Welche Maßnahmen müssen in einem Incident Response Playbook (Notfallhandbuch bei Cyberangriffen) vorbereitet werden?
Wie kommuniziere ich generell, meine
Kontakte aus Outlook und auf dem
Smartphone sind nicht mehr da. Wie
erreiche ich Kunden und was sage ich
ihnen? In der ersten Phase kann niemand eine Aussage geben, wann das Unternehmen wieder arbeitsfähig ist.
Wie sind die Angreifer reingekommen,
die Suche nach Patient Zero (Erstes
„Opfer“) beginnt. Diese Information ist
wichtig, damit man den Ursprung der
Attacke und die Sicherheitslücke
identifizieren und schließen kann. Falls
das nicht gelingt, könnte der Angriff
wieder von vorne starten.
Wann lief das letzte vollständige
Backup? Können Systeme aus dem
Backup wiederhergestellt werden?
Häufig sind die Backups nicht
ausreichend geschützt und werden
vom Angreifer gelöscht oder
unbrauchbar gemacht. Bei manchen
Unternehmen sind noch Snapshots auf
dem Storage System vorhanden,
diesen können dann genutzt werden.
Was passiert mit den infizierten Systemen? Hier muss entschieden werden, welche Systeme können wiederhergestellt werden und was wird neu installiert. Häufig werden in dieser Phase Altsysteme durch neue ersetzt, was definitiv sinnvoll ist, aber natürlich mehr Zeit kostet.
Wieviel PCs oder Laptops kann die IT-Abteilung pro Tag neuinstallieren? Muss die Installation per Hand mit US-Stick gemacht werden oder gibt es eine Softwareverteilung. Häufig ist der Server der Softwareverteilung nicht im Backup, da die Datenmenge zu groß ist. Wenn dieser Server im Backup war und wiederhergestellt und bereinigt werden kann, geht die Neuinstallation automatisiert und spart viel Zeit.
Die Organisation der Mitarbeiter und Abteilungen ist eine große Herausforderung, vor allem in produzierenden Unternehmen. Wer soll vor Ort bleiben und wen schicke ich nach Hause?
Wie erreiche ich die Mitarbeiter, wenn wieder gearbeitet werden kann?