Die richtige Reaktion auf einen Cyberangriff

Keine Panik – Besonnenes Handeln und gute Vorbereitung sind entscheidend

 Ein Klick zu viel, eine unscheinbare Mail, ein schlecht gesichertes Passwort – und plötzlich steht ein Unternehmen still. Die Zahl der Cyberangriffe und die Professionalität dieser Attacken nehmen weiter zu. Selbst bei besten präventiven Maßnahmen ist der Erfolg Cyberkrimineller nicht immer zu verhindern.

Deshalb müssen sich Unternehmen aller Branchen und Größen auf den Ernstfall vorbereiten. Was tut man, wenn nichts mehr geht? Wenn keine E-Mails mehr verschickt werden können, wenn das ERP-System ausfällt, wenn die Produktion stillsteht? 

Ruhe bewahren

Bei einem Incident Response – also bei der Reaktion auf einen leider erfolgreichen Cyberangriff – ist ein kühler Kopf entscheidend. Denn beim betroffenen Unternehmen herrscht Unruhe, Hektik, vielleicht sogar Panik. Die Situation kann existenzbedrohend sein.

„Wenn Hacker beispielsweise über Nacht das Lagersystem lahmlegen, gibt es keine Bestandsverwaltung, keine Lieferungen, nichts. Wie lange kann ein Unternehmen das durchhalten? Wann springen Kunden mit Just-in-time-Verträgen ab? Es geht ums Ganze“, sagt Sonja Saß, IT-Forensikerin im Cyber Defense Center von Bechtle. Deshalb sei das wichtigste Ziel, einen konkreten Plan zu entwickeln.

Kein Aktionismus

Die betroffene IT-Infrastruktur ist ein Tatort mit wertvollen Spuren. Das unstrukturierte Herunterfahren von Systemen, das nicht abgesprochene Ändern von Passwörtern, die Manipulation von Firewalls – alles in der grundsätzlich guten Absicht, den Schaden einzudämmen – verwischt Spuren, die wichtig sind, um zu erfahren, was genau passiert ist.

Um Aktionismus zu vermeiden, verteilen die Profis des Bechtle Cyber Defense Centers Aufgaben an die Beteiligten. Sie müssen herausfinden: Wann gab es die ersten Auffälligkeiten? Welche Systeme sind betroffen? Gibt es Backups, die nicht im Netzwerk liegen? Hat das Unternehmen Tools im Einsatz, die verdächtige Aktivitäten aufgezeichnet haben? Erst wenn diese Informationen gesammelt sind, ergibt es Sinn, einzelne Systeme vom Netz zu nehmen oder Geräte abzuschalten.

Und noch eines ist von entscheidender Bedeutung: Vertrauen. Durch gute Kommunikation. „Unser Ziel ist, sämtliche Informationen zentral zu bündeln. Alle sollen auf dem gleichen Stand sein und Entscheidungen gemeinsam treffen“ sagt Sonja Saß. Deshalb bringt sie alle Verantwortlichen an einen Tisch – IT-Administrator:innen, Geschäftsleitung, die Rechtsabteilung und Datenschutzbeauftragte.

IT-Forensik

So wie Kriminalbeamte an einem Tatort Spuren sichern, tun dies IT-Forensiker und -Forensikerinnen in den Systemen eines Unternehmens. Sie suchen nach sogenannten Artefakten: ungewöhnlichen Verbindungen zu externen Servern, manipulierten Zugangsdaten oder Hinweisen auf ausgenutzte Schwachstellen.

Aus diesen Puzzleteilen entsteht ein Bild des Angriffswegs – eine wichtige Grundlage, um die eigenen Systeme wieder sicher aufzubauen. Auch hier unterstützen die Expert:innen von Bechtle – meist schrittweise: Zunächst werden nur die wichtigsten Prozesse wiederhergestellt, damit der Betrieb anlaufen kann. Parallel dazu gilt es, Sicherheitslücken zu schließen, Passwörter zu erneuern und Mitarbeitende zu sensibilisieren. Denn die Angriffsmethoden entwickeln sich in rasantem Tempo weiter. Heute wird Schadsoftware sogar als Dienstleistung im Internet angeboten. So können selbst unerfahrene Täter Unternehmen erpressen – durch Verschlüsselung von Daten, die Drohung mit Veröffentlichung oder durch sogenannte DDoS-Angriffe, die Webseiten lahmlegen.

Besser vorbereitet

Ein Cyberangriff kann jedes Unternehmen treffen – vom internationalen Zulieferer bis zum Handwerksbetrieb um die Ecke. Entscheidend ist, nicht in Panik zu verfallen, sondern strukturiert vorzugehen: Notfallplan erstellen und regelmäßig üben, Backups an sicheren Orten aufbewahren, Verantwortlichkeiten klar regeln, externe Expert:innen kennen und im Ernstfall frühzeitig hinzuziehen. Wer diese Grundlagen beachtet, kann im Krisenfall nicht nur Zeit und Geld sparen, sondern im Zweifel die Existenz seines Unternehmens sichern.

Mehr Wissenswertes zum Thema gibt es im Internet online unter: www.bechtle.com/security.