Dass IT-Sicherheit auf die Managementebene gehört, predigen Sicherheitsfachleute seit Jahren. Auch Europäische Initiativen wie etwa die NIS-2-Direktive (NIS steht für Network and Information Security) oder der Cyber Resilience Act betten dieses Thema in entsprechende gesetzliche Regelungen ein. Das Ziel: eine Stärkung der IT-Sicherheit entlang der Wertschöpfungs- und Lieferketten. Auch wenn im Hintergrund noch an der Umsetzung in nationales Recht gearbeitet wird, ist heute schon klar, dass kein Unternehmen mehr auf Risiko spielen kann. Zu hoffen, dass schon alles gut gehen wird, kann schnell nach hinten losgehen. Gerade wenn es einmal zu einem ausgewachsenen IT-Sicherheitsvorfall kommt, macht sich das besonders schmerzhaft durch finanzielle Verluste bemerkbar. Und auch Unternehmen, die nicht direkt von diesen Vorgaben betroffen sind, sollten ihre IT-Strategie überdenken und gegebenenfalls anpassen. Dabei sollten Verantwortliche die Gelegenheit nutzen, die IT-Sicherheit zu verbessern, wichtige Geschäftsprozesse zu prüfen und sinnvoll abzusichern. Zusätzlich zu allen Sicherheitsmaßnahmen muss jetzt auch das Eintreten eines IT-Notfalls in die Überlegungen einbezogen werden. Fachleute sprechen in diesem Zusammenhang von Incident Readiness.
Am besten auf Papier
Für IT-Notfälle brauchen Firmen einen Krisenplan – am besten auf Papier. Dieser sollte unter anderem eine Übersicht des eigenen Netzwerkes und der verwendeten Geräte enthalten. Im Notfall sind diese Informationen wichtig und im Aktenschrank besser aufgehoben als auf dem möglicherweise verschlüsselten Server oder einem nicht funktionsfähigen Notebook. Dieser Krisenplan sorgt dafür, dass ein externes Incident-Response-Team deutlich schneller die Arbeit aufnehmen kann und das Unternehmen so in kürzerer Zeit wieder arbeitsfähig ist. Dadurch lässt sich der finanzielle Schaden begrenzen. Ein eigenes Incident-Response-Team ist in den wenigsten Unternehmen vorhanden und ist auch unter wirtschaftlichen Gesichtspunkten für viele Unternehmen nicht sinnvoll.
Vorbereitet sein
Angreifer bleiben oft lange unbemerkt. Wenn nicht zufällig ein aufmerksamer IT-Mitarbeitender Unregelmäßigkeiten entdeckt, ist es in der Regel erst der gesperrte Bildschirm mit einer Lösegeld-Forderung, der einen Ransomware-Angriff offenbart. Ab diesem Punkt schlägt die Stunde der Fachleute im Bereich Incident Response.
Bevor ein Incident-Response-Team aktiv werden kann, braucht es Informationen zum aktuellen Notfall. Daher müssen Verantwortliche zentrale Eckpunkte zeitnah klären – vergleichbar mit den zentralen Fragen beim Notruf für die Feuerwehr. Diese Antworten schaffen ein tieferes Verständnis für die aktuelle Situation im Unternehmen:
Ù Was ist passiert oder was passiert gerade?
Ù Wann ist es passiert?
Ù Wie ist es aufgefallen? Aus dieser Frage lassen sich auch schon Indizien zum Angriffsvektor ableiten.
Ù Welche Maßnahmen wurden schon getroffen? Hier geht es um die Frage, ob bereits forensische Spuren gesichert oder Indizien versehentlich unbrauchbar gemacht wurden. Dies kann schnell passieren, wenn den handelnden Personen vor Ort die notwendigen Kenntnisse fehlen.
Ù Welches Unternehmen ist betroffen? Handelt es sich um ein produzierendes Gewerbe, um ein KRITIS-Unternehmen oder eine staatliche Organisation?
Vorab sind auch technische Detailfragen zu klären, um die Situation vor Ort besser einzuschätzen und den Einsatz zu planen. Daher brauchen die Fachleute Informationen zur IT-Infrastruktur, zur Netzwerkgröße, zu den Betriebssystemen sowie deren Patch-Status und den eingesetzten Sicherheitskomponenten.
Die Do’s und Don’ts
Wer gut vorbereitet und handlungsfähig bleiben will, sollte einige Do’s and Don’ts berücksichtigen.