Was habe ich schon alles erlebt?
Der Moment, in dem man beim Kunden ankommt und fragt: Was wurde bisher gemacht?
Nach der Antwort weiß man, wie der Notfalleinsatz verlaufen wird.
Eine Antwort, die man nicht hören möchte:
“Ich habe alle Netzwerkkabel aus dem zentralen Switch im Serverraum gezogen!”
Das sind solche Übersprunghandlungen die man auf jeden Fall vermeiden sollte, denn damit hat man sich direkt viele Möglichkeiten der Adhoc Maßnahmen genommen.
Das wäre ähnlich, wie wenn ich mit dem Auto im Schlamm stecke und die Räder abmontiere.
Aber was soll man tun, wenn plötzlich ein unglaublicher Stress und nur noch Hektik um einen herum ist?
- Beispiel Verdachtsfall einzelner Rechner oder Server
System laufen lassen
- Schadcode läuft meist im Arbeitsspeicher
Netzwerk trennen
- Isolierung durch AV- oder XDR-Lösung
- Alle Verbindungen zu Netzwerk und Internet trennen
- VPN-Einwahl deaktivieren
Beweissicherung
- Fotos von Meldungen machen
- Forensisches Image oder Snapshot mit Arbeitsspeicher erstellen
- Logs auf USB-Stick sichern
- Beispiel Großflächiger Malware-Ausbruch
Internetverbindung trennen
- Firewall-Regel “Drop-All” in alle Richtungen aktivieren (Logging aktivieren)
- Alternativ: Kabel zum zentralen Modem ziehen ggf. auch Backupleitung
- bei VMs virtuelle Netzwerkkarte trennen
Beweissicherung
- Fotos von Meldungen machen
- Snapshot mit Arbeitsspeicher von zentralen Servern wie z.B. Domänencontroller erstellen
Backup schützen
- Backup-Systeme vom Netzwerk trennen
- Prüfung des letzten vollständigen Backups
- Snapshots auf SAN prüfen
Während die Administratoren diese Maßnahmen umgesetzt haben, sollte sich jemand um Hilfe durch ein Incident Response Team bemühen. Oft helfen hier auch IT-Dienstleister oder Cyber-Versicherungen.
Ich habe es auch schon oft erlebt, dass in solchen Situationen völlig vergessen wurde, dass es eine Cyberversicherung gibt. In dieser Situation ist jede Hilfe wichtig, das Ganze muss nur richtig koordiniert werden.
Deshalb ist es wichtig, einen Incident Manager zu haben, der als Schnittstelle zwischen IT, Forensik, Incident Response und Management fungiert.
Hier findest Du eine Antwort auf die Frage: WER HILFT MIR BEI EINEM CYBERANGRIFF?