Hast du auch dieses blöde Hintergrundbild auf deinem Bildschirm? Wo ist mein Katzenfoto hin?
Ausgangssituation: Freitag, 08:30 Uhr
Stell dir vor, die IT-Infrastruktur bricht zusammen, und Dienste wie E-Mail, Fileserver, Telefonie, Kundenverwaltung oder Buchhaltung sind nicht mehr verfügbar.
Keiner weiß, was los ist, die IT-Hotline ist nicht erreichbar!
Auf allen Bildschirmen steht mittlerweile die gleiche Nachricht: „Kein Problem, wir helfen Ihnen. Bitte melden Sie sich bei uns, dann klären wir die Bezahlung und die Wiederherstellung Ihrer Daten.“
Nach einiger Zeit entsteht der Verdacht: CYBERANGRIFF
Erpressung (Ransomware) mit einem Verschlüsselungstrojaner, alle Daten, Laptops und Server sind nicht nutzbar, da man die Daten nicht mehr lesen kann!
Nach einigen Stunden wird entschieden, Hilfe zu holen, da die interne IT auch nicht mehr weiter weiß.
Aber wen rufe ich in dieser Situation an?
Es ist ein echtes Problem, eine Firma an einem Freitag Nachmittag zu finden, die einem „spontan“ bei einem Cyberangriff hilft. Die meisten Incident-Response-Dienstleister (IT-Notfallteam) halten ihre Teams für ihre Kunden vor. Da man vertragliche Reaktionszeiten einhalten muss, wird es schwierig, jemanden, den man nicht kennt, dazwischen zu schieben. Dienstleister, die sich auf ad-hoc Notfalleinsätze spezialisiert haben, sind in der Regel kostenintensiver und relativ selten.
Daher lohnt es sich, hier auf eine langfristige Partnerschaft zu bauen, um in so einem Notfall das richtige Know-how an Bord zu haben.
Was passiert, wenn ich ein Incident Response Team gefunden habe?
Das Incident Response Team stellt einen sog. Incident Manager; er koordiniert die Aufgaben zwischen allen Beteiligten und berät das Management.
Was sind die Aufgaben des Incident Managers?
Strukturierte Vorgehensweise
- Es ist wichtig, keine Übersprunghandlungen in so einer Situation zu machen und durch ein schnelles „Neuinstallieren von Systemen“ Beweise zu vernichten.
- Die Kommunikation mit Mitarbeitern, Kunden, Behörden und Lieferanten ist ebenfalls wichtig. Hierzu werden Statusmeetings mit dem Notfallteam durchgeführt.
- Es werden Kommunikationsvorlagen für die unterschiedlichen Zielgruppen festgelegt, damit keine falschen Informationen in Umlauf geraten.
- Ein Aktionsplan wird erstellt, und die Verantwortlichkeiten zugewiesen. Es wird in regelmäßigen Statusmeetings der Fortschritt der Aufgaben dokumentiert.
Die nächsten Schritte laufen im Idealfall parallel:
Analyse des Vorfalls
Der erste Schritt ist, den Cyberangriff zu analysieren, um den sog. „Patient Zero“ zu finden. Das ist das System mit der ersten Infektion. Hierzu wird die Unterstützung von der internen IT und einem Forensikteam benötigt.
Es müssen forensische Sicherungen für die Analyse erstellt werden. Die Analyse pro System dauert mindestens einen Arbeitstag.
Wiederherstellung und Bereinigung
Das Backup wird geprüft, und der optimale Zeitpunkt für die Wiederherstellung festgelegt. Nach der Wiederherstellung in einem isolierten Netz müssen alle Systeme auf Manipulationen geprüft werden.
Das gleiche gilt für alle Benutzerkonten; jeder bekommt ein neues Passwort!
Das oberste Ziel des Incident Managers ist ein „Notbetrieb“!
Der Notbetrieb bedeutet ein Minimalbetrieb der Unternehmensprozesse. Das heißt, in den wichtigsten Abteilungen arbeiten 1-2 Mitarbeiter mit den essenziellen Systemen für das Unternehmen.
Die Vorbereitung ist entscheidend!
Wer erst seine wichtigsten Mitarbeiter, Prozesse und IT-Systeme im Notfall bestimmen muss, braucht 2-3 Tage länger bis zum Notbetrieb!
Welche Fragen ein Incident Manager stellt, findest du in meinem Blog: 3 ESSENTIELLE FRAGEN ZUR IT-NOTFALLPLANUNG
Jeder, der sich vorbereiten will, kann mit mir einen kostenfreien Kennenlerntermin buchen, und wir besprechen das Thema IT-Notfallworkshop!
Einfach hier klicken: Kennenlernen von ISB PLUS – Sie können online buchen!