehmen das Problem möglichst selbst lösen kann.

    • 4.    Vorfall-Praktiker

    Vorfall-Praktiker sind vom BSI geschulte und geprüfte IT-Experten mit Sicherheitserfahrung, die dich telefonisch zur Lösung des Vorfalls beraten. Das BSI bietet auch an, deine eigenen Mitarbeiter zu Vorfall-Praktikern zu schulen, damit kleinere Probleme in Zukunft intern gelöst werden können.  

    • 5.    Vorfall-Experte

    Ist der Vorfall schwerwiegender, wird ein Vorfall-Experte mit spezifischer IT-Sicherheitserfahrung kontaktiert, der den Vorfall vor Ort analysiert und bei der Auflösung hilft.

    • 6.    IT-Sicherheitsdienstleister mit Spezialisten-Team

    Kann ein Vorfall-Experte allein nicht helfen, wird ein Spezialisten-Team von einem im CSN registrierten und zertifizierten IT-Sicherheitsdienstleister eingeschaltet.

            Das CSN ist nur eine mögliche Anlaufstelle. Du kannst aber auch ohne dessen

    Unterstützung externe Experten beauftragen. Wenn du Anzeige erstatten willst,

    gehört dazu in jedem Fall ein IT-Forensiker, der den Fall gerichtsfest aufarbeitet und

    eventuell sogar den Täter identifizieren kann.

    Darüber hinaus solltest du die Polizei kontaktieren, denn bei einem Cyberangriff

    werden normalerweise gleich mehrere Gesetze verletzt. So gewährleistest du

    weiterhin die gerichtsfeste Sicherung von Beweisen, um später erfolgreich Anzeige

    zu erstatten.

    Technische Reaktion auf einen schweren IT-Sicherheitsvorfall

    Die technische Reaktion ist ausschlaggebend, um den Schaden nicht zu vergrößern, aber auch, um die Spuren des Täters nicht zu verwischen.

    1. Auf keinen Fall sollte sich irgendjemand in einem mit Schadsoftware infizierten System mit Administrator-Konten anmelden.
    1. Potenziell infizierte Geräte müssen umgehend vom restlichen Netzwerk getrennt werden, um den Zugriff der Hacker einzuschränken. Dazu einfach das Netzwerkkabel ziehen - Nicht ausschalten oder herunterfahren, da das die spätere forensische Analyse behindert.
    1. Es sollte nichts gelöscht oder verändert werden, damit der Angriff später zurückverfolgt werden kann. Wenn nötig, sollten Mitarbeiter ausschließlich mit Kopien von betroffenen Dateien weiterarbeiten.
    1. Da Schadsoftware teilweise unumkehrbare Änderungen an lokalen Systemen bewirkt, solltest du grundsätzlich davon ausgehen, dass ein infiziertes System von Grund auf neu aufgesetzt werden muss.
    1. Alle im System gespeicherten Passwörter und Zugangsdaten sollten als kompromittiert betrachtet und geändert werden.
    1. Alle nicht-essentiellen Remote-Verbindungen sollten blockiert werden.
    1. Sollten die Daten verschlüsselt sein und ein Lösegeld gefordert werden, solltest du es NICHT bezahlen. Denn es ist keine Garantie für eine Freigabe der Daten und schützt auch nicht vor einer erneuten Verschlüsselung. Schalten Sie stattdessen die Polizei und einen externen IT-Sicherheitsexperten ein und prüfen Sie, ob Sie die verschlüsselten Daten durch frühere Backups zurückbekommen können.

    Wie stellen wir die Betriebsfähigkeit kurzfristig wieder her?

    Ein Hackerangriff kann die betroffenen Systeme teilweise für Monate (oder auch für immer) außer Betrieb setzen. Das wäre für deine Kunden, dein Unternehmen und auch deine Mitarbeiter fatal. Also muss die Arbeitsfähigkeit, wenn auch nur eingeschränkt, so schnell wie möglich wiederhergestellt werden.

    Das Krisenteam sollte dazu zunächst alle Teilbereiche betrachten und in diese vier Kategorien ordnen:

    Nicht betroffen

    Alle Arbeiten und Dienstleistungen, die ohne die betroffenen Systeme durchführbar sind

    Auslagerungsfähig

    Alle Dienstleistungen, für die zwar eigentlich betroffene Systeme verwendet werden, die aber auch an andere Systeme, andere Standorte der Organisation oder sogar an Subunternehmer ausgelagert werden können. Alternativ können andere Unternehmen vielleicht zeitweise die erforderliche IT-Ausstattung zur Verfügung stellen.

    Mit mobilem Equipment eingeschränkt möglich

    Das sind Dienstleistungen, die zwar eigentlich die betroffenen Systeme verwenden, aber auch mit nicht betroffenem Equipment wie privatem Handy, einem sauberen Laptop oder mobilem Hotspot durchgeführt werden können. Kann z.B. nicht mehr über das Firmennetzwerk telefoniert werden, ist die Kommunikation über private Mobiltelefone weiterhin möglich.

    Ohne Neuaufbau nicht arbeitsfähig

    Alle Dienstleistungen, die nicht in die obigen Kategorien fallen, sind von den betroffenen Systemen so abhängig, dass sie gar nicht mehr umgesetzt werden können. Da von Schadsoftware infizierte Systeme in der Regel nicht sicher wiederverwendet werden können, ist ein grundlegender Neuaufbau nötig.

    Danach gilt es, in jeder Kategorie die wichtigsten Dienstleistungen auszuwählen und Prioritäten zu setzen. Was muss als erstes wieder laufen, was kann etwas länger warten?

    Wurden zuvor regelmäßige Backups gemacht, können die meisten Dienste schnell wiederhergestellt werden.

    Der Schlüssel ist gute Vorbereitung

    Dein Unternehmen hat ein hieb- und stichfestes Sicherheitskonzept: Antivirenprogramme, Firewalls, Zwei-Faktor-Authentifizierung, End-to-End-Verschlüsselung und regelmäßige Mitarbeiterschulungen gegen Phishing-Angriffe und Co.

    Doch egal wie gut dein Unternehmen geschützt ist - Ein IT-Sicherheitsvorfall lässt sich nie zu 100 % vermeiden. Deshalb solltest du bereits im Voraus wissen, was im Ernstfall zu tun ist. Denn du weißt jetzt:

     

    1. Betroffene Geräte müssen eingeschaltet bleiben, aber vom Netzwerk getrennt werden.
    2. Daten sollten nicht gelöscht oder geändert werden, damit der Angriff zurückverfolgt werden kann.
    3. Auf keinen Fall sollte im infizierten Netzwerk weitergearbeitet werden, vor allem wenn sich dabei jemand mit Administratorberechtigungen anmeldet.

    Aber wissen das auch deine Mitarbeiter? Ohne eine geeignete Vorbereitung auf den Ernstfall wird der Schaden schnell unnötig größer, weil die Mitarbeiter falsch reagieren.

    Damit du möglichst schnell und überlegt reagieren kannst, solltest du dir bereits im Voraus Gedanken gemacht haben, wo du den Vorfall überall melden musst. Dir selbst spart es eine Menge Stress, wenn du nicht erst später alle Verträge und Gesetzestexte durchgehen musst. Außerdem kannst du bereits im Voraus eine Kontaktstelle festlegen - Das kann die CSN-Hotline sein, dein IT-Dienstleister oder ein externer IT-Sicherheitsexperte in deiner Nähe.

    Regelmäßige Backups, die extern gespeichert werden, sind notwendig, um den Betrieb schnellstmöglich wiederherzustellen. Gibt es keine Backups, wenn Daten gestohlen und verschlüsselt werden, kann es sein, dass sie unwiderruflich verloren sind. Gerade wenn Lösegelder gefordert werden, nehmen dir saubere Backups den Druck, denn die Daten können unabhängig vom Angriff wieder zurückgespielt werden.