Cyberangriffe: Was tun im Fall der Fälle

Peter-2

Gastbeitrag von Peter Alexander, CMO, Check Point

 

Das ist der Anruf, vor dem es IT-Teams graut: Ein Mitarbeiter berichtet, der Bildschirm seines PCs blinke rot, eine Nachricht teile ihm mit, seine Dateien seien verschlüsselt worden und er müsse ein Lösegeld zahlen, um sie entschlüsselt zurück zu erhalten. Was sollte nun geschehen?

Die Maßnahmen, die das Unternehmen dann in den folgenden Minuten – und Stunden – ergreift, sind ausschlaggebend dafür, wie schwer – oder gering – die Folgen des Cyberangriff sein werden. Darüber hinaus hat ein Cyberangriff nicht nur negative Auswirkungen auf die physischen IT-Systeme des Unternehmens: Er verursacht auch Stress und setzt Mitarbeiter unter Druck.

Eine aktuelle Publikation der Universität Haifa zeigte, dass Cyberangriffe erhebliche psychologische Auswirkungen auf das gesamte Personal haben, weil sie das Angst-, Stress- und Panikniveau steigern – was dann dazu führen kann, dass Fehler gemacht werden, die wiederum weitere Schäden verursachen können. Wie sollten Unternehmen also vorgehen, um diese menschliche, panische und emotionale Reaktion auf Cybervorfälle zu verhindern und eine besser abgestimmte, konditionierte Verhaltensweise zu entwickeln?

Training ist nie vergebens

Ein Paradebeispiel ist die strenge Ausbildung für Verkehrspiloten im Umgang mit unerwarteten Ereignissen: Sie erhalten umfangreiche Checklisten und Abläufe, die praktisch jede Eventualität abdecken: von auslaufendem Treibstoff über Maschinenausfall bis hin zu strukturellen Schäden. Und diese Abläufe werden immer und immer wieder geübt, sowohl in Simulatoren als auch unter Flugbedingungen, so dass die Reaktion der Piloten in einer echten Notsituation zu einer automatischen Reflexhandlung wird. Folglich ist die erste Handlung von Pilot und Copilot, wenn sich ein Vorfall ereignet, das Abschalten des Warnalarms, so dass sie klar denken und damit beginnen können, die entsprechende Checkliste durchzugehen.

Unternehmen müssen eine ähnlich straffe Planung vornehmen, damit sie schnell und präzise auf Verstöße oder Angriffe reagieren können. Sie sollten einen Incident-Response-(IR) Plan erstellen und ein IR-Team aufbauen, zu dem alle relevanten internen Interessengruppen gehören – wie IT- und Sicherheitsspezialisten, HR- und PR-Teams, und darüber hinaus in manchen Fällen auch externe Spezialisten. Vorbereitung alleine reicht allerdings nicht aus: die Durchführung des Plans muss anhand realistischer Übungen trainiert werden. Nachstehend finden Sie fünf entscheidende Schritte, die Organisationen helfen sollen, schnellere, wirksamere Reaktionen zu entwickeln, und die Sie in einer Schulungsübung oder im Zuge eines realen Vorfalls befolgen sollten.

  1. Erkennen des eintretenden Vorfalls

Der entscheidende erste Schritt besteht darin, dass das Personal den Angriff ernst nehmen und schnell, aber ohne Panik handeln sollte. Denken Sie an die ideale Reaktion auf einen Feueralarm in einem Bürogebäude: Jeder sollte unverzüglich alles liegen und stehen lassen und sich sofort zum Ausgang begeben, ohne sich damit aufzuhalten, seine Hab und Gut zu retten oder den Schreibtisch zu leeren. Einem Cybervorfall sollte die gleiche prompte Aufmerksamkeit und der gleiche Fokus zuteilwerden. Sobald er erkannt wurde, müssen alle Mitarbeiter ruhig und zügig gewarnt werden und eindeutige, ruhige Anweisungen zu ihrem weiteren Vorgehen erhalten. Das kann ganz einfach bedeuten, sich vom Schreibtisch zu entfernen oder die PCs oder Geräte abzuschalten.

  1. Bündeln Sie die Ressourcen, die sie brauchen

Konkret heißt das, die Sicherheitsinstrumente und -technologien sowie das geschulte Personal, aus dem sich die Sicherheitsinfrastruktur Ihrer Organisation zusammensetzt, mobilisieren und ihren Fokus auf die Abmilderung des Vorfalls richten. Natürlich muss in dieser Phase nicht das gesamte Personal involviert werden, es geht vielmehr darum, die richtige Erfahrung und Expertise zu bündeln – und das schnell. In Ihrem IR-Plan sollte festgelegt sein, welche Mitarbeiter mit einbezogen werden müssen, und ob externe Sicherheitsressourcen genutzt werden sollten.

Natürlich ist die Bündelung einer Kombination aus Tools und Fähigkeiten nicht billig. Aber die Investitionen und die Zeit, die für den Aufbau wirksamer Abwehrmechanismen erforderlich sind, verblassen neben den realen Kosten für die Eindämmung des unmittelbaren Schadens und der anschließenden Folgen eines Cyberangriffs. Der Ransomware-Angriff NotPetya im Sommer 2017 hat das globale Logistikunternehmen FedEx schätzungsweise 300 Millionen US-Dollar an Umsatzeinbußen und Sanierungskosten gekostet, und der Pharma-Riese Merck & Co erklärte, NotPetya wäre bei ihnen mit rund 135 Millionen US-Dollar zu Buche geschlagen. Wenn Unternehmen also im Durchschnitt zwei Cyberangriffe pro Woche erleben, wird deutlich, dass es wesentlich besser ist, in die Abwehr von Angriffen zu investieren, als die weitaus höheren Kosten für eine Sanierung nach einem Vorfall zu zahlen.

  1. Führen Sie Ihren IR-Plan durch

Dies ist die aktive Phase, in der Sie Ihren IR-Plan Schritt für Schritt durcharbeiten sollten, um die Art des Angriffs zu bestimmen, festzustellen, wie er Ihre Abwehrmaßnahmen verletzt hat, wie er isoliert werden kann und wie der Schaden gemildert werden kann. Für Unternehmen, die keinen IR-Plan unterhalten, ist es am besten, in dieser Phase externe Spezialisten hinzuzuziehen: Für die Zukunft finden Sie hier jedoch eine Checklistet  mit den Aspekten, die der Plan enthalten sollte, sowie mit den wichtigen Dos und Don’ts, die bei der Ausarbeitung eines Plans für Ihr Unternehmen zu beachten sind.

  1. Kommunizieren Sie

Nur allzu oft stellen Unternehmen ihre Aktivitäten bei der dritten Phase ein. Dabei ist es, wenn es um einen Angriff geht, äußerst wichtig, zu kommunizieren – nicht nur mit all Ihren internen Stakeholdern und Mitarbeitern, sondern, wo nötig, auch mit externen Interessensgruppen, wie Partnern, Kunden und Investoren. Mittlerweile hat sich das zu einer allgemeinen Anforderung entwickelt: Die bevorstehende Datenschutz-Grundverordnung (DSGVO) verlangt beispielsweise, dass Cyberangriffe innerhalb von 72 Stunden, nachdem ein Datenverstoß festgestellt wurde, nach außen kommuniziert werden muss. Alle Interessensgruppen innerhalb und außerhalb Ihres Unternehmens müssen verstehen, was passiert ist und welche Folgen es für sie hat – in einer Sprache, die dem Niveau ihres technischen Verständnisses entspricht.

Dies ist ein Stadium für Spezialisten, das Ihrem Kommunikationsteam vorbehalten sein sollte. Die jüngsten Enthüllungen über den Cyber-Verstoß bei Uber 2016 und die anschließende Vertuschung sind eine Lektion zum Thema, wie man nicht kommuniziert – und zu den Konsequenzen, die sich daraus ergeben können.

  1. Lernen Sie

Einmal mehr ist dies ein wirklich wichtiges Element der IR, das oft vernachlässigt wird. Jeder Cyberangriff sollte beim betroffenen Unternehmen ernsthafte Lektionen auslösen. Nach einem Angriff sollten aktive Schritte unternommen werden, um die Schwachstelle zu schließen, das angewandte Verfahren zu verändern und zu verbessern, alle Mitarbeiter, die einen Fehler gemacht haben könnten, neu zu schulen und einen IR-Plan einzurichten oder einen vorhandenen IR-Plan zu aktualisieren. Durch die Unfähigkeit zu lernen und Maßnahmen zur Verbesserung des Internetschutzes zu ergreifen, nachdem ein Angriff stattgefunden hat, laufen Unternehmen Gefahr, dass ähnliche Angriffe erneut sattfinden können.

  1. Fazit

Bei einer wirksamen Vorfallreaktion dreht sich alles um Schulung und Training. Die Entwicklung eines IR-Plans und seine Aktualisierung erfordern Zeit und Investitionen – während eines Cyberangriffs macht sich diese Investition jedoch bezahlt. Egal, ob Sie sich entschließen, Ihren IR intern zu handhaben oder externes Knowhow hinzuzuziehen, wichtig ist, dass Sie jetzt einen Plan erstellen und ihn auf mögliche Angriffsszenarien prüfen. Das hilft, Panik während eines Angriffs zu vermeiden und den Schaden und die Folgen des Vorfalls zu begrenzen. Außerdem sorgen Sie so dafür, dass Ihr Unternehmen so schnell wie möglich wieder zur Normalität zurückkehren kann.