07.10.2024 • Topstory

BVSW veröffentlicht „Leitfaden Cyberangriff“

Wird ein Unternehmen Opfer einer Cyberattacke, ist schnelles Handeln entscheidend für die Begrenzung des Schadens. Der BVSW hat einen Leitfaden entwickelt, mit dem Unternehmen durch die Krise navigieren können. „Der BVSW informiert regelmäßig über die aktuellen Cyberrisiken. Wir wissen aber auch, dass es keine absolute Sicherheit geben kann. Aus diesem Grund haben wir den Leitfaden Cyberangriff entwickelt“, so BVSW-Geschäftsführerin Caroline Eder. „Das Dokument lässt sich von der BVSW-Website herunterladen und ausdrucken, damit die wichtigsten Informationen auch dann greifbar sind, wenn die IT stillsteht.“

Der Zugang zu internen Systemen ist gesperrt, sensible Kunden- und Mitarbeiterdaten sind verschlüsselt – ist ein Unternehmen von einem Cyberangriff betroffen, geht oft gar nichts mehr. Ruhe zu bewahren, ist das oberste Gebot, auch wenn es in einer solchen Situation schwerfällt. Cyberkriminelle setzen ihre Opfer gezielt unter Druck, um sie zu überstürzten Handlungen zu verleiten, wie zum Beispiel der Installation einer vermeintlichen Entschlüsselungssoftware. Diese kann jedoch noch mehr Schaden anrichten, anstatt die Daten wieder freizugeben. Was also tun, um aus der Krise herauszukommen?

Technische Sofortmaßnahmen

Aus technischer Sicht muss schnell dafür gesorgt werden, dass sich ein Schadcode nicht weiter ausbreiten kann. Dazu sollten die betroffenen Geräte nicht ausgeschaltet, sondern physikalisch vom Netzwerk getrennt werden, indem die LAN-Verbindung getrennt und WLAN und Bluetooth deaktiviert werden. Auch Backups sollten sofort vom Netzwerk getrennt werden, damit der Angriff diese nicht beeinträchtigen kann.

Krisenstab einberufen

Beim Krisenstab laufen alle Informationen zusammen, um das Unternehmen sicher durch die Ausnahmesituation zu führen. Die IT-Leitung sollte im Krisenstab vertreten sein, ebenso wie der Datenschutzbeauftragte. Ein Vertreter der Rechtsabteilung sollte die Erstellung einer Strafanzeige koordinieren und mögliche Haftungsfragen frühzeitig klären. Auch der Betriebsrat und die Geschäftsführung müssen eingebunden werden. Wichtig ist, dass nur über eine Stelle nach außen kommuniziert wird, um Fehlinformationen und Spekulationen zu vermeiden.

Meldepflichten beachten

Unternehmen, die von einer Cyberattacke betroffen sind, müssen bestimmte Meldepflichten beachten. Sind personenbezogene Daten abgeflossen, so muss nach DSGVO die zuständige Aufsichtsbehörde informiert werden. Betreiber Kritischer Infrastrukturen sind verpflichtet, den Vorfall dem Bundesamt für Sicherheit der Informationstechnik (BSI) zu melden. Auch betroffene Personen, deren Daten abgeflossen sind, müssen darüber in Kenntnis gesetzt werden. Unternehmen sollten vorab das Missbrauchspotential der gestohlenen Daten abklären und zusätzlich über ihre getroffenen Schutzmaßnahmen informieren. Neben den gesetzlichen Meldepflichten sind eventuell noch vertragliche Pflichten gegenüber Partnern zu berücksichtigen. Sofern eine Cyberversicherung besteht, ist diese ebenfalls unverzüglich zu informieren.

Externe Unterstützung annehmen

Eine Cyberattacke ist eine Ausnahmesituation, in der sich die Verantwortlichen schnell überfordert fühlen können. Spezialisierte IT-Dienstleister können dabei helfen, den Normalbetrieb wieder aufzunehmen. Eine Liste qualifizierter ATP-Response-Dienstleister findet sich auf der Website des BSI.

Die Landeskriminalämter haben spezialisierte Anlaufstellen eingerichtet. Die Zentrale Ansprechstelle Cybercrime (ZAC) unterstützt Geschädigte bei der Beweissicherung und Anzeigenerstattung. Ist die Wiederherstellung der Systeme von herausragendem öffentlichen Interesse, ist das BSI der richtige Ansprechpartner.

Auch Sicherheitsverbände wie der BVSW stehen in engem Kontakt mit den Sicherheitsbehörden und verfügen über ein starkes Netzwerk. Neben IT-Experten finden sich hier auch erfahrene Verhandlungsprofis für die Kontaktaufnahme mit IT-Kriminellen.

Lösegeld zahlen?

Bei Ransomware-Attacken fordern die Erpresser ein Lösegeld (engl.: Ransom), gegen das verschlüsselte Daten wieder freigegeben werden sollen. Eine Garantie dafür gibt es natürlich nicht. Unabhängig von der Entscheidung auf die Forderungen einzugehen, sollten Unternehmen niemals direkt mit den Erpressern verhandeln. Es geht hier um Verhandlungen mit Kriminellen und die gestalten sich meist anders als jene im alltäglichen Geschäftsleben. Deshalb sind in diesen Fällen speziell geschulte und erfahrene Experten erforderlich.

Das BSI und die Polizei raten von Lösegeldzahlungen ab, weil diese eine Finanzierung krimineller Aktivitäten darstellen. Vor einer möglichen Zahlung sollten deshalb die rechtlichen Konsequenzen mit den zuständigen Ermittlungsbehörden und der eigenen Rechtsabteilung geklärt werden.

Beweise sichern und Systeme wiederherstellen

Eine digitale Beweissicherung ist Voraussetzung, um Umfang und Art des Angriffs besser einschätzen und strafrechtliche Ermittlungen durchführen zu können. Ist die notwendige Kompetenz zur Beweissicherung im Unternehmen nicht vorhanden, sollten Experten, z. B. die ZAC, hinzugezogen werden.

Weil Schadprogramme tiefgreifende Änderungen an den infizierten Systemen vornehmen, sollten diese komplett neu aufgesetzt werden. Darüber hinaus ist es wichtig, den Infektionsvektor und die Angriffskette genau zu identifizieren, um mögliche Schwachstellen für die Zukunft zu beheben. Alle Anwender müssen neue Log-in Daten und Passwörter erhalten. Langfristig sollte auch das Active Directory (AD) neu aufgesetzt werden.

BVSW-Cyberherbst

Damit Unternehmen erst gar nicht Opfer einer Cyberattacke werden, bietet der BVSW viele Schulungen zum Thema Cybersicherheit und veranstaltet alljährlich den Cyberherbst. Diese Informationskampagne beleuchtet die aktuelle Bedrohungslage und erklärt die wichtigsten Angriffsvektoren. In Workshops können die Teilnehmerinnen und Teilnehmer ihr Wissen vertiefen, um es anschließend im eigenen Unternehmen anzuwenden. Der Cyberherbst findet auch in diesem Jahr in Kooperation mit der ZAC des Bayerischen Landeskriminalamtes statt. Insgesamt werden im Zeitraum vom 30.09.2024 bis 12.11.2024 sieben zum Teil kostenfreie Veranstaltungen online und in Präsenz angeboten. 

Business Partner

Logo:

BVSW Bayerischer Verband für Sicherheit in der Wirtschaft e.V.

Albrechtstr. 14
80636 München
Deutschland

Kontakt zum Business Partner







Meist gelesen