Was tun nach einem Cyberangriff? Auf diese 5 Schritte kommt es an.
Es kann jederzeit passieren: Ein Klick genügt, und schon ist der Computer infiziert, dann das Netzwerk und dann… Wenn der Rechner einfriert oder der Bildschirm schwarz wird oder eine Warnung anzeigt, dann stimmt etwas ganz und gar nicht. Sehr wahrscheinlich handelt es sich um einen Cyberangriff. Doch was müssen Sie konkret tun, wenn ein Cyberangriff erfolgreich war und Ihre IT-Umgebung betroffen ist, und welche gesetzlichen Regelungen müssen Sie beachten?
Die Beispiele Heise oder Landkreis Anhalt-Bitterfeld zeigen, was ein einziger Klick auf eine verseuchte E-Mail für Folgen haben kann. Ist das „Missgeschick“ dann passiert, gilt es, schnell zu handeln. Zeit für die Verarbeitung des ersten Schocks ist nicht vorhanden. Aber nicht jeder ist Experte für IT-Forensik, und gerade der „normale“ Angestellte ist in einer solchen Situation schnell überfordert. In diesem Artikel geben wir Ihnen einen Überblick zu den wichtigsten Maßnahmen, die Sie im Falle eines IT-Notfalls ergreifen müssen.
1. Ruhe bewahren
So bedrohlich die Situation auch ist, ab jetzt muss jeder Schritt gut überlegt sein (beziehungsweise bereits durchdacht sein, siehe unten). Falsches Handeln kann eine schlechte Situation noch weiter verschlimmern. Außerdem ist dies auch relevant für die spätere Spurensicherung. Sinnvoll ist es in jedem Fall, sich externe Hilfe durch IT-Forensiker und Incident-Response-Spezialisten zu holen (siehe unten).
2. Schaden begrenzen
Die vielleicht wichtigste Maßnahme zuerst: Stellen Sie sicher, dass sich niemand mit privilegierten Nutzerkonten (Administratorrechten) auf einem potenziell infizierten System anmeldet, während dieses sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist.
Als nächstes müssen Sie infizierte Rechner isolieren, um die Ausbreitung von Schadsoftware zu verhindern. Ziehen Sie also das Netzwerkkabel und unterbinden Sie WLAN-Verbindungen. Fahren Sie Geräte nicht herunter oder schalten Sie diese aus – dies könnte die Cyberkriminellen alarmieren und so die spätere Spurensuche erschweren.
Das BSI empfiehlt grundsätzlich, infizierte lokale Systeme als vollständig kompromittiert zu betrachten und später neu aufzusetzen. Auch sämtliche Zugangsdaten, die auf verseuchten Rechnern gespeichert sind oder später eingegeben wurden, sollten Sie als kompromittiert betrachten. Dies umfasst unter anderem Webbrowser, E-Mail-Clients, RDP/VNC-Verbindungen sowie andere Anwendungen wie PuTTY, FileZilla, WinSCP und andere.
Auch und gerade im Falle einer Kompromittierung des Active Directory (AD) empfiehlt das BSI, das gesamte Netzwerk als verseucht zu betrachten. Es muss dann im Nachgang neu aufgebaut werden.
3. Laufende Backups stoppen
Ein Backup wird Ihnen später nicht viel bringen, wenn auch dieses verseucht ist. Prüfen Sie auch, ob Sie über aktuelle und saubere Backups verfügen. Idealerweise bewahren Sie Ihre Backups offline auf.
4. Situation dokumentieren
Sammeln Sie Informationen darüber, wie die aktuelle Lage ist, was konkret bisher passiert ist und wie sich der Angriff bisher rekonstruieren lässt:
5. Externe Hilfe für die forensische Aufarbeitung beauftragen
IT-Forensiker und Incident-Response-Spezialisten helfen Ihnen dabei, alle relevanten Daten zu finden, digitale Spurensicherung durchzuführen und die Lage zu analysieren.
Dazu werden Netzwerk- und Systemprotokolle, Logdateien, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen gesichtet und ausgewertet. Auch Mitarbeitende und andere Zeugen werden möglicherweise befragt. So entsteht ein genaues Bild von Ausmaß und Art des Angriffs.
Diese Informationen sind nicht nur für die Aufarbeitung und spätere Wiederherstellung wichtig, sondern auch für das Stellen einer eventuellen späteren Strafanzeige.
Was, wenn ich erpresst werde?
Gehen Sie grundsätzlich nicht auf die Erpressung ein und zahlen Sie kein Lösegeld. Es ist sehr unsicher, ob dies ihr Problem lösen würde, und es motiviert Kriminelle dazu, neue Angriffe zu starten.
Welche Cyberangriffe sind meldepflichtig?
Angriffe müssen gemeldet werden, wenn relevante Datenschutzverletzungen vorliegen. In diesem Fall müssen Sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Melden Sie den Vorfall auch der Allianz für Cybersicherheit. Gemeldete Vorfälle werden dort anonymisiert erfasst und die Informationen genutzt, um andere Unternehmen zu warnen.
Zudem müssen Sie in besonders risikoträchtigen Fällen auch die konkret betroffenen natürlichen Personen, also beispielsweise Mitarbeiter, Kunden oder Newsletter-Empfänger in verständlicher Art über die betroffenen Dateninhalte, das Missbrauchspotenzial sowie die eigenen ergriffenen Schutzmaßnahmen informieren.
Betreiber kritischer Infrastrukturen und andere meldepflichtige Unternehmen unterliegen anderen Bestimmungen und müssen IT-Sicherheitsvorfälle in jedem Fall melden.
Nach dem Angriff ist vor dem Angriff
Es kommt nicht selten vor, dass Unternehmen mehrmals Opfer eines Cyberangriffs werden. Betrachten Sie einen IT-Vorfall deshalb immer auch als Möglichkeit, Lücken in Ihrer Umgebung zu finden und aus Fehlern zu lernen.
Beginnen Sie damit, Ihre IT-Systeme nach einem Cyberangriff besonders intensiv zu überwachen und außergewöhnliche Aktivitäten aufzuspüren. So können Sie erneute Angriffe verhindern.
Bereiten Sie sich auf den nächsten Angriff vor, in dem Sie den die Informationen aus dem nächsten Punkt beachten. Grundsätzlich gilt: Stillstand ist gefährlich – entwickeln Sie Ihre Umgebung und Ihre Prozesse kontinuierlich weiter.
Cyberattacke: Vorbereitung auf den Ernstfall
Eine Cyberattacke kann Sie jederzeit (wieder) treffen. Es ist deshalb wichtig, dass sie immer in der Position sind, schnell und zielsicher auf einen solchen Angriff zu reagieren. Ein gutes Notfallmanagement ist die hier die Grundlage. Stellen Sie sich die folgenden Fragen:
Organisation
Technik
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
