Ich habe einen Vorfall – Checkliste Technik
Ich habe einen Vorfall – Checkliste Technik
Die Checkliste gliedert sich in organisatorisches und technische Aspekte, die teilweise parallel abgearbeitet werden können. Sie ist in Form von Leitlinien und Leitfragen aufgebaut. Einzelne Schritte sind ggf. zyklisch zu wiederholen.
Rahmenbedingungen
Die vorliegende Checkliste "Technik" zur Bewältigung von IT-Notfällen kann keine präventiven Maßnahmen oder ein fehlendes Notfall- Management ersetzen. Aufgrund der Allgemeingültigkeit, die einen weitverbreiteten Einsatz der Checkliste bei unterschiedlichen IT-Notfällen und in einem sehr heterogenen Umfeld der Betroffenen ermöglichen soll, kann eine Vielzahl der Punkte nur generischer Natur sein. Die Checkliste zielt vor allem auf klein- und mittelständische Unternehmen, die noch keine Gelegenheit hatten, sich umfassend auf einen IT-Notfall vorzubereiten und damit eine Arbeitshilfe erhalten, um einen solchen strukturiert zu bewältigen. Einzelaspekte sind aber für Jedermann nutzbar.
In dem Dokument " Ransomware: Erste Hilfe bei einem schweren IT-Sicherheitsvorfall Version 1.2" finden Sie die nachfolgenden Aspekte ausführlicher beschrieben. Vereinzelt werden dort konkrete Befehlszeilenkommandos und / oder Befehlszeilenparameter empfohlen.
Checkliste Technik
Keine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten Systemen.
Existieren Benutzerkonten mit unnötigen, privilegierten Rechten? Sind Hinweise zu erkennen, ob diese privilegierten Rechte durch Unbefugte / Angreifer – möglicherweise in jüngster Vergangenheit – eingerichtet wurden?
Vergewissern Sie sich, dass Sie vollständige und aktuelle Informationen über Ihr Netzwerk verwenden.
Identifizieren Sie das / die betroffene(n) System(e). Beschränken Sie sich nicht nur auf das Offensichtliche. Ziehen Sie in Betracht, dass weitere Systeme ebenfalls betroffen sind und noch auf Befehle des Angreifers warten. Betroffene Systeme vom internen produktiven Netzwerk und dem Internet trennen. Dazu das Netzwerkkabel ziehen.
Gerät nicht herunterfahren oder ausschalten, sofern eine technische Analyse beabsichtigt ist.
Gegebenenfalls forensische Sicherung inkl. Speicherabbild (selbst, durch Dienstleister oder Strafverfolgungsbehörden) erstellen, sofern eine Strafverfolgung eingeleitet werden soll. Zusätzliche Hinweise finden Sie im "Leitfaden IT-Forensik".
Erst danach AV-Programme einsetzen, da diese ggf. Änderungen sowohl am flüchtigen als auch persistenten Speicher vornehmen könnten. Betrachten Sie infizierte lokale Systeme grundsätzlich als vollständig kompromittiert. Eine punktuelle Bereinigung ist nur mit umfassendem Fachwissen erfolgversprechend. Planen Sie im Regelfall eine komplette Neuinstallation ein. Betrachten Sie alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten ebenfalls als kompromittiert. Betrachten Sie im Fall einer Kompromittierung des Active Directory (AD) auch das gesamte Netz als kompromittiert.
Sofern bisher noch kein ausreichendes Netzwerk-Monitoring und Logging aktiviert war, stimmen Sie sich mit Ihrem Datenschutzbeauftragten (und ggf. Betriebs-/ Personalrat) ab und richten ein solches ein, um noch andauernde Angriffe oder Datenabflüsse feststellen zu können.
Als Best-Practice gilt das auch vom BSI empfohlene Full-Packet-Capturing im Netzwerk. Am Mirror-Port an internen, zentralen Netzkoppelelementen können ggf. die Kommunikation der infizierten, internen Systeme untereinander oder der lokalen Command & Control Server erkannt werden.
an internen, zentralen Netzkoppelelementen können ggf. die Kommunikation der infizierten, internen Systeme untereinander oder der lokalen erkannt werden. Am Übergang zwischen LAN und WAN können ggf. die externen C&C- Server festgestellt werden.
und können ggf. die externen C&C- festgestellt werden. Vielfach werden Angriffe zuerst durch Externe als Unregelmäßigkeiten festgestellt und an Betroffene gemeldet. Um eine solche Meldung nachvollziehen zu können, muss an der Firewall geloggt werden. Richten Sie dedizierte Protokollserver ein. Optimalerweise werden diese außerhalb des Produktiv-/ Büronetzes über eine Schnittstelle im " Promiscuous "-Mode betrieben. Beachten Sie, dass Angreifer i.d.R. eigene Defensivmaßnahmen ergreifen können, um ein Logging zu verhindern oder zu erschweren. Im Einzelfall können ungeschützte Logdaten durch den Angreifer manipuliert werden. Blockieren Sie nun erkennbare Täterzugänge.
Prüfen Sie, ob Sie über aktuelle, saubere, integre Backups verfügen. Optimalerweise bewahren Sie diese offline auf. Online-Sicherungen können ggf. beiläufig oder bewusst kompromittiert worden sein.
Ggf. können wichtige Daten auch an abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden.
Zu den organisatorischen Aspekten
Das bereits erwähnte Dokument „ Ransomware: Erste Hilfe bei einem schweren IT-Sicherheitsvorfall Version 1.2“ fokussiert sich auf sogenannte APT-Angriffe und Ransomware-Vorfälle.
Zusatzinformationen
Ransomware: Prävention und Vorgehen bei einem Angriff auf die Unternehmensdaten
Cyberattacken mit Verschlüsselungstrojanern + Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm und bewertet die Sicherheitslage im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland als besorgniserregend. Insbesondere die Schäden durch Ransomware-Attacken sind laut dem Digitalverband Bitkom e.V. seit 2019 um 358 % angestiegen und treffen heute Betriebe aller Branchen und Größen.
Wie Unternehmen sich präventiv schützen können und was im Falle einer Verschlüsselung durch Ransomware zu tun ist, erläutert IT-Security Experte Christoph Harburg vom Braunschweiger IT-Systemhaus Netzlink Informationstechnik GmbH.
Hinter dem Begriff „Ransomware“ werden klassischerweise Cyberattacken mithilfe von Verschlüsselungstrojanern verstanden. Dabei werden über verschiedene Einfallstore Malware-Codes in ein System oder Netzwerk eingeschleust, die in der Lage sind, Dateien zu verschlüsseln und damit für den Anwender unbrauchbar zu machen. In aller Regel geht damit eine Lösegeldforderung der Cyberkriminellen einher, um die Dateien vermeintlich wieder zu entschlüsseln oder von einer etwaigen Veröffentlichung der mitunter sensiblen Daten abzusehen.
Planung und Koordination von Angriffen organisierter Gruppen
„Ransomware-Angriffe können sich für Cyberkriminelle mitunter als sehr lukrativ erweisen, was ein Hauptgrund für die alarmierende Verbreitung dieser Angriffsart darstellt. Während früher noch gezielt Unternehmen bestimmter Branchen etwa aus dem Finanzdienstleistungs-, Logistik-, Gesundheitswesen- oder Energie-Sektor von den Angreifern ins Visier genommen wurden, werden heute Organisationen jeglicher Couleur und Größe Ziel von Ransomware-Attacken. So sind es auch vermehrt organisierte Gruppen, die die Angriffe sehr gezielt und koordiniert planen. Innerhalb dieser Gruppen arbeiten die Angreifer vielfach mit Spezialisten, die sich für einzelne Bereiche wie Informationsbeschaffung zu den Zielen, Schwachstellenanalyse, Kommunikation und Ausführung verantwortlich zeichnen. Aufgrund dieser Vorabrecherchen wissen die Angreifer meist schon ganz genau, auf welche Daten sich die Attacken richten und können die Angriffe sehr gezielt ausrichten“, erläutert Christoph Harburg. „Wenn die Attacken sich auf bestimmte Server oder Daten richten, birgt das für Angreifer den Vorteil, dass nur ein kleiner, dafür aber sehr wichtiger Teilbereich verschlüsselt wird und der Vorfall nicht unbedingt sofort bekannt wird. Dies gibt den Angreifern ausreichend Zeit, weitere Schritte vorzubereiten, bevor eine Kontaktaufnahme erfolgt. Der Zeitraum von der Infiltrierung bis zur Aktivierung der Malware beträgt in aller Regel 2 Stunden bis 2 Wochen.“
Angreifer nutzen öffentliche CVE-Listen auch für Planung von Angriffen
Die Haupteinfallstore sind vor allem E-Mails, wo kompromittierte Anhänge unachtsam ausgeführt oder Links zu Webseiten angeklickt und dann kompromittierte Dateien heruntergeladen werden. Besonders paradox: Über die öffentlichen CVE-Listen (Common Vulnerabilities and Exposures) und öffentlichen Datenbanken wie MITRE, die von Unternehmen gerne genutzt werden, um bekannte Schwachstellen nachzuschlagen und Sicherheitspatches herunterzuladen, werden auch von Angreifern frequentiert. Denn diese Plattformen werden von Angreifern dazu genutzt, um sich über Schwachstellen zu informieren und gezielt Unternehmen anzugreifen, die eben nicht über die entsprechenden Sicherheitspatches verfügen.
Wie erkenne ich, dass ich angegriffen wurde?
Abhängig davon, wie gut das eigene System überwacht wird, treten diese erst in Erscheinung, wenn entweder eine nicht autorisierte Kommunikation identifiziert wird oder erste Dateien verschlüsselt werden. Mitunter aber rückt die Attacke auch erst mit der Kommunikationsaufnahme der Angreifer in das Blickfeld des Unternehmens. Diese kann auf unterschiedlichen Wegen erfolgen: In der Regel erscheinen auf dem betroffenen System Meldungen, die bereits beim Angriff hinterlegt sind und nach einer bestimmten Zeit aktiviert werden. Diese besagen üblicherweise, dass das System verschlüsselt wurde und eine Entschlüsselung der Unternehmensdaten erst erfolgt, nachdem die Zahlung eines bestimmten Betrages üblicherweise an ein Bitcoin Wallet mit einer spezifischen Kennung bestätigt wurde. Mitunter kommt es aber auch vor, dass telefonisch Kontakt aufgenommen wird, um Druck auszuüben, Drohkulissen aufzubauen (nächste Schritte, Veröffentlichung der Daten) und die „Bereitschaft“ für die Auslösung zu erhöhen.
Was kann ich tun, wenn ich angegriffen wurde?
Als Sofortmaßnahme gilt es zunächst, das betroffene System vollständig zu isolieren und die weiteren Systeme im Netzwerk zu schützen, um weiteren Schaden und die Ausbreitung der Malware abzuwenden. „Ein Herunterfahren des Systems sollte jedoch unbedingt vermieden werden, da viele Informationen im RAM-Speicher, die für die forensische Analyse hilfreich sind, damit gelöscht werden. Treten erste Hinweise in Erscheinung: sofort Netzwerkkabel ziehen, WLAN ausschalten und nicht mehr an dem System arbeiten. Es empfiehlt sich ebenfalls, im Falle eines Angriffs die Polizei zu benachrichtigen und eine Fachfirma einzuschalten. Denn wann eine Malware über welche Wege eingeschleust wurde, wie sie sich verbreitet hat und wie man die betroffenen Systeme sicher bereinigt, übersteigt in aller Regel die Kompetenzen der eigenen IT-Abteilung. Hilfestellung gibt hier das BSI, die eine Liste qualifizierter Fachfirmen mit spezieller Expertise im Bereich Advanced Persistent Threats und auch der Ransomware-Forensik führt. Wir als IT-Systemhaus haben immer häufiger mit Ransomware-Attacken zu tun und verfügen bereits über ein breites Netzwerk an Forensik-Experten, um zum einen das Unternehmen aus der „Schusslinie“ des Angreifers zu bewegen, die IT von der Malware zu befreien und das System vom Notbetrieb wieder in den Produktivbetrieb zu überführen, aber auch um Schwachstellen in der Infrastruktur zu identifizieren und Penetrationstests durchzuführen“, so der Netzlink Security Consultant Christoph Harburg.
Festzustellen, um welche Art von Malware es sich handelt und den Code zu identifizieren ist immer dann erfolgsversprechend, sofern Entschlüsselungstools für die jeweiligen Malware-Codes bereits zur Verfügung stehen. Viele Ransomware Programmcodes sind heute bereits entschlüsselt und es stehen entsprechende Tools zur Entschlüsselung der Daten bereit. Besonders gefährlich sind jedoch die sogenannten Zero-Day Attacken, deren Angriffsmethodiken in der Öffentlichkeit noch gar nicht bekannt sind und entsprechende Gegenmaßnahmen noch nicht bestehen.
Die oftmals naheliegende Lösung, einfach ein neues Backup aufzuspielen, ist nicht unbedingt erfolgsversprechend, da man in aller Regel zunächst nicht weiß, ob auch das Backup bereits kompromittiert wurde und man Gefahr läuft, dass sich die Malware wieder ausbreitet. Je länger das Backup her ist, desto größer ist zwar die Wahrscheinlichkeit, dass das Backup nicht kompromittiert ist – jedoch auch der Schaden von verlorengegangenen Daten seit dem Backup. Diese Überlegungen unterliegen einer Risikoabwägung und sind daher nicht unbedingt der erste Schritt, um weiteren Schaden abzuwenden. Hinzu kommt: spiele ich ein Backup von letzten Jahr ein, aber die Schwachstelle, über die das System angegriffen wurde, ist noch aktiv, dann schützt auch ein vorübergehendes Datenbackup in aller Regel nicht.
Wie kann ich mich vor Ransomware-Attacken schützen?
Der kritischste Punkt in der Sicherheitskette ist der „Faktor: Mensch“, ist er doch für über 80 Prozent aller IT-Sicherheitsvorfälle verantwortlich. Die Sicherheitstechnik und -Konzepte können noch so gut sein – sofern sie den Menschen nicht berücksichtigen, verbleibt immer eine zentrale Schwachstelle. Eine erfolgreiche und nachhaltige IT-Sicherheitsstrategie muss daher auch die Belegschaft einbeziehen. Durch Awareness-Trainings (online oder vor Ort) etwa werden die Mitarbeitenden für die Risiken und Stolpersteine beim Umgang mit der IT und Unternehmensdaten (Passwortschutz und Zweifaktoridentifizierung, Einsatz von Mobilgeräten, sicherer E-Mail Umgang, sicher unterwegs im www etc.) sensibilisiert, um ein einheitliches Sicherheitsniveau bei Technik und Mensch zu erreichen. Es ist menschlich Fehler zu machen, aber die Menschen müssen auch in der Lage sein zu erkennen, dass sie Fehler gemacht haben, um das Ausmaß einzugrenzen. Durch die Etablierung einer einheitlichen Sicherheitskultur können betriebswirtschaftliche Risiken durch Hacking, Malware, Datendiebstahl und Betriebsausfälle signifikant vermindert werden.
Zur Prävention von Malware-Angriffen ist zudem ein vernünftiges Patch Management notwendig: CVEs müssen regelmäßig überprüft werden, um Schwachstellen im System zu identifizieren und mögliche Einfallstore schnell zu beheben. Über eine sinnvolle Netzwerksegmentierung, beispielsweise durch die Separation von Servern, Clients und Produktionsnetzen, lassen sich bereits in 80 – 90 Prozent aller Fälle verhindern, dass sich Schadsoftware auf weitere Systeme ausbreitet. „Größtmögliche Sicherheit bietet aber nur ein konsequentes Zero-Trust-Konzept in Verbindung mit einer Zweifaktorauthentifizierung zu den jeweiligen Systemen. Zero-Trust ist aber nicht nur ein Security-Thema, sondern eine Strategie, die in der gesamten Organisationsstruktur verankert werden muss“, so Christoph Harburg weiter. „Die Erstellung eines Notfallhandbuches und ein Business Continuity Management (BCM) geben Unternehmen darüber hinaus ein Schritt-für-Schritt Umsetzungsrahmenwerk an die Hand, um sich optimal auf Angriffe und Ausfälle in der IT-Infrastruktur vorzubereiten.“
„Es sind vermehrt organisierte Gruppen, die die Angriffe sehr gezielt und koordiniert planen. Innerhalb dieser Gruppen arbeiten die Angreifer vielfach mit Spezialisten, die sich für einzelne Bereiche wie Informationsbeschaffung zu den Zielen, Schwachstellenanalyse, Kommunikation und Ausführung verantwortlich zeichnen. So wissen die Angreifer meist schon vorab, auf welche Daten sich die Attacken richten und können die Angriffe sehr gezielt ausrichten“.
Autor: Christoph Harburg, IT-Security Experte beim Systemhaus Netzlink.
Weitere Informationen unter
„You got hacked“ – Was tun nach einem Ransomware-Angriff?
Vorsicht ist besser als Nachsicht. Das gilt besonders für Cyberabwehrstrategien in Unternehmen. Dazu gehört es auch, auf den schlimmsten Fall vorbereitet zu sein. Eine Anleitung für einen effektiven Notfallplan liefert Kevin Schwarz, Director Transformation Strategy bei Zscaler.
Viele Cybersicherheitsstrategien zielen auf die Prävention und Erkennung von Angriffen auf das Unternehmensnetzwerk ab. Dennoch bleibt der Alptraum heute allgegenwärtig, dass sensible Daten verschlüsselt und „in Geiselhaft“ genommen werden.
Neben vorbeugenden Maßnahmen zur Angriffsvermeidung tun Unternehmen gut daran, sich auch auf die Nachricht „Ihre Daten wurden verschlüsselt“ vorzubereiten. Für den Fall eines Ransomware-Angriffs gilt es, einen Notfallplan in der Schublade zu haben, wie in diesem Fall vorzugehen ist.
Die mediale Berichterstattung zeigt, dass Unternehmen aller Größen und Branchen auf der Zielliste von Cyberkriminellen stehen. Beispiele von Krankenhäusern, Behörden, Maschinenbauern aber auch Financial Services zeigen, dass letztlich jede Organisation Opfer eines Ransomware-Angriffs werden kann. Doch wie gut sind Unternehmen darauf vorbereitet, Schritte danach einzuleiten?
Zuallererst gilt es, sich mit oberster Priorität auf Vermeidungsstrategien zu fokussieren. Mit Hilfe modernster Technologien kann das Eindringen von Malware-Akteuren ins Netzwerk verhindert werden. Zu fatalistisch wäre der Ansatz, lediglich eine Cyberversicherung abzuschließen und Bitcoin-Reserven anzulegen. Dennoch ist es heute erforderlich, zusätzlich Überlegungen anzustellen, wie man im Falle eines Angriffs agieren möchte.
Die Geister scheiden sich dabei bereits bei der Frage, ob auf eine Lösegeldforderung eingegangen werden sollte. Nicht nur die Regierung Biden diskutiert derzeit in den USA, ob diesem lukrativen Geschäftsmodell von Cyberkriminellen der Riegel vorgeschoben werden sollte, indem die Zahlung von Lösegeldern für illegal erklärt wird.
Der Druck wächst auch durch die angedachte Meldepflicht, sich besser gegen Ransomware zu wappnen. Darüber hinaus ziehen sich immer mehr Versicherungen aus dem Geschäft mit den Cyberpolicen zurück oder schließen Ransomware aus.
Um im Falle eines erfolgreichen Angriffs mit Verschlüsselungstrojanern handlungsfähig zu bleiben, haben Unternehmen weltweit zuletzt viel in Back-up und Disaster Recovery-Lösungen investiert.
Allerdings folgte darauf ein Aufrüsten der Cyberkriminellen, die nun mehrstufige Ansätze bei der Erpressung fahren. Sensible Daten werden nicht mehr nur verschlüsselt, sondern zuvor entwendet, um Unternehmen zur Zahlung der Forderungen zu bewegen. Andernfalls besteht die Handhabe, mit der Veröffentlichung der Daten, der Informierung betroffener Kunden und Partner zu drohen oder durch zusätzliche Methoden die restliche – noch funktionierende – IT-Infrastruktur lahmzulegen.
Darüber hinaus laufen Unternehmen, die sich einmal zur Zahlung des Lösegeldes entschieden haben, Gefahr, wieder ins Visier zu geraten und erneut angegriffen zu werden. Bekannt gewordene Zahlungen zeigen, dass ein Unternehmen willig ist auf die Forderungen einzugehen und lädt andere Malware-Akteure zum Zuschlagen ein, da sich die Abwehrmechanismen einmal als überwindbar erwiesen haben. Die IT-Infrastruktur wieder hochzufahren ohne grundlegende Änderungen herbeizuführen ist also riskant.
Wenn das Zahlen des Lösegeldes keine Option ist und mit Hilfe von Back-up- und Desaster-Recovery-Plänen die Daten wiederhergestellt werden können, dann sollte auch ein durchdachter Notfallplan, ein sogenannter Incident-Response-Plan, in der Schublade parat liegen.
Dieser Plan nimmt im Ernstfall den Druck von schnellen Entscheidungen und kann Schritt für Schritt abgearbeitet werden. Alle nötigen Rollen, um die unternehmerische Handlungsfähigkeit wiederherzustellen, sollten involviert sein. Diese Funktionen müssen dann die nötige Ruhe bewahren, um den Plan Schritt für Schritt umzusetzen.
Ein Incident-Response-Plan sollte die folgenden Punkte berücksichtigen:
• Kommunikation: Welchen Standpunkt nimmt das Unternehmen hinsichtlich der Krisenkommunikation nach außen rund um einen Ransomware-Vorfall ein? Es gibt genug Beispiele, bei den sich Unternehmen aus Gründen der Schadensbegrenzung gegen eine öffentliche Kommunikation entschieden haben. Ein Vertuschen kann allerdings noch größeren Reputationsschaden verursachen, sollte der Vorfall dennoch an die Öffentlichkeit dringen. Unternehmen sollten also eine Kommunikationsstrategie festlegen und entscheiden, wer in welcher Reihenfolge informiert wird.
• Externe Hilfe: Sind Systeme verschlüsselt und mit Malware verseucht, gilt es zur Bereinigung und zur Wiederherstellung der Systeme Experten hinzuzuziehen, die im Umgang mit der Situation versiert sind. Wichtig ist, dass diese Experten auch erreichbar sind und Kontaktdaten nicht etwa in verschlüsselten Systemen liegen. In diesem Fall hilft die Telefonnummer mehr als ein E-Mail-Kontakt.
• Schadenseindämmung: Fest steht, dass die Angreifer ins Netzwerk eingedrungen sind, aber worauf genau sie sich Zugriff verschaffen konnten, lässt sich nicht auf den ersten Blick feststellen. Zur Eindämmung eines möglichen weiteren Ausbreitens der Malware-Akteure im Netz hilft oft nur ein Abschalten der Systeme. Doch welche Systeme tatsächlich vom Netz genommen werden müssen, hängt auch von der Art des Angriffs ab und ist entscheidend für die weitere Handlungsfähigkeit. Nach einer Supply-Chain-Attacke könnten beispielsweise nur bestimmte Netzwerksegmente befallen sein, bei flachen Netzwerken ohne Segmentierung ist die Ausbreitung unter Umständen weiter vorangeschritten. Eine Abwägung ist notwendig zwischen Produktivität und Risikominimierung.
• Monitoring: Welche Systeme sind zum Traffic-Monitoring vorhanden? Auch Angreifer benötigen eine Internetverbindung, um die Attacke und den Prozess der Erpressung zu steuern. Unternehmen sollten schnellstmöglich die Hoheit über den Internetverkehr zurückgewinnen und dabei helfen Systeme zum Monitoring, durch die sich beispielsweise auch die C&C-Kommunikation unterbinden lässt.
• Bereinigung & Backup: Festlegen der Reihenfolge der Bereinigung der Systeme und Wiederherstellung von Daten. Der Wiederaufbau der kompletten Netzwerkinfrastruktur ist ein zeitaufwändiger Prozess, sodass im Vorfeld Überlegungen zur Vorgehensweise des Wiederaufbaus erfolgen sollten. Schritt für Schritt muss überprüft werden, wo sich die Angreifer festgesetzt haben, bevor diese Teile des Netzwerks wieder zum Laufen gebracht wurden. Kritische Anwendungen sollten identifiziert werden und ein Backup besitzen (etwa Active Directory).
• Unternehmenskritische Applikationen festlegen: Welche Applikationen sind erforderlich, um den Geschäftsbetrieb aufrechtzuerhalten? Unternehmen sollten eine Prioritätenliste an Apps aufstellen, die kritisch für den Geschäftsbetrieb sind. Diese Systeme sollten nach dem ersten Abschalten den Mitarbeitern mit Priorität wieder zur Verfügung stehen. Da eine komplette Bereinigung oder Wiederherstellung abgespeicherter Daten Zeit in Anspruch nimmt, sollte parallel zur Bereinigung der Malware die Handlungsfähigkeit von kritischen Systemen in einem vertrauenswürdigen Modus aufgebaut werden. Hierbei kann ein Zero-Trust-Ansatz behilflich sein, der auf einer abgesicherten Ebene unabhängig vom Netzwerkzugriff die Kommunikation durch einen direkten, getunnelten Zugang zu einzelnen Anwendungen aufbaut.
Nach einem Vorfall sollte die Überlegung im Mittelpunkt stehen, ob ein Unternehmen zu seinem ursprünglichen Architektur- und Sicherheitsmodell zurückkehren möchte. Besteht in eine Infrastruktur noch das Vertrauen, die sich einmal als angreifbar erwiesen hat? Was kann aus dem erfolgreichen Angriff hinsichtlich der Sicherheit der Infrastruktur gelernt werden und welche Stellschrauben müssen neu justiert werden?
Wenn herausgefunden werden konnte, welchen Weg die Angreifer ins System gewählt haben, sollte zumindest an dieser Stelle eine Modernisierung der gesamten Infrastruktur herbeigeführt werden, die das Vertrauen zurückbringt.
Tipps: Sie möchten mehr zum Thema Cybercrime? Dann lesen Sie hier, warum Unternehmen beim Thema Cyberabwehr schlechte Arbeit machen.
