Cybervorfall Warnung Richtiges Verhalten

Wie reagiere ich im Ernstfall – Richtiges Verhalten bei einem IT-Sicherheitsvorfall

Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren. Hier erfahren Sie, was man vor, während und nach einem Cyberangriff beachten sollte.



Die Gefahr durch Cyberangriffe wird oft unterschätzt

Cyberangriffe auf Unternehmen können großen Schaden verursachen. Die Wirtschaftsschutzstudie 2018 von Bitkom kam zu dem Ergebnis, dass 2018 43,4 Milliarden Euro Kosten durch Cyberangriffe für die betroffenen Unternehmen in Deutschland entstanden sind. Dabei wurden sowohl die unmittelbaren Kosten berücksichtigt, die durch die Betriebsstörungen und -ausfälle sowie die Wiederherstellung der IT-Systeme entstanden, als auch mittelbare Kosten für die Aufklärung der Fälle sowie finanzielle Schäden durch Reputationsverlust.

Dennoch unterschätzen viele die Gefahr durch Cyberangriffe. Insbesondere kleine und mittelständische Unternehmen sehen sich selbst oft nicht als Ziel von Cyberkriminellen. Das geht aus einer 2019 erhobenen Umfrage des BSI (Bundesamt für Sicherheit und Informationstechnik) hervor, in der etwa ein Viertel der befragten Unternehmen Cyberangriffe nicht als relevante Gefährdung für die eigene Betriebsfähigkeit einstuften.

Allerdings ist jeder Betrieb, der auf irgendeine Weise sensible Daten und Informationen verarbeitet, ein potenzielles Ziel von Cyberkriminellen. Denn Daten sind das sprichwörtliche Gold der Digitalisierung und haben einen großen Wert. Einmal erlangte Zugriffe und Daten werden gewinnbringend weiterverkauft oder zur Erpressung verwendet.



Mögliche Angriffsarten – Welche Formen von Cyberattacken gibt es?

Um auf mögliche Cyberangriffe vorbereitet zu sein, ist es wichtig, die verschiedenen Vorgehensweisen von Cyberkriminellen zu kennen und zu erkennen. Denn es gibt unterschiedliche Typen von Cyberangriffen und es ist von Vorteil, sich mit den jeweiligen Eigenarten und Risiken der unterschiedlichen Angriffstypen vertraut zu machen, um diese im Ernstfall erkennen und abwehren zu können. 

Eine typische Vorgehensweise ist beispielsweise das „Phishing“. Dabei wird in Form von gefälschten E-Mails oder Webseiten versucht, sensible Daten abzufangen oder sich Zugriff auf ein System zu verschaffen. Diese Vorgehensweise ist sehr raffiniert und effizient, weil sie, statt auf technische Sicherheitslücken abzuzielen, die „Schwachstelle Mensch“ angreift und manipulativ typisch menschliche Verhaltensweisen ausnutzt, um darüber Zugang zu sensiblen Informationen und Daten zu erhalten.

Bei einem sogenannten Distributed-Denial-of-Service (DDoS) Angriff wiederum kann das gesamte Netzwerk oder der Server ausfallen – durch eine beabsichtigt herbeigeführte Überlastung des Datennetzes. Ein weiteres beliebtes Angriffsziel sind unsichere Passwörter, um Zugriff auf unterschiedliche Dienste oder Systeme zu erhalten.

Die verschiedenen Angriffsmethoden verfolgen dabei meist dieselben Ziele: Sabotage, Spionage und/oder Datendiebstahl.



Vorsicht ist besser als Nachsicht: Vorbereitung als wirksamer Schutz

Im ersten Schritt ist es natürlich wichtig, Angriffe soweit wie möglich zu verhindern, bevor sie überhaupt zustande kommen. Das bedeutet, im Unternehmen sollten entsprechende Präventionsmaßnahmen fest eingeplant und umgesetzt werden. Dazu gehören beispielsweise das regelmäßige Überprüfen der Infrastruktur durch Fachpersonal, das zeitnahe Durchführen von Updates oder das regelmäßige Anlegen von Datensicherungen.

Wichtig ist, dass das Sicherheitskonzept ganzheitlich umgesetzt wird und sowohl technische als auch organisatorische Maßnahmen berücksichtigt. Auch die Sensibilisierung der Mitarbeiter spielt eine wichtige Rolle und kann durch regelmäßigen Schulungen, z.B. mit Cyber Awareness Trainings gewährleistet werden.

Zu einer guten Vorbereitung gehört auch, sich auf den möglichen Ernstfall einzustellen. Durch die Ausarbeitung eines ausführlichen Reaktionsplans werden wichtige Voraussetzungen geschaffen, um einen möglichen Angriff so schnell wie möglich einzudämmen. So ein Vorfallreaktionsplan (Incident Response Plan) kann unter Umständen auch die Hilfe von Externen einplanen und sollte im Vorfeld die relevanten Zuständigkeiten festlegen, damit im akuten Fall keine Zeit durch das Einholen von notwendigen Genehmigungen o.ä. verloren geht. Mit einer guten Vorbereitung für den Ernstfall wird die beste Grundlage geschaffen, um schnell und besonnen auf einen Vorfall reagieren zu können.



Woran erkennt man einen Cyberangriff?

Ein Cyberangriff ist nicht immer so schnell und eindeutig als solcher zu erkennen. Es gibt spektakuläre Cybervorfälle, die eine hohe Medienwirksamkeit erzielt haben, aber auch welche, die jahrelang von Unternehmen unentdeckt blieben. Das bedeutet jedoch nicht, dass es keine Handlungsmöglichkeiten gibt. Eine der wichtigsten Aufgaben besteht darin, immer aufmerksam zu bleiben und den kritischen Blick auf das eigene Netzwerk nicht zu verlieren.

Trotz der Schwierigkeit Cyberangriffe zu erkennen, gibt es verschiedene Anzeichen, die zur Vorsicht aufrufen. Dazu zählen Meldungen von Virenscannern und Firewalls ebenso wie beispielsweise eine Information des Telekommunikationsanbieters zu Spam-E-Mails, die von der Unternehmens-IP versandt wurden. Sinnvoll ist auf jeden Fall, die unternehmenseigenen Systeme und Prozesse stetig auf Unregelmäßigkeiten in den Abläufen zu überprüfen und verdächtigen Netzwerk-Scans oder auffälligen Log-In Versuchen nachzugehen.



Wie reagiert man auf einen Angriff?

Jeder Angriff ist individuell und kann größer oder kleiner ausfallen. Das erste Ziel bei einem akuten Angriff ist, weiteren Schaden unter allen Umständen zu vermeiden. Je nachdem zu welchem Zeitpunkt man auf den – ggf. noch laufenden – Angriff aufmerksam wurde, sind unterschiedliche Handlungen nötig.

Grundsätzlich gilt, möglichst schnell die Schadensquelle zu identifizieren und das Fortschreiten des Angriffs zu stoppen. Dabei gibt es wichtige Fragen, die so schnell wie möglich beantwortet werden sollten: Wann hat der Angriff stattgefunden? Welcher Mitarbeiter konnte ihn identifizieren? Welche Bereiche wurden angegriffen? Wurde bereits eine Ursache gefunden? Inwieweit hat der Angriff Einfluss auf den laufenden Betrieb?

Manchmal reichen bereits kleinere Handlungen aus, wie das Ändern von Login-Daten, um einen weiteren Zugriff auf Dienste und Programme zu verhindern. Besondere Vorsicht gilt hier, wenn die Zugangsdaten von E-Mail-Konten betroffen sind, da durch den Zugriff auf diese leicht weitere Zugangsdaten abgeändert werden können.

In anderen Fällen muss das gesamte System vom Netz genommen werden, um sicherzustellen, dass sich eine Schadsoftware nicht weiterverbreiten kann. Die individuelle Reaktion ist immer abhängig vom jeweiligen Cyberangriff. Mit einem zuvor erstellten Reaktionsplan sind die konkreten Schritte und die Zuständigkeiten klar definiert, sodass man schnell und sicher handeln kann. 



Welche Aufgaben gibt es nach einem Angriff?

Anschließend geht es darum, das System zu „säubern“ und den Ausgangszustand wiederherzustellen. Hierbei gilt es, besonders gründlich vorzugehen und auch sicherzustellen, dass die aufgedeckten Sicherheitslücken geschlossen werden. Ebenso wichtig ist außerdem der Prozess der Beweissicherung, also der Bereich der IT-Forensik, und die darauffolgende Dokumentation.

Eine ausführliche Protokollierung und Beweisführung ist fundamental, denn bei einem Cyberangriff handelt es sich um eine Straftat. Somit besteht die Verpflichtung, jeden Angriff mit dazugehöriger Beweisführung an die Strafverfolgungsbehörden zu melden. Die notwendige Beweisführung sollte man deshalb bereits während des Angriffs im Hinterkopf haben und im Reaktionsplan berücksichtigen. Für die Aufklärung des Cybervorfalls ist es wichtig, so viele Informationen über den Angriff zu sammeln wie möglich.

Für den Fall, dass bei dem Angriff personenbezogene Daten an Unbefugte gelangt sind, besteht laut der DSGVO außerdem die Verpflichtung, den Angriff innerhalb von 72 Stunden an die hierfür zuständigen Aufsichtsbehörden zu melden. Gegebenenfalls müssen auch die betreffenden Personen persönlich über den Diebstahl ihrer Daten informiert werden.



Cyber Incident Response: Ein sich wiederholender Kreislauf

Der Umgang mit einem Cybervorfall gliedert sich somit prinzipiell immer in folgende sechs Schritte:

  1. Die sorgfältige Vorbereitung mit Erstellung eines Reaktionsplans
  2. Die Identifizierung und Einschätzung des Angriffs
  3. Die Eindämmung des Schadens
  4. Die vollständige Beseitigung von Schadsoftware etc.
  5. Die Wiederherstellung der betroffenen Systeme und Geräte
  6. Das Sammeln und Reflektieren der Erfahrungen, um den Reaktionsplan ggf. anzupassen

Insbesondere die Vorbereitung eines möglichen Cybervorfalls ist einer der wichtigsten Schritte, um die Schäden durch einen Angriff möglichst gering zu halten. Aus diesem Grund bieten wir die Schulung „Cyber Incident – First Response“ an, in der Unternehmensverantwortliche praxisnah lernen, wie man richtig auf einen Einbruch in das IT-System oder beim Verdacht auf Manipulation reagiert. Die nächste Schulung findet am 14. Oktober 2020 als Web-Seminar statt, für das Sie sich hier anmelden können. Wir freuen uns auf Sie!




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security