:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fünf entscheidende Maßnahmen nach einem Cyberangriff Was tun wenn ich gehackt wurde?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Bei einem IT-Notfall hilft erstmal nur eins: Ruhe bewahren. Um schnell ins Handeln zu kommen und schlimmere Folgen zu verhindern, ist strukturiertes Vorgehen unerlässlich. Fünf Maßnahmen sollten Unternehmen daher bei einem IT-Sicherheitsvorfall unbedingt ergreifen: strukturiert Handeln, offen kommunizieren, Expert*innen hinzuziehen, lernen und langfristig eine IT-Sicherheitsstrategie fest verankern.
Der Worst Case ist eingetreten: Eine Ransomware-Attacke legt das Unternehmensnetzwerk lahm. Keine E-Mail geht rein oder raus, ein Großteil der Mitarbeitenden kann nicht auf wichtige Dokumente zugreifen und statt Normalbetrieb herrscht ein noch nie dagewesener Ausnahmezustand. Eine Situation, in der schnelles Handeln erforderlich ist. Bewegt sich ein Angreifer im Netzwerk, fällt seine Präsenz meistens erst dann auf, wenn bereits alles zu spät ist und sich der schlimme Verdacht einer Cyberattacke durch ein Erpresserschreiben bestätigt. Dann verfallen viele Personen im Unternehmen in Panik – wenn Verantwortliche auch noch zusätzlich Chaos verursachen, ist der Endgegner erreicht. Doch anders als bei einem Spiel ist dies kein Höhepunkt, sondern ein absoluter Tiefpunkt für das Unternehmen. Und verursacht sehr viel ungeplante Arbeit.
Was bei einem Cyberangriff hilft, ist nur eins: eine gute Vorbereitung. In die lohnt es sich zu investieren, um böse Überraschungen zu vermeiden. Wie die, dass vor einem Cyberangriff ungeklärt ist, wie sich Verantwortliche im Ernstfall verhalten sollten. Und hier hapert es schon an der Zuständigkeit, die sonst für jede andere Angelegenheit im Unternehmen geklärt ist. Denn: Nur zwei von fünf befragten Arbeitnehmer*innen in Deutschland aus der IT oder Geschäftsleitung wissen, wen sie im Schadensfall informieren sollen. Das ergab die aktuelle Studie „Cybersicherheit in Zahlen“ in Zusammenarbeit von G DATA, Statista und brand eins. Sind sich Verantwortliche selbst nicht sicher, wie sie sich verhalten sollen und haben vorab keinen Plan erarbeitet, kostet dies wertvolle Zeit. Zeit, die im schlimmsten Fall über das Ausmaß des Angriffs entscheidet und somit auch über das Überleben des Unternehmens.
Den Überblick behalten
Die wichtigste Frage ist also zunächst, welche Person oder Abteilung die Verantwortung bei einem IT-Sicherheitsvorfall hat und das Unternehmen sicher durch die Krise steuert. Um den Krisenstab schnellstmöglich einzuberufen, sollte dem gesamten Unternehmen bekannt sein, wer Ansprechpartner*in für die Koordination aller notwendigen Schritte ist. Ein IT-Notfallplan sorgt dabei für den richtigen Ablauf und stellt sicher, dass kein entscheidender Schritt vergessen wird. Denn neben Stressvermeidung ist es wichtig, einen Überblick über die eingeleiteten Maßnahmen zu haben. Dabei ist unbedingt zu bedenken: Ein Notfallplan ist nur ausgedruckt auf Papier sinnvoll. Denn liegen wichtige Informationen ebenfalls verschlüsselt auf dem Server oder dem nicht funktionsfähigen Notebook, sind sie ebenso gut wie kein Notfallplan und nutzlos. Im Vorfeld geklärt sein sollten beispielsweise:
- 1. Aufgaben und Zuständigkeiten, die klar formuliert sind und keinen Raum für Spielräume lassen.
- 2. Wie sieht die IT-Infrastruktur aus? Eine Übersicht über besonders kritische Netzwerke ist sinnvoll und wie die Schnittstellen sowie Abhängigkeiten mit anderen Systemen aussehen.
- 3. Auch die Frage nach funktionsfähigen Backups stellt sich schnell und sollte bereits vor dem Ernstfall geklärt sein.
- 4. Es geht nicht ohne eine klare Kommunikation. Sowohl intern als auch extern können Textbausteine für die Krisenkommunikation hilfreich sein.
- 5. Der Notfallplan sollte aktuell gehalten werden und einen konkreten externen IT-Spezialisten nennen, der zur Hilfe kommt.
Offen kommunizieren und Sicherheit geben
Ein weitreichender Cyberangriff verläuft in der Regel nicht unbemerkt und führt zu Unsicherheiten in der Mitarbeiterschaft, bei Kund*innen und der Öffentlichkeit. Daher ist es ratsam, sofort alle Stellen mit den notwendigen Informationen zu versorgen und offen mit dem IT-Sicherheitsvorfall umzugehen. Aber Vorsicht! Die interne und externe Kommunikation sollte über eine extra dafür eingerichtete Stabstelle kontrolliert verlaufen, die Teil des Krisenstabs ist. Denn es ist wichtig sicherzustellen, dass keine Informationen an die Öffentlichkeit gelangen, die noch nicht für sie bestimmt sind. Ein offener Umgang beugt Spekulationen vor und verhindert durch einen frühzeitigen Informationsfluss, dass das Anfrageaufkommen nicht mehr zu stemmen ist. Gerade in der Notlage gilt: Wer gut kommuniziert, verhindert einen langfristigen Imageschaden und kann gleichzeitig die Krise als Chance nutzen.
Angriff mit ausgewiesenen IT-Experten stoppen
Ohne die Hilfe von ausgewiesenen IT-Expert*innen lässt sich ein Angriff meistens nicht stoppen – Spezialwissen ist gefragt. Die beim BSI gelisteten APT-Dienstleister unterstützen Unternehmen bei der Aufklärung des Vorfalls und helfen dabei, die Systeme wiederherzustellen. Dabei geht es um Schadensbegrenzung, aber auch um eine Untersuchung, wie die Angreifer eingedrungen sind. Eine Aufklärung kann dabei Tage bis Wochen dauern – Cyberkriminelle sind schneller im Netzwerk drin als wieder draußen. Häufig gelangen sie über Phishing-Mails an ihr Ziel, verschaffen sich durch einen infizierten Dateianhang Zugang zum Unternehmensnetzwerk und spionieren unbemerkt die Systeme über einen längeren Zeitraum aus. Um einen Angreifer wieder vollständig aus dem Netzwerk zu bekommen, ist von eigenen Reparaturversuchen dringend abzuraten. Auch wenn es gut gemeint ist, führt der unbedarfte Umgang im schlimmsten Fall dazu, das unbeabsichtigt Spuren vernichtet werden, die bei der Aufklärung helfen.
Lernen, nicht hoffen!
Hat ein Unternehmen eine Cyberattacke überstanden und alles ist den Umständen entsprechend gut verlaufen, gibt es dennoch genug Lektionen zu lernen. In jedem Unternehmen ist die Hoffnung groß, dass dies das erste und letzte Mal war – ein überstandener Angriff ist aber eben keine Garantie. Während des Vorfalls macht es daher Sinn, eine Dokumentation anzufertigen, um im Nachgang alle Schritte nachvollziehen zu können. Auch wenn es so scheint, als wenn Informationen während des Vorfalls nicht so wichtig sind, kann dies im Rückblick anders sein. Um über neue oder erweiterte Sicherheitsmaßnahmen zu entscheiden, ist es zudem gut, die interne IT-Abteilung, die Geschäftsführung und den externen Dienstleister an einen Tisch zu bringen. So haben alle den gleichen Informationsstand und können auf diesem basierend Entscheidungen für die Zukunft treffen. Wenn sich abzeichnet, dass akuter Handlungsbedarf besteht, sollte der Fokus auf nachhaltigen und nicht kurzfristigen Maßnahmen liegen.
Langfristig IT-Sicherheitsstrategie etablieren
Nach einem IT-Sicherheitsvorfall fragen Verantwortliche häufig, ob der Angriff nicht hätte verhindert werden können. In der Praxis des Incident Response stellt sich oft genug heraus, dass es auch schon vor dem Angriff eindeutige Anzeichen gegeben hat, wie beispielsweise ungewöhnliche Aktivitäten im Netzwerk. Doch Informationen müssen nicht nur verarbeitet, sondern auch interpretiert werden, was ohne Ressourcen – sowohl zeitlich als auch finanziell – nicht machbar ist. Eine IT-Sicherheitsstrategie lässt sich außerdem nicht von heute auf morgen umsetzen, ist aber in jedem Fall ratsam, um kontinuierlich das Sicherheitskonzept zu verbessern. Neben technischen Maßnahmen lässt sich die Security-Awareness im Unternehmen durch IT-Sicherheitsschulungen zusätzlich erhöhen.
Mit einer umfangreichen IT-Sicherheitsstrategie sichern sich Unternehmen auch einen Wettbewerbsvorteil. IT-Sicherheit ist kein Endgegner, sondern ein Prozess, der bewusst gestaltet werden muss und Ausgaben verlangt, die sich bereits bei einem verhinderten Cyberangriff mehr als auszahlen.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
(ID:49680166)
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")