In unserer Reihe „Ursachen für Cyberangriffe: Unsere Erfahrungen haben wir Ihnen bereits einen Einblick in die Arbeit unseres Incident Response Teams gegeben und über häufige Auslöser von Cyberangriffen berichtet. In dieser Reihe möchten wir einen Schritt weiter gehen und über typische Hindernisse während der Aufklärung, Bearbeitung und Mitigation eines Vorfalls sprechen, sowie hilfreiche Tipps für den Umgang mit einer solchen Ausnahmesituation geben.

Zeitverzug bis zum Einholen von professioneller Unterstützung

In vielen Fällen erreichen uns Hilfegesuche von Unternehmen, welche Opfer eines Angriffs waren, am Freitagnachmittag, obwohl der Vorfall bereits einige Tage zuvor festgestellt wurde. Grund für diese Verzögerung ist oftmals, dass die Situation initial nicht so komplex eingeschätzt wurde und zunächst versucht wird, ihr mit internen Ressourcen zu begegnen. Teilweise tragen auch unklare Verantwortlichkeiten und Entscheidungswege, sowie Budgetrestriktionen und unflexible Freigabeprozesse zu dieser Verzögerung bei. Kurz vor dem Wochenende ist dann aber meist klar, dass es ohne Unterstützung nicht zielgerichtet weiter gehen kann.

Der entstandene Zeitverzug bis zum Einholen von professioneller Unterstützung kann dabei zu den folgenden Problemen führen:

  • Treffen von ungeeigneten Gegenmaßnahmen: Ohne das passende fachliche Know-How kann es schnell zu einer Fehleinschätzung eines Cybervorfalls kommen, so dass ungeeignete Maßnahmen zur Eindämmung getroffen werden. Dies birgt das Risiko weiterer Schäden, während möglicherweise ein falsches Sicherheitsgefühl besteht.
  • Missachtung von rechtlichen Vorgaben: In Regulatoriken, wie NIS-2, der BSI-Kritisverordnung, der DSGVO u.v.m. gibt es Vorgaben zum Umgang mit Cybervorfällen, wie beispielsweise den definierten Meldepflichten. Ist das Personal des betroffenen Unternehmens unerfahren im Umgang mit Sicherheitsvorfällen, kann die entstehende Situation schnell chaotisch und unübersichtlich werden und geltende Vorgaben ungewollt missachtet werden. Zusätzlich zu den wirtschaftlichen Schäden durch den Vorfall drohen dann empfindliche Bußgelder.
  • Verwischen von Spuren: Durch das Einleiten von Maßnahmen zur Wiederherstellung, wie dem Einspielen von Backups, kann es vorkommen, dass originale Spuren, welche wichtig für die Aufklärung des Vorfalls sind, unbeabsichtigt gelöscht bzw. überschrieben werden. Dies kann dazu führen, dass Ursache und Ausmaß des Angriffs nicht ausreichend ergründet werden können und ein hohes Restrisiko bleibt, zum Beispiel weil nicht alle kompromittierten Systeme und Accounts erkannt und bereinigt werden konnten. 

Um diesem Szenario entgegenzuwirken, ist es notwendig sich ausreichend auf das Eintreten von Sicherheitsvorfällen vorzubereiten. Geregelte Prozesse mit klaren Verantwortlichen inklusive Vertreterregelung könnten Entscheidungsprozesse beschleunigen und Ordnung in eine chaotische Situation bringen. Zudem sollte, wenn möglich eine Cyberversicherung abgeschlossen werden, um im Notfall mehr Handlungsspielraum für Investitionen zu haben und nicht in Budgetdiskussionen verstrickt zu werden. Zusätzlich ist es hilfreich bereits vorab mit einem qualifizierten Incident Response Dienstleister ein Vertragsverhältnis einzugehen, um im Notfall nicht bei mehreren Dienstleistern bezüglich freier Unterstützungskapazitäten anfragen zu müssen. 

Keine Dokumentation & Routine

Aus unserer Erfahrung, wenn wir als Incident-Response Dienstleister hinzugezogen werden, zeigt sich bereits bei den ersten Terminen, wie gut eine Organisation auf Themen wie Notfall- & Krisenmanagement vorbereitet ist.

Gibt es klar verteilte Rollen und Verantwortlichkeiten? Kommt jeder seinen Aufgaben nach? Gibt es ein Notfallhandbuch und ist dies jedem bekannt? Wie gut lässt sich der Notfallprozess in der Praxis umsetzen?


Ohne diese Vorbereitung kommt es in Abstimmungen und bei der Bearbeitung von weiteren Aufgaben zu langen Diskussionen, ohne das wichtige Entscheidungen getroffen werden. Dadurch wird wertvolle Zeit verspielt.

Selbst bei vorbereiteten Unternehmen, die bereits ein Notfallhandbuch erstellt haben, können in Ausnahmesituationen in Probleme laufen, wenn bestimmte Dinge nicht bedacht wurden. Bei Ransomware-Angriffen kommt es beispielsweise häufig vor, dass die die komplette IT-Infrastruktur verschlüsselt und nicht mehr verfügbar ist. Das kann dazu führen, dass im Ernstfall nicht auf die Notfallpläne zugegriffen werden kann, wenn diese nicht auch offline verfügbar sind. 

Auch im weiteren Verlauf der Fallbehandlung können Probleme auftreten. Es kommen schnell Fragen zum Aufbau der IT-Infrastruktur auf. 

  • Gibt es aktuelle Netzpläne? 
  • Gibt es eine Übersicht für alle Assets? 
  • Können IP-Adressen eindeutigen Systemen zugeordnet werden? 

Wenn diese Fragen nicht beantwortet werden können, weil beispielsweise keine oder keine aktuelle Dokumentation vorgehalten wird, können keine geeigneten Maßnahmen zur Eindämmung und Aufklärung des Vorfalls getroffen werden. Oder Prozesse verlangsamen sich, weil die Informationen umständlich über andere Wege eingeholt werden müssen.

In der Praxis kann sich das folgendermaßen äußern: Wenn ein kompromittiertes System identifiziert wurde, ist es oft ratsam dieses zu isolieren oder ganze Netzbereiche vom Internet zu trennen, um eine Weiterverbreitung von Angreifern zu unterbinden. Wenn allerdings nicht bekannt ist, wie das Netzwerk aufgebaut ist und welche Abhängigkeiten zu anderen Systemen und Geschäftsprozessen bestehen, kann die Maßnahme nicht effektiv durchgeführt werden und auch das daraus resultierende Risiko für andere Bereiche nicht abgewogen werden.

Auch hier ist es ratsam bereits vor einem Vorfall Vorbereitungen durchzuführen und neben der Definition eines Notfallprozesses diesen durch praxisnahe Notfallübungen zu erproben. So wird der Prozess von allen verinnerlicht und Lücken im Vorgehen identifiziert.

Wichtige Dokumentationen und Notfallkontakte sollten zudem offline vorgehalten werden, um auch in besonderen Krisensituationen weiter handlungsfähig zu bleiben. Neben den Prozessen muss auch die IT-Infrastruktur ausreichend dokumentiert sein, so dass im Notfall alle notwendigen Informationen, wie Netzpläne und eine Übersicht aller IT-Systeme, schnell vorliegen.

Einsatz von Privatgeräten

Ab und zu ist es bei unseren Vorfällen vorgekommen, das betroffene Unternehmen eine sogenannte Bring-Your-Own-Device (BYOD) Richtlinie haben und Mitarbeiterinnen und Mitarbeitern den Einsatz von privaten Telefonen oder Computern für die Arbeit gestatten. In Verbindung mit Sicherheitsvorfällen bringt dieses Vorgehen je nach Rahmenbedingungen jedoch einige Herausforderungen mit sich: 

 

  • Erhöhtes Sicherheitsrisiko: Private Geräte werden nicht zentral vom Unternehmen verwaltet. Häufig ist nicht klar, um was es sich für Geräte handelt, wie sicher diese konfiguriert und genutzt werden und ob beispielsweise Sicherheitsupdates regelmäßig eingespielt werden. Sie werden oftmals auch nicht mit Sicherheitssoftware überwacht, so dass eine Kompromittierung solcher Geräte nur schwer rechtzeitig erkannt werden kann. In einem vergangenen Vorfall fiel ein Mitarbeiter auf eine Phishing-E-Mail rein und öffnete diese auf seinem privaten Gerät, worüber später sein Account kompromittiert wurde. Bei Mitarbeiterinnen und Mitarbeitern, die den Phishing-Link auf den Unternehmensrechnern öffneten, wurde der Phishing Versuch von der ausgerollten Sicherheitssoftware erkannt und blockiert. Ohne den Einsatz des privaten Gerätes hätte der daraus resultierende Vorfall unterbunden werden können.
  • Schwieriger Zugriff bei Untersuchungen: Sind private Geräte in Sicherheitsvorfälle von Unternehmen involviert, können diese durch das Unternehmen oder den Incident Response Dienstleister nicht ohne Kooperation des betroffenen Mitarbeiters für eine Untersuchung herangezogen werden. Die meisten Mitarbeiterinnen und Mitarbeiter weigern sich in solchen Fällen, das private Gerät durch den Arbeitgeber oder Dritte untersuchen zu lassen. Für den Zugriff ist dann zusätzlich der Weg über Anwalt und Polizei notwendig, wobei dies die Aufklärung verzögert und nicht in jedem Fall zum Erfolg führt. Zudem wird dabei das Vertrauensverhältnis von Mitarbeiter und Arbeitgeber meist nachhaltig belastet. 

Aus wirtschaftlicher Sicht können einige Punkte für das Erlauben von Privatgeräten sprechen, aus Perspektive der Informationssicherheit birgt dies jedoch hohe Risiken und sollte vermieden werden oder nur sehr eingeschränkt unter kontrollierten Rahmenbedingungen erlaubt sein. Bei Telefonen gibt es zum Beispiel inzwischen von den Herstellern unterstützte Lösungen zum Separieren von privaten und geschäftlichen Daten in getrennten Arbeitsbereichen. Dabei wird ein Austausch von Daten zwischen den Bereichen unterbunden und der Arbeitsbereich kann über die Geräteverwaltung des Unternehmens gemanaged werden. Ohne diese zusätzlichen Schutzmaßnahmen sollte jedoch unterbunden werden, dass ausgehend von privaten Geräten auf Unternehmensdaten und Systeme zugegriffen werden kann. 

Fazit

In diesem Beitrag konnten wir zeigen, wie wichtig Faktoren wie Zeit, geregelte Prozesse und Verantwortlichkeiten, Dokumentation sowie Kontrolle über die eigene IT-Infrastruktur im Kontext von Sicherheitsvorfällen sind. In den meisten Fällen können die hier aufgezeigten Hürden durch eine gute Vorbereitung und frühzeitige Auseinandersetzung mit der Frage „Wie bereite ich mein Unternehmen auf einen Sicherheitsvorfall vor?“ abgemildert werden. Und natürlich kann auch mit guter Vorbereitung ein Vorfall wieder neue Probleme aufwerfen, allerdings kann darauf deutlich souveräner reagiert werden, wenn die Basis der Notfallvorsorge stimmt. 

 

In dem nächsten Teil der Reihe werden wir uns näher mit dem Thema Personalengpässen, ungenügenden Dienstleisterverträgen und Herausforderungen im Umgang mit Sicherheitssoftware beschäftigen. Auch hier geben wir Ihnen wieder einen Einblick in unsere Erfahrungen aus der Praxis und zeigen, worauf Sie im Kontext eines Sicherheitsvorfalls achten müssen.

Sollen Sie bei der Einschätzung Ihres Sicherheitsniveaus, der Planung und Umsetzung von Sicherheitsmaßnahmen oder akute Unterstützung in einem Notfall benötigen, zögern Sie nicht uns zu kontaktieren. 

Unsere Expertinnen und Experten für Cyber Sicherheit stehen Ihnen gerne zur Verfügung.

Dieser Artikel wurde verfasst von