BVSW veröffentlicht „Leitfaden Cyberangriff“

Der Zugang zu internen Systemen ist gesperrt, sensible Kunden- und Mitarbeiterdaten sind verschlüsselt – ist ein Unternehmen von einem Cyberangriff betroffen, geht oft gar nichts mehr. Ruhe zu bewahren, ist das oberste Gebot, auch wenn es in einer solchen Situation schwerfällt. Cyberkriminelle setzen ihre Opfer gezielt unter Druck, um sie zu überstürzten Handlungen zu verleiten, wie zum Beispiel der Installation einer vermeintlichen Entschlüsselungssoftware. Diese kann jedoch noch mehr Schaden anrichten, anstatt die Daten wieder freizugeben. Was also tun, um aus der Krise herauszukommen?

Technische Sofortmaßnahmen

Aus technischer Sicht muss schnell dafür gesorgt werden, dass sich ein Schadcode nicht weiter ausbreiten kann. Dazu sollten die betroffenen Geräte nicht ausgeschaltet, sondern physikalisch vom Netzwerk getrennt werden, indem die LAN-Verbindung getrennt und WLAN und Bluetooth deaktiviert werden. Auch Backups sollten sofort vom Netzwerk getrennt werden, damit der Angriff diese nicht beeinträchtigen kann.

Krisenstab einberufen

Beim Krisenstab laufen alle Informationen zusammen, um das Unternehmen sicher durch die Ausnahmesituation zu führen. Die IT-Leitung sollte im Krisenstab vertreten sein, ebenso wie der Datenschutzbeauftragte. Ein Vertreter der Rechtsabteilung sollte die Erstellung einer Strafanzeige koordinieren und mögliche Haftungsfragen frühzeitig klären. Auch der Betriebsrat und die Geschäftsführung müssen eingebunden werden. Wichtig ist, dass nur über eine Stelle nach außen kommuniziert wird, um Fehlinformationen und Spekulationen zu vermeiden.

Meldepflichten beachten

Unternehmen, die von einer Cyberattacke betroffen sind, müssen bestimmte Meldepflichten beachten. Sind personenbezogene Daten abgeflossen, so muss nach DSGVO die zuständige Aufsichtsbehörde informiert werden. Betreiber Kritischer Infrastrukturen sind verpflichtet, den Vorfall dem Bundesamt für Sicherheit der Informationstechnik (BSI) zu melden. Auch betroffene Personen, deren Daten abgeflossen sind, müssen darüber in Kenntnis gesetzt werden. Unternehmen sollten vorab das Missbrauchspotential der gestohlenen Daten abklären und zusätzlich über ihre getroffenen Schutzmaßnahmen informieren. Neben den gesetzlichen Meldepflichten sind eventuell noch vertragliche Pflichten gegenüber Partnern zu berücksichtigen. Sofern eine Cyberversicherung besteht, ist diese ebenfalls unverzüglich zu informieren.

Externe Unterstützung annehmen

Eine Cyberattacke ist eine Ausnahmesituation, in der sich die Verantwortlichen schnell überfordert fühlen können. Spezialisierte IT-Dienstleister können dabei helfen, den Normalbetrieb wieder aufzunehmen. Eine Liste qualifizierter ATP-Response-Dienstleister findet sich auf der Website des BSI.

Die Landeskriminalämter haben spezialisierte Anlaufstellen eingerichtet. Die Zentrale Ansprechstelle Cybercrime (ZAC) unterstützt Geschädigte bei der Beweissicherung und Anzeigenerstattung. Ist die Wiederherstellung der Systeme von herausragendem öffentlichen Interesse, ist das BSI der richtige Ansprechpartner.

Auch Sicherheitsverbände wie der BVSW stehen in engem Kontakt mit den Sicherheitsbehörden und verfügen über ein starkes Netzwerk. Neben IT-Experten finden sich hier auch erfahrene Verhandlungsprofis für die Kontaktaufnahme mit IT-Kriminellen.

Lösegeld zahlen?

Bei Ransomware-Attacken fordern die Erpresser ein Lösegeld (engl.: Ransom), gegen das verschlüsselte Daten wieder freigegeben werden sollen. Eine Garantie dafür gibt es natürlich nicht. Unabhängig von der Entscheidung auf die Forderungen einzugehen, sollten Unternehmen niemals direkt mit den Erpressern verhandeln. Es geht hier um Verhandlungen mit Kriminellen und die gestalten sich meist anders als jene im alltäglichen Geschäftsleben. Deshalb sind in diesen Fällen speziell geschulte und erfahrene Experten erforderlich.

Das BSI und die Polizei raten von Lösegeldzahlungen ab, weil diese eine Finanzierung krimineller Aktivitäten darstellen. Vor einer möglichen Zahlung sollten deshalb die rechtlichen Konsequenzen mit den zuständigen Ermittlungsbehörden und der eigenen Rechtsabteilung geklärt werden.

Beweise sichern und Systeme wiederherstellen

Eine digitale Beweissicherung ist Voraussetzung, um Umfang und Art des Angriffs besser einschätzen und strafrechtliche Ermittlungen durchführen zu können. Ist die notwendige Kompetenz zur Beweissicherung im Unternehmen nicht vorhanden, sollten Experten, z. B. die ZAC, hinzugezogen werden.

Weil Schadprogramme tiefgreifende Änderungen an den infizierten Systemen vornehmen, sollten diese komplett neu aufgesetzt werden. Darüber hinaus ist es wichtig, den Infektionsvektor und die Angriffskette genau zu identifizieren, um mögliche Schwachstellen für die Zukunft zu beheben. Alle Anwender müssen neue Log-in Daten und Passwörter erhalten. Langfristig sollte auch das Active Directory (AD) neu aufgesetzt werden.

BVSW-­Leitfaden Cyberangriffe kostenlos herunterladen