Produkte und Services PRODUKTE & SERVICES

IT-Sicherheits-GAU: Was tun beim Netzwerk-Hack?

Eigentlich weiß jeder, dass es so etwas wie 100-prozentige Sicherheit nicht gibt. Nicht beim Autofahren, nicht beim Bergsteigen – und eben auch nicht in der IT-Sicherheit. Es ist lediglich eine Frage der Zeit, bis der eine oder andere Vorfall geschieht. Umso erstaunlicher ist es allerdings, dass nur die wenigsten Unternehmen für dieses Worst-Case-Szenario einen entsprechenden Reaktionsplan in der Schublade haben. Wenn ein Unternehmen gehackt wurde, ist es in der Realität zurzeit meistens eher so, dass viele Leute kopflos in der Gegend herumlaufen und halbgare Improvisationspläne durchsetzen wollen. Und gerade diese fehlende Vorbereitung kann den Sicherheits-GAU noch einmal vergrößern, da unter Druck oftmals die falschen Entscheidungen getroffen werden. Auch wenn es sicherlich kein allgemein gültiges Rezept für das erfolgreiche Vorgehen im Fall der Fälle gibt, kann die Beachtung einiger Grundlagen bereits viel Unglück vermeiden.

1) Erstellen Sie einen Notfall-Reaktionsplan. Auch wenn das ein scheinbar offensichtlicher Hinweis zu sein scheint, ist in der Realität immer wieder der Satz zu hören: „Haben wir schon geplant, sind aber noch nicht dazu gekommen.“ Dabei muss ein solcher Notfallplan auch kein 200-Seiten-Manifest sein, sondern kurz und bündig die nötigen Aktivitäten zusammenfassen. Ein solcher Plan macht im Fall der Fälle schon einmal einen großen Unterschied aus.

2) Bestimmen Sie ein Reaktionsteam, das sich aus verschiedenen Unternehmens-bereichen zusammensetzt. Eine schlagkräftige Einsatztruppe sollte nicht nur aus IT- oder Sicherheitsleuten bestehen, sondern auch Mitarbeiter aus der Personal-, Rechts- oder PR-Abteilung sowie der Geschäftsführung mit einbeziehen. Wenn beispielsweise das PR-Team nicht eingebunden ist, kann die unorganisierte, externe Kommunikation schnell zu mehr Schaden führen als der eigentliche Hackerangriff. Zudem ist es wichtig, jedes einzelne Mitglied bezüglich seiner Aufgaben zu informieren und die Teamliste auf dem aktuellen Stand zu halten.

3) Legen Sie Ihre grundlegende Herangehensweise fest. Wenn ein Hackerangriff bewiesenermaßen erfolgt ist, stehen grundsätzlich zwei Strategien zur Auswahl. Das Unternehmen kann entweder versuchen, das Problem schnellstmöglich einzudämmen und den ursprünglichen Zustand wieder herzustellen oder der Angreifer kann beobachtet werden, um weitere Informationen über sein Vorgehen zu erhalten. Die meisten Unternehmen werden (und sollten) sich auf Variante 1 konzentrieren, um den Schaden so gering wie möglich zu halten. Aber auch wenn detaillierte Forensiken und umfangreiche Obvervation sehr aufwändig ist, sollte dennoch versucht werden, so viele Informationen wie möglich über den Angriff zu sammeln. Diese Daten können beispielsweise die zukünftige Abwehrstrategie noch einmal effektiver machen.

4) Stellen Sie die Kommunikation sicher. Unternehmen vergessen gerne, das im Falle eines Angriffs die normale Kommunikationsinfrastruktur oftmals nicht zur Verfügung steht. Wenn beispielsweise das lokale Netzwerk ausfällt, besteht kein Zugriff aus Telefonregister und auch Emails können nicht mehr verschickt werden. Ohne diese Hilfsmittel ist es extrem schwierig, geeignete Abwehrmaßnahmen zu organisieren. Deshalb ist es extrem wichtig, vorab Kommunikationswege wie beispielsweise Anrufketten festzulegen und den entsprechenden Personen auch gedruckte Karten mit den nötigen Telefonnummern zu geben.

5) Legen Sie das forensische Vorgehen fest. Während und nach Angriffen herrscht oft ein großer Druck auf alle Beteiligten, was vor allem in Sachen Datenerfassung zu unwiederbringlichen Verlusten führt. Deshalb muss bereits in der Vorbereitung gesichert sein, dass im Ernstfall die richtigen Daten und Logs auf effektive Art und Weise erfasst werden – denn gerade Zeit ist im Ernstfall meistens keine vorhanden. Vor allem muss auch festgelegt werden, wie die Dokumentation des Angriffs für eine spätere, evtl. auch gerichtliche Beweisaufnahme, erfolgt.

6) Informieren Sie die Mitarbeiter über das Meldeverfahren. Hackerangriffe sind nicht nur etwas für die IT-ler. Unternehmen sollten Mitarbeitern klare Informationen darüber geben, wo sie einen potentiellen Angriff melden können. Das gilt im Speziellen für System-Administratoren sowie Mitarbeiter, die verantwortlichen Zugriff auf Applikationen und Daten haben. Wenn kein klarer Kommunikationsprozess festgelegt ist, kann schnell wertvolle Zeit verloren werden.

7) Führen Sie Notfallübungen ein. Auch wenn die Vorgehensweise bei einem Hackerangriff theoretisch klar ist und die entsprechenden Personen informiert sind, kann es immer wieder zu Problemen kommen, wenn die vorgesehenen Aktionen nicht von Zeit zu Zeit in der Praxis und ohne Ernstfalldruck durchgeführt werden. Wenn Dinge wie die Telefonkette im Rahmen einer Übung durchexerziert werden, können potentielle Stolpersteine von vorneherein ausgeschlossen werden. Bei solchen Übungen ist es natürlich essentiell, das sie vorher angekündigt werden, um Missverständnissen über ein echte Attacke vorzubeugen.

 

Tipp: Wer sich ausführlicher mit der Materie auseinandersetzen will, kann dies mit dem BSI-Dokument „BSI-Standard 100-4 Notfallmanagement“ tun. Weitere, praxisnahe Beispiele (Englisch) für verschiedene Dokumente finden Sie hier: http://www.sans.org/score/incidentforms/

Antwort hinterlassen

Your email address will not be published. Required fields are marked *