Woran viele Unternehmen bei der Bewältigung von Sicherheitsvorfällen scheitern

Verschlüsseln Cyberkriminelle wichtige Daten oder legen geschäftskritische Systeme lahm, sind viele Unternehmen überfordert. Sie tun sich schwer damit, schnell die richtigen Maßnahmen einzuleiten. Dell Technologies nennt die größten Herausforderungen für Unternehmen, wenn es darum geht, den Angriff zu stoppen, die Angreifer aus der Infrastruktur zu entfernen und die betroffenen Systeme wiederherzustellen.

Cyberattacken können jedes Unternehmen treffen – unabhängig von seiner Größe oder der Branche. Eine gute Vorbereitung hilft, die Auswirkungen möglichst gering zu halten und schnell wieder handlungsfähig zu werden. Häufig haben sich Unternehmen allerdings nur unzureichend mit dem Ernstfall beschäftigt oder nicht alle Eventualitäten bedacht, nicht für das konkrete Szenario trainiert oder sich kritische Abläufe als zu einfach vorgestellt. Nach den Erfahrungen des Incident-Response-and-Recovery-Teams von Dell Technologies, das jährlich bei der Bewältigung von mehr als 100 Angriffen unterstützt, sind dies die größten Herausforderungen:

  • Fehlende Notfallpläne: Ohne sorgfältig ausgearbeitete Notfallpläne ist es nahezu unmöglich, schnell und effektiv auf einen Angriff zu reagieren. Am wichtigsten sind neben einem Business-Continuity-Plan (BCP) auch ein Incident-Response-Plan (IRP) sowie ein Disaster-Recovery-Plan (DRP). Der IRP definiert alle zur Bewertung, Untersuchung und Eindämmung von Sicherheitsvorfällen notwendigen Maßnahmen und Tools. Der DRP wiederum legt fest, welche Daten und Systeme wie und wann gesichert und wie sie nach einer Störung wiederhergestellt werden. Der BCP liefert klare Vorgehensweisen und Checklisten, um kritische Geschäftsprozesse während und nach einer Störung aufrechtzuerhalten.
  • Kein Test des Ernstfalls: Alle Notfallpläne müssen regelmäßig getestet werden. Das ist einerseits wichtig, damit die Mitarbeiter Erfahrung sammeln und im Ernstfall mit einer gewissen Routine agieren können. Andererseits liefern die Tests wertvolle Erkenntnisse zu möglichen Schwächen und notwendigen Anpassungen, etwa weil Ansprechpartner gewechselt, sich Kontaktdaten verändert haben oder neue Systeme und Anwendungen hinzugekommen sind. Die Tests sollten unbedingt auch die Backups umfassen, denn lassen sich diese bei Bedarf nicht einspielen, sind sie nutzlos.
  • Schlechte Kommunikation: Nach einem Angriff kommt es auf Geschwindigkeit an, denn je länger Unternehmen für die Eindämmung und die Wiederherstellung benötigen, desto größer sind die wirtschaftlichen Schäden. Die Suche nach Ansprechpartnern, die sich mit bestimmten Systemen auskennen; unklare Zuständigkeiten, wer Entscheidungen fällen darf; lange Abstimmungen, was konkret zu tun ist – all das kostet wertvolle Zeit und verzögert die Einleitung dringender Maßnahmen. Vor allem bei der Incident Response gilt zudem: Schnelle Reaktionen sind wichtiger als perfekte, damit die Angreifer nicht noch größere Schäden anrichten können.
  • Unvollständiges Lagebild: Im Rahmen der Incident Response untersuchen Security-Analysten und IT-Forensiker, was genau passiert ist, das heißt: wie Angreifer ins Unternehmen eingedrungen sind, wie sie sich innerhalb der Infrastruktur vorgearbeitet haben und welche Systeme sowie Daten kompromittiert wurden. Dafür wird hochspezialisiertes Wissen benötigt. Fehlt dieses, besteht die Gefahr, dass die eingeleiteten Maßnahmen unzureichend sind und missbrauchte Accounts, veränderte Einstellungen, Hintertüren oder Code-Fragmente übersehen werden. Die Angreifer können nicht vollständig aus dem Netzwerk entfernt werden und haben für ihre nächste Attacke bereits einen Fuß in der Tür.
  • Fehlende Ersatzsysteme: Damit geschäftskritische Anwendungen schnell wieder zum Laufen gebracht werden können, ist es sinnvoll, Ersatzsysteme vorzuhalten. Dann können IT-Teams direkt mit dem Einspielen von Sicherungen beginnen und müssen nicht warten, bis die forensischen Untersuchungen abgeschlossen und die von einem Angriff betroffenen Systeme wieder freigegeben sind. Allerdings entstehen dadurch nicht zu vernachlässigende Kosten – sowohl für die Anschaffung als auch die Pflege, denn die Ersatzsysteme müssen in einem Zustand gehalten werden, der es erlaubt, sie im Ernstfall sofort einzusetzen.
  • Ausgelaufene Support-Vereinbarungen: Eines der am häufigsten von Angreifern genutzten Einfallstore sind Systeme und Anwendungen, die Schwachstellen aufweisen. Ausgelaufene Support-Vereinbarungen stellen daher gleich ein doppeltes Risiko dar: Sie vergrößern die Angriffsfläche und erschweren nach einem Angriff die Wiederherstellung, weil aktuelle Firmware- oder Software-Versionen nicht verfügbar sind und IT-Teams keine erfahrenen Support-Mitarbeiter beim Anbieter kontaktieren können. Im Ernstfall kurzfristig abgeschlossene Vereinbarungen sind dann in der Regel deutlich teurer als langfristig laufende Verträge.
  • Fehlendes Know-how zu Legacy-Systemen: Insbesondere ältere Systeme stellen nach Angriffen eine große Herausforderung dar, weil das Wissen zu ihrer Funktionsweise, ihrer Wiederherstellung und ihren Abhängigkeiten zu anderen Systemen oft nicht mehr vorhanden ist. Die Mitarbeiter, die sich mit den Systemen auskannten, haben das Unternehmen verlassen, und ausführliche Dokumentationen fehlen – oder müssen erst nach Problemlösungen durchforstet werden, was die Wiederherstellung verzögert.
  • Unzureichende Recovery-Dokumentationen: Detaillierte und strukturierte Recovery-Dokumentationen helfen, die Wiederherstellung zu beschleunigen und reibungslos zu gestalten. Die Geschäftsprozesse können dann schneller wieder anlaufen, weil IT-Teams wissen, in welcher Reihenfolge sie Systeme wiederherstellen müssen und wo die dafür benötigten Backups, Snapshots oder Datenkopien liegen. Ebenso ist klar, welche Standorte und Systeme überhaupt genutzt werden können.
  • Geringe Ausdauer bei der Recovery: Überraschend häufig geben Unternehmen mögliche Recovery-Pfade zu früh auf, weil sie auf unerwartete Schwierigkeiten stoßen – dabei lassen sich mit Geduld und externer Unterstützung viele Probleme lösen und auch anfangs aussichtslos erscheinende Wiederherstellungen durchführen. Ein Eingehen auf die Lösegeldforderungen nach einem Ransomware-Angriff sollten Unternehmen jedenfalls nicht als Alternative ins Auge fassen. Das Bezahlen ist schlicht keine Garantie, die Daten tatsächlich wiederzubekommen oder eine Veröffentlichung zu verhindern.
  • Keine erfahrenen Partner für Incident Recovery und Response: Schwerwiegende Sicherheitsvorfälle sind Extremsituationen, die nur selten vorkommen. Dadurch fehlt Unternehmen allerdings die Praxiserfahrung, wie sie am besten mit ihnen umgehen, und es lohnt kaum, tiefgehendes Wissen für bestimmte Tätigkeiten wie die forensischen Untersuchungen intern aufzubauen. Spezialisierte Dienstleister für Incident Response und Recovery sind daher eine nahezu unentbehrliche Hilfe bei der Untersuchung und Eindämmung von Angriffen und der Wiederherstellung des Geschäftsbetriebs. Unternehmen sollten sich jedoch nicht erst im Ernstfall auf die Suche nach ihnen begeben, sondern bereits vorab evaluiert und entschieden haben, wen sie kontaktieren können.

„Eine gute Vorbereitung zahlt sich im Ernstfall aus und kann die Wiederherstellungszeit deutlich verkürzen“, betont Christian Scharrer, Enterprise Architect und CTO Ambassador bei Dell Technologies. „Dennoch läuft erfahrungsgemäß nicht immer alles reibungslos, weil der Druck bei tatsächlichen Cyberattacken ungleich größer als bei Testläufen ist und eigentlich immer unvorhergesehene Situationen eintreten. Ein Partner für Incident Response und Recovery kann Ruhe in die Abläufe bringen, alle Maßnahmen koordinieren und bei der Umsetzung unterstützen – und damit eine schnellere Rückkehr zur Normalität ermöglichen.“


Beitrag veröffentlicht

in

, ,

von