Die Do’s:
3 Internen und externen Netzwerkverkehr sofort unterbrechen: So sperren Unternehmen die Angreifer aus und verhindern eine weitere Ausbreitung der Schadsoftware.
3 Virtuelle Maschinen pausieren oder Snapshots erstellen: Malware liegt oft nicht mehr auf der Festplatte, sondern im Arbeitsspeicher. Wer also eine VM ausschaltet, macht den Speicher unbrauchbar und vernichtet dabei mögliche forensische Spuren. Daher ist es ratsam, diese zu pausieren oder einen Snapshot zu erstellen, um einen aktuellen Zwischenstand zu speichern.
3 Zentrale Ansprechperson benennen/ Stabsstelle einrichten: Kurze Kommunikationswege sind beim IT-Notfall essenziell. Eine Ansprechperson oder eine Stabsstelle koordiniert dabei die Kommunikation mit dem Incident-Response-Team. Darüber hinaus stimmt sich diese Stelle auch mit beteiligten IT-Dienstleistern ab und kommuniziert mit Mitarbeitenden und allen externen Stakeholdern.
3 Vorurteilsfreie Kommunikation: Wichtig ist eine angstfreie Umgebung, in der auch Mitarbeitende mit wenig IT-Kenntnissen Hinweise zum Vorfall geben können. Vorwürfe oder Schuldzuweisungen helfen in dieser Situation keinem weiter.
3 Backups prüfen und bereitstellen: Dieses Thema sollten Unternehmen schon vor einem Notfall auf der Agenda stehen haben, denn im IT-Notfall ist es dafür zu spät. Mit aktuellen Backups lässt sich der Datenverlust minimal halten.
3 Zusammenarbeit mit lokalen Behörden: Jedes angegriffene Unternehmen sollte Strafanzeige stellen, damit die Behörden Ermittlungen einleiten können. Für Straftaten im Cyberraum hat jedes Bundesland eine eigene Anlaufstelle. Darüber hinaus ist die Informationspflicht mit dem Datenschutzverantwortlichen zu klären. Dabei gilt die Faustformel: Lieber eine Meldung zu viel als zu wenig.
Die Don’ts
8 Systeme herunterfahren: Mit dieser Maßnahme zerstören Betroffene unter Umständen forensische Spuren oder machen sie unbrauchbar.
8 Systeme innerhalb des kompromittierten Netzwerks anfahren: Es besteht die Gefahr, dass die Schadsoftware weitere Teile des Netzes befällt und der Schaden immer größer wird.
8 Malware-Schutz abschalten: Auch während eines oder nach einem aktiven Angriff hilft die Sicherheitslösung, indem sie weitere Angriffsversuche abblockt.
8 Selbstversuche: Wer ohne Fachkenntnisse handelt und Reparaturversuche unternimmt, verzögert und behindert eine schnelle Aufklärung des Infektionshergangs. Das Risiko einer ‚Verschlimmbesserung‘ ist sehr groß.
8 Unbegleitete Erpresserkommunikation: Grundsätzlich gilt „Kein Dialog mit Erpressern!“ Wer dennoch dazu gezwungen ist, sollte auf externe Unterstützung zurückgreifen.
8 Schuldzuweisungen: Wer eine verdächtige Aktion direkt meldet, hilft, den Schaden frühzeitig einzudämmen. Das erfordert eine Unternehmenskultur, in der Mitarbeitende sich trauen, Fehler wie den möglichen Klick auf den Link in einer Phishing-Mail zuzugeben – ohne Konsequenzen fürchten zu müssen.
Schneller wieder
handlungsfähig