Der Survival Guide für die digitale Katastrophe

CyberkriminalitätSicherheit

Kein Unternehmen kann sich zu 100 Prozent vor Cyberkrime schützen. Matthias Maier, Security Evangelist bei Splunk glaubt, dass Unternehmen, die gut vorbereitet sind, dennoch die Auswirkungen besser in den Griff bekommen können.

Hotels können keine elektronischen Zimmerkarten mehr für ihre Gäste ausstellen, weil ihre Systeme von Ransomware befallen sind. Privatpersonen haben keinen Zugriff mehr auf ihr Online-Banking, weil die Server ihrer Bank einem Hack zum Opfer wurden.

(Bild: Splunk)
(Bild: Splunk)

Die Liste an bekannt gewordenen Hackerangriffen ist lang.

Klar ist: Es kann jeden treffen. Unternehmen müssen sich für solche Situationen wappnen, um den Schaden von Angriffen zu verringern und um dafür zu sorgen, dass keine negativen Schlagzeilen entstehen.

Zwei Beispiele in Sachen Krisenbewältigung

Der Deutsche Bundestag wurde 2015 Opfer eines Hacks. Anfang Mai 2015 drang der Vorfall dann an die Öffentlichkeit. Es folgten mehrere Wochen negativer Berichterstattung, die den Vorfall detailliert darlegte und stets um neue Erkenntnisse erweiterte. Am 10. Juni schrieb die Süddeutsche Zeitung (SZ), dass die Situation immer noch nicht unter Kontrolle sei, es möglicherweise noch aktive Malware gäbe und niemand sagen könne, ob Daten verloren gegangen seien. Das meiste Aufsehen erregte dann ein Bericht der SZ vom 14. Juni. Demnach war die gesamte digitale Umgebung des Bundestags derart in Mitleidenschaft gezogen worden, dass sie vollständig ersetzt werden musste.

Ein besseres Beispiel: Kaspersky Labs, eine IT-Sicherheitsfirma aus Moskau, die vor allem für ihre Anti-Virus-Software bekannt ist. So räumte das Unternehmen im Juli 2015 ein, von einem anderen Land aus gehackt worden zu sein. Kaspersky machte in einem Blogpost öffentlich, wie groß der Schaden war und ob Kundendaten gestohlen worden waren. Außerdem gab das Unternehmen alle Details des Cyberangriffs preis.

Matthias Maier, Security Evangelist bei Splunk, ist Autor dieses Gastbeitrages. (Bild: Splunk)
Matthias Maier, Security Evangelist bei Splunk, ist Autor dieses Gastbeitrages. (Bild: Splunk)

So konnten Sicherheitsexperten weltweit ihre eigenen Netzwerke analysieren, um sicherzugehen, nicht selbst befallen zu sein. Es gab eine weltweite Berichterstattung über den Vorfall und die allgemeine Auffassung war, dass Kaspersky die Situation ausgezeichnet bewältigt hatte.

Beide Beispiele machen deutlich: Um Cyberattacken zu überstehen, braucht es nicht nur eine gute Firewall, sondern auch einen Krisenplan, der alle digitalen Risiken effektiv abdeckt. Unternehmen müssen genau wissen, was im Falle eines Cyberhacks geschieht, welche Ressourcen und Fähigkeiten benötigt werden und wer beteiligt sein soll.

In den Schlagzeilen

Angenommen ein Unternehmen erfährt aus den Nachrichten davon, kompromittiert worden zu sein. Vielleicht wurden seine Kundendatenbank oder die neuesten Design-Pläne eines Produkts im Internet veröffentlicht, vielleicht auch Services durch Ransomware blockiert. Meist hört das Marketingteam als erstes aus sozialen Netzwerken oder Nachrichtenseiten davon.

Dann treten seitens der Kunden, Mitarbeiter, Presse und Stakeholder in der Regel immer dieselben Fragen auf:

  • Wurde das Unternehmen wirklich angegriffen?
  • Was ist passiert?
  • Wer ist betroffen?
  • Was wurde bisher getan, um das Risiko zu beseitigen?
  • Wo war der Schwachpunkt?
  • Was ist zu tun, damit so etwas nicht noch einmal passiert?

Das Management und ein Krisenteam nehmen sich schließlich der Fragen an. Das Team besteht in der Regel aus Mitarbeitern aus dem Marketing, der internen Kommunikation, der Rechtsabteilung und dem Chief Information Officer (CIO).

Die Untersuchungsphase

Im ersten Schritt muss der CIO gemeinsam mit seinem IT-Operations- und IT-Sicherheitsteam genauestens überprüfen, was in den Medien berichtet wurde beziehungsweise wird. Anschließend gilt es zu identifizieren, wo die öffentlich gemachten Informationen im System gespeichert, beziehungsweise wo die unterbrochenen Services gehostet werden.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Teams müssen schnell tausende Datenpunkte analysieren können, um die Untersuchung voranzutreiben und alles über die involvierten Systeme und Applikationen zu erfahren. Was es dafür braucht: Maschinendaten, die zentral gespeichert sind und eine Analytics-Fähigkeit, die mehrere Nutzer verwenden können.

Ist beides gegeben, kann das IT-Security-Team betroffene Systeme und Schwachstellen in der Sicherheitsarchitektur identifizieren und überprüfen, ob andere Daten ebenfalls betroffen sind. Ziel ist es, festzustellen, was alles passiert ist. Große Unternehmen verfügen hierfür über ein sogenanntes Computer Emergency Response Team (CERT). Stehen diese Ressourcen nicht zur Verfügung, müssen meist entweder Mitarbeiter der eigenen IT-Abteilung oder Externe einspringen.

Den Wiederaufbau vorbereiten  

Die während der Untersuchungsphase gesammelten Informationen sind entscheidend, bevor es ans “Aufräumen” und an die externe Kommunikation geht. Kann diese Phase die oben genannten Fragen nicht beantworten, ist sie noch nicht abgeschlossen. Die Situation verschlimmert sich sogar, weil bruchstückhaft einzelne Informationen an die Öffentlichkeit geraten und das Unternehmen über lange Zeit im Fokus der Medien steht. Ist die erste Phase aber abgeschlossen, gilt es, zwei entscheidende Punkte zu beachten.

Erstens muss das Unternehmen die passenden Schritte veranlassen, um wieder einen Schutz für Kunden und Mitarbeiter zu gewährleisten. Dazu gehören zum Beispiel notwendige Passwortwechsel. Zweitens ist die richtige Kommunikation notwendig. Während einer Krise ist das Management eines Unternehmens immer stärker unter Druck, je weniger Antworten und Erklärungen es parat hält.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Während der Investigationsphase muss aber sorgfältig gearbeitet werden, und das kann dauern – je nachdem, wie gut die IT-Teams aufgestellt sind, wenige Stunden bis mehrere  Monate. Es entsteht der Druck, zu früh einen finalen Report zu veröffentlichen, obwohl es noch an entscheidenden Informationen fehlt. Achtung, Trugschluss: Das Unternehmen steht dann nicht weniger im Fokus der Medien, sondern noch viel länger!

Unternehmen inmitten ihrer digitalen Transformation müssen wissen, welche Werkzeuge und Ressourcen sie benötigen, um sich gegen einen Cyberangriff zu wehren. Doch Werkzeuge alleine genügen nicht: Es bedarf ebenfalls festen Prozessen, um unter anderem die unausweichliche Krisenkommunikation zu meistern. Eine zentrale Plattform, die alle Log-Dateien von digitalen Komponenten sammelt, speichert und anschließend analysieren lässt, sollte die Basis jeder Bedrohungsreaktion sein. Nur Unternehmen, die agil sind und die Ursache eines Problems schnell erkennen, meistern die Krise.