Ein Cyberangriff – und was jetzt? Schnelles Handeln ist aus Expertensicht ebenso wichtig wie Ruhe bewahren. Wo lauern Fallstricke? Wer sollte wie involviert sein? Und wie kann man möglichst gut vorbeugen?
Die Einfallstore für Cyberkriminelle ins Unternehmensnetzwerk sind vielfältig: ungepatchte Systeme, falsch konfigurierte Sicherheitskomponenten, fehlende Updates oder Mitarbeitende, die in einer Phishing-Mail den Anhang mit Schadsoftware öffnen. Auch ganzheitliche Schutzkonzepte sind kein Garant dafür, dass Cyberkriminelle nicht ins Netzwerk gelangen. Nach Schätzungen des Branchenverbandes Bitkom lag der Schaden durch Cyberangriffe in Deutschland im Jahr 2023 bei mehr als 148 Milliarden Euro — Tendenz steigend.
Woran aber erkennt man, dass es sich tatsächlich um einen IT-Notfall handelt? Ein schwarzer Bildschirm mit einer Lösegeldforderung und verschlüsselte Dateien schaffen die letzte Gewissheit für eine Ransomware-Attacke. Dabei ist es wichtig, immer das Gesamtbild im Blick zu haben, um eine harmlose, kurzfristige Störung von einem Cyberangriff unterscheiden zu können. Denn beides deckt die Aussage „Ich komme gerade nicht an die Listen auf dem Dateiserver“.
Alle sollten für einen Cyberangriff sensibilisiert sein
Generell gilt: IT-Verantwortliche sollten ein klares Bild davon haben, welche Aktivitäten im Netzwerk normal und welche ungewöhnlich sind. Aber auch alle anderen Mitarbeitenden sind gefragt: Schließt sich ein Anhang automatisch kurz nach der Öffnung, kann dies darauf hinweisen, dass das System kompromittiert wurde.
Ist das Worst-Case-Szenario eingetreten und das Netzwerk mit Malware befallen, braucht es Incident-Response-Fachleute. Die IT-Spezialisten helfen nach einer Cyberattacke, die Folgen des Angriffs zu minimieren und schnell wieder handlungsfähig zu werden.
Bei einem Erstkontakt mit dem Fachpersonal sind folgende Fragen zentral:
- Um welche Organisation handelt es sich — gehört man beispielsweise zu KRITIS?
- Was ist passiert? Oder: Was passiert gerade?
- Wie ist der Vorfall aufgefallen?
Wer handlungsfähig bleiben und gut auf den Einsatz der Fachleute vorbereitet sein möchte, sollte den internen und externen Netzverkehr sofort unterbrechen, die Back-ups prüfen und bereitstellen. Außerdem sollten Verantwortliche gegebenenfalls lokale Behörden informieren und Strafanzeige stellen.
Die Hilfe von ausgewiesenen Experten ist kostspielig. Trotzdem sind eigene Reparaturversuche wenig hilfreich. Dies kann die Aufklärung des Infektionshergangs verzögern und behindern. Verantwortliche sollten die Systeme nur in Absprache und kontrolliert herunterfahren, um forensische Spuren nicht zu zerstören.
Sollte man bei einem Cyberangriff Lösegeld zahlen?
Verschlüsselte Daten und Lösegelderpressung sind ein Schock. Trotzdem sollten Unternehmen kein Lösegeld zahlen, geschweige denn ohne kompetente Unterstützung mit den Erpressern verhandeln.
Häufig suchen Vorgesetzte bei einer Cyberattacke in der Belegschaft nach einem Schuldigen. Solche Schuldzuweisungen helfen aber nicht weiter und schaffen ein Klima der Angst. Mitarbeitende müssen sich trauen können, Fehler wie den Klick auf eine Phishing-Mail zuzugeben, und dürfen dafür keine drastischen Konsequenzen fürchten.
Verhindern lässt sich ein Angriff nicht, aber Organisationen sollten es den Angreifern so schwer wie möglich machen, indem sie ihre IT-Infrastruktur bestmöglich schützen und die potenziellen Auswirkungen dabei minimieren. Dazu gehört nicht nur, dass alle Systeme auf dem aktuellen Patchlevel sind. Entscheidend ist auch, dass sämtliche Sicherungsmaßnahmen und Prozesse dem Stand der Technik entsprechen und in regelmäßigen Abständen auf Schwachstellen untersucht werden.
Training für den Ernstfall
Auch die Mitarbeitenden sollten in die IT-Sicherheitsstrategie einbezogen werden und mit den Angriffswegen krimineller Hacker vertraut sein. Das gelingt durch Security Awareness Trainings, die alle — vom Auszubildenden bis zur Geschäftsleitung — absolvieren. Zudem helfen regelmäßige praktische Schulungen dabei, den Ernstfall wie bei einer Brandschutzübung zu simulieren.
Die erlernte Routine sorgt im IT-Notfall dafür, alle wichtigen Schritte einzuleiten und niemanden zu vergessen. Zudem sollte eine zentrale Ansprechperson oder Stabstelle im Unternehmen jedem Mitarbeitenden bekannt sein. Schließlich ist ein Notfallhandbuch unumgänglich, das bereits verschiedene Szenarien berücksichtigt, in dem auch Vorlagen für Dokumente angelegt und Meldewege beschrieben sind.
Der Autor
Tim Berghoff ist Security Evangelist bei G Data CyberDefense AG.
Tim Berghoff