Search
START TYPING AND PRESS ENTER TO SEARCH

lan-wan-telecom.de

Die richtigen Schritte nach einem (erfolgreichen) Angriff auf ein Netz

Auf einer Veranstaltung des Systemhauses Controlware aus dem hessischen Dietzenbach hieß es 2024: „Die Frage ist nicht, ob ein Netz angegriffen wird. Die Frage ist: Wann wird es angegriffen?“ Und auf diesen Fall sollte ein Unternehmen gut vorbereitet sein: Je besser man gewappnet ist, desto geringer sind die Ausfallzeiten und desto weniger wird der Geschäftsbetrieb beeinflusst.

Dabei muss man unterscheiden zwischen zwei unterschiedlichen Ebenen der Reaktion. Auf der einen Seite muss natürlich die verwendete Technik in der Lage sein, das Firmennetz wieder in einen nutzbaren Zustand zurückzuversetzen, Daten wiederherzustellen und die benutzte Schwachstelle für den Angriff zu schließen. Auf der anderen Seite aber muss auch die gesamte Organisation mit den Auswirkungen des Angriffs umgehen können. Kunden und Lieferanten müssen benachrichtig werden, dass Systeme nicht zur Verfügung stehen oder dass sich Lieferungen verzögern können. Wer im Fall eines Falles wann was tut, sollte also schon im Vorfeld en detail festgelegt sein.

Gerade in einem Systemhaus wie Controlware arbeiten Spezialisten, die den Worst Case kennen, und die wissen, wie man technisch wie organisatorisch mit der IT-Katastrophe umgeht und dafür sorgt, dass die Auswirkungen nicht noch größer werden, als sie ohnedies schon sind. Und: diese Spezialisten wissen, wie man die Auswirkungen in einem nächsten Angriffsfall verkleinert, wie man Angriffsflächen verkleinert. Der Besuch eines Experten beispielsweise von Controlware oder auch von der T-Systems, der Telekom-Tochter, ist schon in „Friedenszeiten“ eine gute Idee – so kann man sich in Ruhe mit den nötigen Maßnahmen auseinandersetzen und die Kosten für die Gesamtumsetzung kleiner halten als wenn man sich erst nach einem erfolgreichen Angriff um Hilfe bemüht.

Technische Maßnahmen

Keine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten Systemen:

Nach einem Angriff muss erst einmal sichergestellt werden, dass keine privilegierten Nutzerkonten auf potentiell infizierten Systemen genutzt werden. Da auf jeder Windows-Maschine ein lokaler Administrator vorhanden ist – wenn auch passiv – , muss man dafür sorgen, dass man die Quelle des Angriffs schnell findet, damit man die übrigen Maschinen schnell wieder in einen arbeitsfähigen Zustand versetzt.

Im Idealfall liegen vollständige und aktuelle Informationen über das betroffene Netz vor

Dokumentation ist das Schreckenswort in den meisten IT-Abteilungen: Viel Aufwand, kurzfristig betrachtet aber wenig Nutzen. Deshalb wird oft genug der defekte Switch durch einen neuen ersetzt, ohne dass dies in der Dokumentation erwähnt wird, ebenso Access Points, ausgefallene PC oder zusätzliche Arbeitsplätze: Der Personalmangel in den IT-Abteilungen führt dazu, dass diese Routinearbeiten erledigt werden, und der nötige Eintrag in die Dokumentation „fürs Erste“ verschoben – und dann vergessen wird.

Gerade im Angriffsfall aber sind genau diese Lässlichkeiten mindestens unangenehm. Denn zusätzlich zur Beseitigung des Angriffs muss dann noch parallel eine Bestandsaufnahme der Netzkomponenten dafür sorgen, dass man selbst oder aber das zur externen Unterstützung beauftragte Unternehmen überhaupt weiß, wonach gesucht wird. Und jede zusätzliche Arbeit muss im Katastrophenfall nicht nur teuer bezahlt werden, sondern verlängert auch noch die Zeit, die benötigt wird, ums Firmennetz wieder flott zu bekommen. Sofern bisher noch kein ausreichendes Netzwerk-Monitoring und Logging aktiviert war, sollte dies in Abstimmung mit dem zuständigen Datenschutzbeauftragten (und ggf. Betriebs-/ Personalrat) nun aktiviert werden, damit man noch andauernde Angriffe oder Datenabflüsse feststellen kann.

Ein altes Sprichwort besagt: „Was ich nicht weiß, macht mich nicht heiß.“ Das mag im Alltag gelten, nicht aber in einer – kompromittierten – IT-Umgebung. Denn kompromittierte Systeme sollten möglichst von Grund auf neu aufgesetzt werden – kompromittierte Systeme sind per se nicht mehr vertrauenswürdig. Oft genug hilft da auch kein Backup: Die Angreifer könnten schon das System infiltriert haben als das älteste, vorhandene Backup angefertigt wurde: Das Einspielen des Backups würde den Angriffsvorfall lediglich zu einem anderen Zeitpunkt erneut stattfinden lassen. Deshalb sollte man möglichst viel über den Angreifer in Erfahrung bringen – dabei helfen Logfiles und weitere Informationen über die betroffenen Systeme.

„Niemand will Backup, aber alle wollen Restore“. Administrator-Sprichworte wie dieses beschreiben nur zu gut die fast schon schizophrene Art des Umgangs mit der Sicherung der Unternehmensdaten. Inzwischen ist die Zeit zwar um, als ohnedies mit viel Arbeit „gesegnete“ Mitarbeiter, das Band des Streamers im zentralen Server jeden Morgen tauschen sollten – und dies regelmäßig übersahen. Vorbei sind auch die Zeiten, wo auf den Streamerbändern zwar all die Daten landeten, die innerhalb der Firma anfielen, im Ernstfall aber unlesbar waren, weil sich eine Einstellung in der zugehörigen Software verändert hatte – oder weil der Mitarbeiter nicht mehr im Haus war, der das Passwort für die Rücksicherung vergeben hatte. Aber dass die typischen IT-Steinzeit-Fehler heute nicht mehr begangen werden heißt nicht, dass man keine Fehler machen könnte. Folglich treten den IT-Verantwortlichen auch heute noch die Schweißperlen auf die Stirn, wenn’s heißt: „Dann setzen wir das System eben auf Stand Ende letzter Woche zurück und spielen das zugehörige Backup ein.“

Im Zusammenhang mit den Ransomware-Angriffen, die derzeit die gesamte IT-Branche in Atem halten, bedeutet aber selbst dieses Verfahren nicht direkt die Rettung der nunmehr verschlüsselten Daten. Meist ist nämlich nicht mehr feststellbar, wann genau die Angreifer sich Zugriff auf die firmeneigenen Systeme verschafft haben – und die Chance ist gut, dass auch das oben beschriebene Backup schon kompromittiert ist: Angreifer sehen sich erst einmal in einer – ihnen fremden – IT-Landschaft um, bevor sie ihr zerstörerisches Werk beginnen, sie verhalten sich also eine Weile unauffällig und skizzieren lediglich, wie die IT-Landschaft aussieht und stellen dabei fest, wie sie den größtmöglichen Schaden anrichten können. Wenn man dann ein Backup aus dieser Angriffsphase einspielt, dann sorgt man lediglich dafür, dass die Daten am nächsten Morgen wieder verschlüsselt sind.

Aus dieser Perspektive sind vielleicht sogar Ausdrucke oder über WAN-Verbindungen synchronisierte Datenbestände in Außenstellen oder bei Mitarbeitern Gold wert. Die sind möglicherweise noch nicht kompromittiert und können so für die Datenwiederherstellung genutzt werden.

Organisation

Wissen alle, die intern davon wissen müssen vom mutmaßlichen IT-Notfall?

Im Fall des Falles müssen alle betroffenen Abteilungen über die Notfall-Maßnahmen und das korrekte Verhalten der Mitarbeiter unterrichtet werden. Dazu gehört auch, welche Systeme (nicht) benutzt werden dürfen. Vor allem sollten alle Systeme, die zum Zeitpunkt des Angriffs abgeschaltet waren, erst einmal abgeschaltet bleiben.

Organisieren Sie sich. Richten Sie einen Krisenstab (oder eine Projektgruppe) ein. Verteilen Sie Rollen und Zuständigkeiten

In jedem Unternehmen gibt es Spezialisten für bestimmte Themen. Der eine kennt sich besonders gut mit Abrechnungsthemen und Sonderkonditionen aus, der andere weiß welche Hardware im Firmennetz wo verbaut wurde und was die verschiedenen Geräte leisten können – und was nicht. Alle diese Kollegen müssen nun zusammenarbeiten, um sicherzustellen, dass beim Neuaufbau der Datenbestände die richtigen Prioritäten gesetzt werden. Denn auch nach einer katastrophalen Attacke heißt das Ziel: So schnell wie möglich Arbeitsfähigkeit wieder herstellen. Dazu muss die geballte Kompetenz der Firma an einen Tisch gebracht werden, und keiner sollte sich zu schade sein, weitere Mitarbeiter zu Rate zu ziehen, um dieses Ziel so schnell wie möglich zu erreichen.

Sammeln Sie möglichst schnell und möglichst viele Informationen, um fundierte Entscheidungen treffen zu können

Wenn man die Kompetenz der Firma an einem Tisch sitzen hat, sollte es leicht fallen, sämtliche wichtigen Informationen über Netzstrukturen, Datenbanken und ausgelagerte Daten zusammenzutragen, damit klar ist, wie groß der Schaden für die Firma wirklich ist. Wenn man im Vorfeld das Netz schon segmentiert hatte und die Attacke auf ein Segment beschränkt werden konnte, dann hat man im Vorfeld schon einiges richtig gemacht; wenn nicht, dann müssen sich die Verantwortlichen im Nachgang sicherlich einigen (unangenehmen) Fragen stellen: Dass man von der Gefahr einer Attacke nichts gewusst oder geahnt habe, kann heute niemand mehr behaupten. Im Schadensfall geht’s aber zunächst nicht darum, Schuldzuweisungen vorzunehmen, sondern möglichst schnell – und preiswert – einen Arbeitsfähigen Zustand wieder herzustellen.

Welche Kommunikationsaspekte müssen berücksichtigt werden?

Besonders unangenehm ist so ein IT-Vorfall für aktive Geschäftsbeziehungen. Man sollte Lieferverzögerungen an die Geschäftspartner frühzeitig kommunizieren, auch auf die Gefahr hin, dass der eine oder andere Auftrag daraufhin storniert wird. Eine offene Kommunikationsstrategie führt letztlich zu mehr Kundenvertrauen. Insbesondere gilt dies heute um so mehr, als der Zugriff von Kunden auf Schnittstellen des eigenen Unternehmens zu einer Gefährdung des Kundennetzes führen könnte.

Wird eine externe Unterstützung benötigt? Wenn ja, wo kann man sie finden?

Insbesondere weil der Geschäftsbetrieb möglichst schnell wieder aufgenommen werden muss, ist externe Hilfe in den meisten Fällen die erste Wahl, um zumindest dafür zu sorgen, dass die zentralen Systeme schnell wieder zur Verfügung stehen. Und obendrein muss man das Netz auch absichern, nicht dass ein paar Tage, Wochen oder Monate später sich dieselbe Katastrophe erneut abspielt. Externe Experten analysieren eine verfahrene Situation emotionsfreier und sachlich genauer als diejenigen, die möglicherweise eine Schuld am IT-Vorfall trifft, kurz: externer Rat tut in einer verfahrenen Situation nahezu zwingend Not.

Dabei kann sich ein Unternehmen den Rat durch die Großen der Branche suchen, Beispielsweise haben T-Systems, Bechtle und Controlware in der Branche einen guten Ruf, weil sie einem Netz schnell neues Leben einhauchen können; zugleich ist dieser externe Rat zwar nie billig, aber meistens preiswerter als für die Wiedergewinnung der Daten ein exorbitantes Lösegeld zu zahlen.

Stephan Mayer

Beitrag veröffentlicht

in

,

von

Stephan Mayer