Mobile-Menu

Keine Panik! Planung ist alles Reaktionsstrategien nach Hacker-Angriffen

Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Ein effektiver Schutz durch eine IT-Security-Lösung hängt unter anderem davon ab, ob ein detailliertes und gründlich getestete Strategien zur Reaktion auf Sicherheitsverletzungen existiert. Nach wie vor wird das Risiko eines Hacker-Angriffs von vielen Unternehmen weit unterschätzt.

Keine Panki! Mit einer sorgfältig ausgearbeiteten Reaktionsstrategie kann das angegriffene Unternehmen Schäden deutlich begrenzen.
Keine Panki! Mit einer sorgfältig ausgearbeiteten Reaktionsstrategie kann das angegriffene Unternehmen Schäden deutlich begrenzen.
(Bild: gemeinfrei / Pixabay )

Für den Aufbau einer effektiven Strategie zur Bewältigung eines Hacker-Angriffs ist viel Vorarbeit zu leisten. Das bedeutet, relevante Daten sammeln, potenzielle Bedrohungen nach Priorität ordnen und sicherstellen, dass es zuverlässige Frühwarnsysteme gibt. Erst dann kann man beginnen, Verantwortlichkeiten zuzuweisen und schrittweise Arbeitsabläufe für verschiedene Szenarien auszuarbeiten.

Hauptrisiken identifizieren

Bevor eine Strategie erstellt wird, muss das Unternehmen verstehen lernen, wie eine solche Katastrophe überhaupt entstehen kann. Das heißt, welche Szenarien könnten dazu in der Lage sein, die täglichen Geschäftsaktivitäten zum Stillstand bringen. Zusätzlich müssen verschiedene Formen von Sicherheitsverletzungen unterschieden sowie vorhandene Daten nach ihrer Wichtigkeit eingeteilt werden.

Für die Diskussion der Frage, welche die größten Bedrohungen sein könnten, müssen alle wichtigen Interessenvertreter des Unternehmens eingebunden werden. Das Ergebnis sollte eine priorisierte Auswahlliste sein, die kontinuierlich aktualisiert wird.

Netzwerk vollständig abbilden

Für IT-Abteilungen stellt es eine große Herausforderung dar alle angeschlossenen Geräte, jede Person und jede Anwendung, die im Einsatz sind, detailliert zu erfassen. Insbesondere mit dem rapiden Anstieg der Homeoffice-Arbeit ist dies noch schwieriger geworden. Im Zuge dessen sollten die Benutzerrechte überprüft bzw. Admin-Rechte sowie exzessiven Zugriff auf Daten dort einschränkt werden, wo sie nicht zwingend erforderlich sind.

Zudem sind strenge Richtlinien aufzustellen, um zu gewährleisten, dass Benutzerkonten ordnungsgemäß geschlossen werden, wenn Mitarbeiter das Unternehmen verlassen. Ein großer Teil der Fähigkeit, ein vollständiges Bild des Netzwerks anzufertigen, hängt davon ab, das richtige Gleichgewicht zwischen Vorsicht und Bequemlichkeit zu finden. Die Mitarbeiter müssen immer noch in der Lage sein, ihre Arbeit effektiv zu erledigen. Eine zu restriktive Sicherheitspolitik richtet dann im Grunde mehr Schaden an, als sie Nutzen stiftet.

Überwachungssystem errichten

Manche Attacken bleiben lange unentdeckt. Das heißt, mit einem erfolgreichen Phishing-Angriff oder Software-Exploit kann sich ein Angreifer für Tage, Wochen, Monate oder sogar Jahre völlig unbemerkt in einem Netzwerk aufhalten. Darum sollte man bei der Strategieentwicklung mit der Annahme beginnen, eine Datenschutz-Verletzung habe bereits stattgefunden, sodass das Unternehmen vorab mit einem Tiefenscan des Netzwerks beginnen kann.

Zu diesem Zweck errichtet die IT-Abteilung ein kontinuierliches Überwachungssystem, für das Software zum Einsatz kommt, die ungewöhnliche Benutzeraktivitäten und Datenexfiltrationen erkennt. Damit diese Art von Software effektiv arbeitet, muss ein Typus von „normalem Verhalten“ definiert werden. Das Ziel ist es, eine Attacke in Echtzeit zu erkennen, ihre Entstehung zu verhindern und den potenziellen Schaden zu minimieren.

Klare Befehlskette etablieren

Ein Hacker-Angriff erzeugt in Organisationen oft Panik und kann zu blindem Aktionismus und Lähmungen bei der Wirksamkeit der Gegenmaßnahmen führen. Solche Probleme lassen sich am besten dadurch vermeiden, indem vorab klare Verantwortlichkeiten festgelegt werden. Jeder sollte wissen, wer wofür verantwortlich ist und wann eine bestimmte Aktion erfolgen sollte. Am wichtigsten ist es, sicherzustellen, dass die Mitarbeiter wissen, wen sie zuerst alarmieren müssen, wenn ein Verstoß entdeckt wird.

Denn der Faktor Zeit ist entscheidend. Daher sollten Funktionsträger im Unternehmen über Vorfälle als erstes informiert werden, die diese auch richtig einzuschätzen wissen. Über die jeweiligen IT- und Sicherheitsteams hinaus ist es ratsam, Juristen einzuschalten, um die Einhaltung der Vorschriften zu gewährleisten, und auch das PR-Team, um Mitteilungen bzw. Anfragen zu bearbeiten. Natürlich müssen die Führungskräfte und der Vorstand über den Fortschritt auf dem Laufenden gehalten werden und sich unter Umständen an den Entscheidungen beteiligen.

In der Folge sollten unter anderem folgende Mitteilungen ausgegeben werden: Dazu gehört die Schadensmitteilung an die Versicherung. Wenn man hier zu lange wartet, begeht man schnell eine Obliegenheitsverletzung nach dem Versicherungsvertragsgesetz (VVG). Zudem muss die datenschutzrechtliche Informationspflicht der Betroffenen nach DSGVO eingehalten werden. Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist umgehend eine Strafanzeige zu stellen.

Kommunikationsstrategie entwickeln

Das Aufarbeiten eines Cyberangriffs hat nicht nur eine technische Komponente, sondern hat ebenfalls viel mit einer zielgerichteten Kommunikation zu tun. Als Teil der Schadensminderung dient die Information der Mitarbeiter, denn sie sind auf die für sie relevanten Informationen im Tagesgeschäft angewiesen. Aber auch Partner und Kunden sind über den Angriff in Kenntnis zu setzen. Ganz gleich, ob es sich um einen größeren oder kleineren Verstoß handelt, der Ruf eines Unternehmens steht immer auf dem Spiel.

Wobei die Toleranz der Betroffenen tatsächlich umso höher ist, je transparenter Unternehmen agieren. Das heißt, die Kommunikation muss hierzu sehr klar verfasst sein. Daher sollte immer nur eine Stimme aus der Organisation sprechen. Es ist sicher zu stellen, dass die Mitarbeiter verstehen, wie wichtig eine einheitliche Front für den Nachrichtenaustausch ist.

Strategien erstellen und testen

Wenn eine Hacker-Attacke festgestellt wurde, muss diese eindeutig als solche klassifiziert werden, bevor das Eingreifteam einzuschalten ist. Klar definierte Handlungslinien für verschiedene Arten von Angriffen sollen adäquate und zeitnahe Reaktionen garantieren. Dafür ist eine Reihe von priorisierten Schritten aufzustellen, in denen genau erklärt wird, welche Maßnahmen zu ergreifen sind. Konsequenz ist der Schlüssel zum Ziel. Die Reaktionsstrategie soll zu keiner Zeit Zweifel oder Fehlinterpretationen aufkommen lassen.

Aus diesem Grunde sollten die Strategien vor ihrem Einsatz getestet werden. Denn die Mitarbeiter müssen mit den neuen Arbeitsabläufen gut vertraut sein, damit die Kommunikationskanäle wie vorgesehen gut funktionieren. Hierzu empfehlen sich Übungen, um die verschiedenen Szenarien mit den relevanten Akteuren zu testen und Schwachstellen zu identifizieren, die weiterer Aufmerksamkeit bedürfen.

(ID:47375620)

Über den Autor