Erste Hilfe bei einem Cyber-Notfall
Ein Cybernotfall tritt ein. Bedeutet: Das IT-System eines Unternehmens ist gehackt worden, oder ein Virus hat von einem PC Besitz ergriffen. Ist das Kind erst einmal in den Brunnen gefallen, heißt es: Ruhe bewahren. Je nach Gegebenheiten der betroffenen IT und nach Art des Angriffs, müssen unterschiedliche Maßnahmen ergriffen werden – und das manchmal rasend schnell. Die Cybersicherheitsagentur Baden-Württemberg hat Erste-Hilfe-Maßnahmen für einen Cybernotfall zusammengefasst.
Zunächst ist Ruhe bewahren wie bereits erwähnt das Gebot der Stunde. Übereilte Entscheidungen helfen meist niemandem. Der oder die Mitarbeiter sollten sofort das Arbeiten am betroffenen Gerät einstellen, um es nicht weiter zu belasten. Alles sollte genau dokumentiert werden. Die Mitarbeiter müssen den Angriff sofort melden, entweder dem IT-Verantwortlichen oder dem Vorgesetzten.
Mitarbeiter muss Fragen beantworten
Wenn der Cyberangriff gemeldet wird, sollten folgende Informationen entsprechend der unternehmenseigenen Alarmplanung weitergegeben werden: Name, Abteilung und Funktion desjenigen, der sich meldet. Die Frage ist weiterhin, welches IT-System betroffen ist. Der Mitarbeiter sollte kommunizieren, wie und in welchem Umfang er vor dem Vorfall am System gearbeitet hat. Was ist ihm dabei aufgefallen? Wann ist das Problem aufgetreten und schließlich wo steht das betroffene Gerät genau? Das sind ebenfalls Fragen, die der Mitarbeiter beantworten muss.
Sobald die entsprechende Stelle vom Cyberangriff weiß, stehen – nach Meldung und Absprache – meist weiterführende Maßnahmen an. So muss das betroffene Gerät oder das System vom Netzwerk und vom Internet getrennt werden. Der Nutzer verhindert damit, dass eventuell weitere Geräte befallen werden oder noch mehr Schadcodes aus dem Internet nachgeladen werden können. Alle betroffenen Geräte müssen identifiziert werden. Danach muss der Mitarbeiter alle System-Protokolle, Log-Dateien, Notizen, Datenträger und ähnliches sichern.
Alle Aufmerksamkeit gilt den Backups
Nachdem diese wichtigsten Vorgänge abgeschlossen sind, bietet es sich an, weitere Aspekte abzuklären. Die Frage ist beispielsweise, ob Behörden, die Polizei oder Fachexperten hinzugezogen werden müssen. Es könnte auch sein, dass eine Melde- oder Informationspflicht gegenüber Dritten besteht. Die bisher durchgeführten Maßnahmen sollten kontinuierlich abgestimmt und dokumentiert werden. Bedeutsam ist es, den Fokus auf vorrangig zu schützende Prozesse zu legen.
Sehr wichtig außerdem: Wurden vor dem Vorfall Backups erstellt und sind diese geschützt? Das Unternehmen muss in der Folge prüfen, ob die Schwachstelle der Systeme bereits bekannt war und ob schon Maßnahmen veranlasst wurden, um die Schwachstelle zu tilgen. Letztendlich muss das Unternehmen alle relevanten Zugangsberechtigungen zu Accounts prüfen.
Weitere Informationen gibt es hier: www.bsi.bund.de und/oder www.allianz-fuer-cybersicherheit.de
Autor:
Stefan Lanz
Ich bin IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Ich bin IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu mir finden Sie hier.
