Auf einer Veranstaltung des Systemhauses Controlware aus dem hessischen Dietzenbach hie\u00df es 2024: \u201eDie Frage ist nicht, ob ein Netz angegriffen wird. Die Frage ist: Wann wird es angegriffen?\u201c Und auf diesen Fall sollte ein Unternehmen gut vorbereitet sein: Je besser man gewappnet ist, desto geringer sind die Ausfallzeiten und desto weniger wird der Gesch\u00e4ftsbetrieb beeinflusst.<\/p>\n
Dabei muss man unterscheiden zwischen zwei unterschiedlichen Ebenen der Reaktion. Auf der einen Seite muss nat\u00fcrlich die verwendete Technik in der Lage sein, das Firmennetz wieder in einen nutzbaren Zustand zur\u00fcckzuversetzen, Daten wiederherzustellen und die benutzte Schwachstelle f\u00fcr den Angriff zu schlie\u00dfen. Auf der anderen Seite aber muss auch die gesamte Organisation mit den Auswirkungen des Angriffs umgehen k\u00f6nnen. Kunden und Lieferanten m\u00fcssen benachrichtig werden, dass Systeme nicht zur Verf\u00fcgung stehen oder dass sich Lieferungen verz\u00f6gern k\u00f6nnen. Wer im Fall eines Falles wann was tut, sollte also schon im Vorfeld en detail festgelegt sein.<\/p>\n
Gerade in einem Systemhaus wie Controlware arbeiten Spezialisten, die den Worst Case kennen, und die wissen, wie man technisch wie organisatorisch mit der IT-Katastrophe umgeht und daf\u00fcr sorgt, dass die Auswirkungen nicht noch gr\u00f6\u00dfer werden, als sie ohnedies schon sind. Und: diese Spezialisten wissen, wie man die Auswirkungen in einem n\u00e4chsten Angriffsfall verkleinert, wie man Angriffsfl\u00e4chen verkleinert. Der Besuch eines Experten beispielsweise von Controlware oder auch von der T-Systems, der Telekom-Tochter, ist schon in \u201eFriedenszeiten\u201c eine gute Idee \u2013 so kann man sich in Ruhe mit den n\u00f6tigen Ma\u00dfnahmen auseinandersetzen und die Kosten f\u00fcr die Gesamtumsetzung kleiner halten als wenn man sich erst nach einem erfolgreichen Angriff um Hilfe bem\u00fcht.<\/p>\n
Nach einem Angriff muss erst einmal sichergestellt werden, dass keine privilegierten Nutzerkonten auf potentiell infizierten Systemen genutzt werden. Da auf jeder Windows-Maschine ein lokaler Administrator vorhanden ist \u2013 wenn auch passiv \u2013 , muss man daf\u00fcr sorgen, dass man die Quelle des Angriffs schnell findet, damit man die \u00fcbrigen Maschinen schnell wieder in einen arbeitsf\u00e4higen Zustand versetzt.<\/p>\n
Dokumentation ist das Schreckenswort in den meisten IT-Abteilungen: Viel Aufwand, kurzfristig betrachtet aber wenig Nutzen. Deshalb wird oft genug der defekte Switch durch einen neuen ersetzt, ohne dass dies in der Dokumentation erw\u00e4hnt wird, ebenso Access Points, ausgefallene PC oder zus\u00e4tzliche Arbeitspl\u00e4tze: Der Personalmangel in den IT-Abteilungen f\u00fchrt dazu, dass diese Routinearbeiten erledigt werden, und der n\u00f6tige Eintrag in die Dokumentation \u201ef\u00fcrs Erste\u201c verschoben \u2013 und dann vergessen wird.<\/p>\n
Gerade im Angriffsfall aber sind genau diese L\u00e4sslichkeiten mindestens unangenehm. Denn zus\u00e4tzlich zur Beseitigung des Angriffs muss dann noch parallel eine Bestandsaufnahme der Netzkomponenten daf\u00fcr sorgen, dass man selbst oder aber das zur externen Unterst\u00fctzung beauftragte Unternehmen \u00fcberhaupt wei\u00df, wonach gesucht wird. Und jede zus\u00e4tzliche Arbeit muss im Katastrophenfall nicht nur teuer bezahlt werden, sondern verl\u00e4ngert auch noch die Zeit, die ben\u00f6tigt wird, ums Firmennetz wieder flott zu bekommen.\u00a0Sofern bisher noch kein ausreichendes Netzwerk-Monitoring und Logging aktiviert war, sollte dies in Abstimmung mit dem zust\u00e4ndigen Datenschutzbeauftragten (und ggf. Betriebs-\/ Personalrat) nun aktiviert werden, damit man noch andauernde Angriffe oder Datenabfl\u00fcsse feststellen kann.<\/p>\n
Ein altes Sprichwort besagt: \u201eWas ich nicht wei\u00df, macht mich nicht hei\u00df.\u201c Das mag im Alltag gelten, nicht aber in einer \u2013 kompromittierten \u2013 IT-Umgebung. Denn kompromittierte Systeme sollten m\u00f6glichst von Grund auf neu aufgesetzt werden \u2013 kompromittierte Systeme sind per se nicht mehr vertrauensw\u00fcrdig. Oft genug hilft da auch kein Backup: Die Angreifer k\u00f6nnten schon das System infiltriert haben als das \u00e4lteste, vorhandene Backup angefertigt wurde: Das Einspielen des Backups w\u00fcrde den Angriffsvorfall lediglich zu einem anderen Zeitpunkt erneut stattfinden lassen. Deshalb sollte man m\u00f6glichst viel \u00fcber den Angreifer in Erfahrung bringen \u2013 dabei helfen Logfiles und weitere Informationen \u00fcber die betroffenen Systeme.<\/p>\n
\u201eNiemand will Backup, aber alle wollen Restore\u201c. Administrator-Sprichworte wie dieses beschreiben nur zu gut die fast schon schizophrene Art des Umgangs mit der Sicherung der Unternehmensdaten. Inzwischen ist die Zeit zwar um, als ohnedies mit viel Arbeit \u201egesegnete\u201c Mitarbeiter, das Band des Streamers im zentralen Server jeden Morgen tauschen sollten \u2013 und dies regelm\u00e4\u00dfig \u00fcbersahen. Vorbei sind auch die Zeiten, wo auf den Streamerb\u00e4ndern zwar all die Daten landeten, die innerhalb der Firma anfielen, im Ernstfall aber unlesbar waren, weil sich eine Einstellung in der zugeh\u00f6rigen Software ver\u00e4ndert hatte \u2013 oder weil der Mitarbeiter nicht mehr im Haus war, der das Passwort f\u00fcr die R\u00fccksicherung vergeben hatte. Aber dass die typischen IT-Steinzeit-Fehler heute nicht mehr begangen werden hei\u00dft nicht, dass man keine Fehler machen k\u00f6nnte. Folglich treten den IT-Verantwortlichen auch heute noch die Schwei\u00dfperlen auf die Stirn, wenn\u2019s hei\u00dft: \u201eDann setzen wir das System eben auf Stand Ende letzter Woche zur\u00fcck und spielen das zugeh\u00f6rige Backup ein.\u201c<\/p>\n
Im Zusammenhang mit den Ransomware-Angriffen, die derzeit die gesamte IT-Branche in Atem halten, bedeutet aber selbst dieses Verfahren nicht direkt die Rettung der nunmehr verschl\u00fcsselten Daten. Meist ist n\u00e4mlich nicht mehr feststellbar, wann genau die Angreifer sich Zugriff auf die firmeneigenen Systeme verschafft haben \u2013 und die Chance ist gut, dass auch das oben beschriebene Backup schon kompromittiert ist: Angreifer sehen sich erst einmal in einer \u2013 ihnen fremden \u2013 IT-Landschaft um, bevor sie ihr zerst\u00f6rerisches Werk beginnen, sie verhalten sich also eine Weile unauff\u00e4llig und skizzieren lediglich, wie die IT-Landschaft aussieht und stellen dabei fest, wie sie den gr\u00f6\u00dftm\u00f6glichen Schaden anrichten k\u00f6nnen. Wenn man dann ein Backup aus dieser Angriffsphase einspielt, dann sorgt man lediglich daf\u00fcr, dass die Daten am n\u00e4chsten Morgen wieder verschl\u00fcsselt sind.<\/p>\n
Aus dieser Perspektive sind vielleicht sogar Ausdrucke oder \u00fcber WAN-Verbindungen synchronisierte Datenbest\u00e4nde in Au\u00dfenstellen oder bei Mitarbeitern Gold wert. Die sind m\u00f6glicherweise noch nicht kompromittiert und k\u00f6nnen so f\u00fcr die Datenwiederherstellung genutzt werden.<\/p>\n
Im Fall des Falles m\u00fcssen alle betroffenen Abteilungen \u00fcber die Notfall-Ma\u00dfnahmen und das korrekte Verhalten der Mitarbeiter unterrichtet werden. Dazu geh\u00f6rt auch, welche Systeme (nicht) benutzt werden d\u00fcrfen. Vor allem sollten alle Systeme, die zum Zeitpunkt des Angriffs abgeschaltet waren, erst einmal abgeschaltet bleiben.<\/p>\n
In jedem Unternehmen gibt es Spezialisten f\u00fcr bestimmte Themen. Der eine kennt sich besonders gut mit Abrechnungsthemen und Sonderkonditionen aus, der andere wei\u00df welche Hardware im Firmennetz wo verbaut wurde und was die verschiedenen Ger\u00e4te leisten k\u00f6nnen \u2013 und was nicht. Alle diese Kollegen m\u00fcssen nun zusammenarbeiten, um sicherzustellen, dass beim Neuaufbau der Datenbest\u00e4nde die richtigen Priorit\u00e4ten gesetzt werden. Denn auch nach einer katastrophalen Attacke hei\u00dft das Ziel: So schnell wie m\u00f6glich Arbeitsf\u00e4higkeit wieder herstellen. Dazu muss die geballte Kompetenz der Firma an einen Tisch gebracht werden, und keiner sollte sich zu schade sein, weitere Mitarbeiter zu Rate zu ziehen, um dieses Ziel so schnell wie m\u00f6glich zu erreichen.<\/p>\n
Wenn man die Kompetenz der Firma an einem Tisch sitzen hat, sollte es leicht fallen, s\u00e4mtliche wichtigen Informationen \u00fcber Netzstrukturen, Datenbanken und ausgelagerte Daten zusammenzutragen, damit klar ist, wie gro\u00df der Schaden f\u00fcr die Firma wirklich ist. Wenn man im Vorfeld das Netz schon segmentiert hatte und die Attacke auf ein Segment beschr\u00e4nkt werden konnte, dann hat man im Vorfeld schon einiges richtig gemacht; wenn nicht, dann m\u00fcssen sich die Verantwortlichen im Nachgang sicherlich einigen (unangenehmen) Fragen stellen: Dass man von der Gefahr einer Attacke nichts gewusst oder geahnt habe, kann heute niemand mehr behaupten. Im Schadensfall geht\u2019s aber zun\u00e4chst nicht darum, Schuldzuweisungen vorzunehmen, sondern m\u00f6glichst schnell \u2013 und preiswert \u2013 einen Arbeitsf\u00e4higen Zustand wieder herzustellen.<\/p>\n
Besonders unangenehm ist so ein IT-Vorfall f\u00fcr aktive Gesch\u00e4ftsbeziehungen. Man sollte Lieferverz\u00f6gerungen an die Gesch\u00e4ftspartner fr\u00fchzeitig kommunizieren, auch auf die Gefahr hin, dass der eine oder andere Auftrag daraufhin storniert wird. Eine offene Kommunikationsstrategie f\u00fchrt letztlich zu mehr Kundenvertrauen. Insbesondere gilt dies heute um so mehr, als der Zugriff von Kunden auf Schnittstellen des eigenen Unternehmens zu einer Gef\u00e4hrdung des Kundennetzes f\u00fchren k\u00f6nnte.<\/p>\n
Insbesondere weil der Gesch\u00e4ftsbetrieb m\u00f6glichst schnell wieder aufgenommen werden muss, ist externe Hilfe in den meisten F\u00e4llen die erste Wahl, um zumindest daf\u00fcr zu sorgen, dass die zentralen Systeme schnell wieder zur Verf\u00fcgung stehen. Und obendrein muss man das Netz auch absichern, nicht dass ein paar Tage, Wochen oder Monate sp\u00e4ter sich dieselbe Katastrophe erneut abspielt. Externe Experten analysieren eine verfahrene Situation emotionsfreier und sachlich genauer als diejenigen, die m\u00f6glicherweise eine Schuld am IT-Vorfall trifft, kurz: externer Rat tut in einer verfahrenen Situation nahezu zwingend Not.<\/p>\n
Dabei kann sich ein Unternehmen den Rat durch die Gro\u00dfen der Branche suchen, Beispielsweise haben T-Systems, Bechtle und Controlware in der Branche einen guten Ruf, weil sie einem Netz schnell neues Leben einhauchen k\u00f6nnen; zugleich ist dieser externe Rat zwar nie billig, aber meistens preiswerter als f\u00fcr die Wiedergewinnung der Daten ein exorbitantes L\u00f6segeld zu zahlen.<\/p>\n
Stephan Mayer<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Auf einer Veranstaltung des Systemhauses Controlware aus dem hessischen Dietzenbach hie\u00df es 2024: \u201eDie Frage ist nicht, ob ein Netz angegriffen wird. Die Frage ist: Wann wird es angegriffen?\u201c Und auf diesen Fall sollte ein Unternehmen gut vorbereitet sein: Je besser man gewappnet ist, desto geringer sind die Ausfallzeiten und desto weniger wird der Gesch\u00e4ftsbetrieb […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,11],"tags":[],"class_list":["post-1652","post","type-post","status-publish","format-standard","hentry","category-networks","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1652"}],"version-history":[{"count":2,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1652\/revisions"}],"predecessor-version":[{"id":1654,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1652\/revisions\/1654"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}