Ein Cyberangriff ist für jedes Unternehmen eine schwerwiegende Bedrohung. Angreifer verschaffen sich oft nicht nur Zugang zu sensiblen Daten, sondern überwachen auch die internen Kommunikationskanäle, um ihre Aktionen zu koordinieren und Beweise zu vernichten. In einem Incident Response Fall, den ich betreut habe, wurde genau das zum Verhängnis.
In diesem Artikel zeige ich, was Angreifer während eines Cyberangriffs tun und warum es so wichtig ist, einen autarken Kommunikationskanal zu nutzen, um sicher und ungestört die notwendigen Maßnahmen zu koordinieren.
Sie lesen deine interne Kommunikation
Während eines Cyberangriffs gehen Angreifer gezielt vor, um ihre Aktionen unentdeckt zu halten. Dazu gehört es häufig, die interne Kommunikation des Unternehmens zu überwachen. Das bedeutet: Sie lesen mit, was im Krisenstab, in der IT-Abteilung oder sogar in der Unternehmensführung besprochen wird. Dadurch können sie nicht nur reagieren, sondern auch aktiv Gegenmaßnahmen ergreifen, um die Spur zu verwischen.
Ein realer Fall aus meiner Erfahrung:
In einem von mir betreuten Incident Response Fall war das Unternehmen bereits einige Tage von einem Cyberangriff betroffen. Der Krisenstab des Unternehmens beschloss, den Internetzugang um 16:00 Uhr abzuschalten, um den Schaden zu begrenzen und weitere Manipulationen zu verhindern. Diese Entscheidung wurde um 14:00 Uhr per E-Mail an alle Mitarbeiter kommuniziert.
Was wir jedoch nicht wussten: Die Angreifer lasen mit.
Um 14:30 Uhr konnten die forensischen Analysen feststellen, dass systematisch Logdaten und andere wichtige Systemeinträge gelöscht wurden – offensichtlich von den Angreifern selbst, um ihre Spuren zu verwischen. Sie hatten die Information über die geplante Abschaltung erhalten und reagierten gezielt darauf, indem sie Beweise vernichteten.
Warum du ein autarkes Kommunikationsmedium nutzen musst!
Dieses Beispiel verdeutlicht, wie gefährlich es sein kann, die Kommunikation während eines Cyberangriffs über kompromittierte Kanäle zu führen. Die Angreifer haben nicht nur Zugang zu Daten, sondern auch zur internen Kommunikation, was ihnen einen entscheidenden Vorteil verschafft.
Deshalb ist es essenziell, in der Notfallplanung einen unabhängigen, autarken Kommunikationskanal zu nutzen, sobald ein Angriff festgestellt wurde. Hier sind einige Gründe, warum das so wichtig ist:
- Vertraulichkeit der Kommunikation
Wenn Angreifer die interne Kommunikation überwachen, haben sie einen Wissensvorsprung. Ein autarkes Kommunikationssystem stellt sicher, dass der Krisenstab ungestört und sicher Entscheidungen treffen kann, ohne dass die Angreifer mitlesen. - Vermeidung von Gegenmaßnahmen der Angreifer
Wie im oben beschriebenen Fall können Angreifer ihre Aktionen anpassen, wenn sie wissen, dass sie kurz vor der Entdeckung stehen. Indem du einen unabhängigen Kommunikationskanal nutzt, verhinderst du, dass sie auf eure Pläne reagieren und möglicherweise weitere Schäden anrichten. - Sichere Koordination des Krisenstabs
In der Hektik eines Cyberangriffs ist es wichtig, dass der Krisenstab in Echtzeit kommunizieren und handeln kann. Ein autarkes System, das nicht von der IT-Infrastruktur des Unternehmens abhängig ist, ermöglicht eine sichere Koordination – selbst wenn interne Systeme kompromittiert sind.
Welches Kommunikationsmedium eignet sich?
Für die Krisenkommunikation während eines Cyberangriffs gibt es verschiedene Optionen. Wichtig ist, dass diese Plattformen nicht mit den kompromittierten Systemen, z. B. Active Directory (AD) oder anderen Anmeldedaten, verknüpft sind. Hier sind einige Beispiele für autarke Kommunikationsmittel:
- Instant Messaging Plattformen: Messenger-Dienste wie u.a. Signal können eine schnelle und sichere Kommunikation gewährleisten.
- Online-Meeting-Plattformen: Unabhängige Videokonferenz-Tools wie Zoom oder GoToMeeting (wenn nicht über AD eingebunden) können genutzt werden, um virtuelle Meetings abzuhalten, ohne dass die Angreifer darauf zugreifen können.
- Sichere Cloud-Dienste: Für den Austausch sensibler Dokumente sollten separate Cloud-Dienste genutzt werden, die außerhalb der Unternehmensinfrastruktur liegen.
Die Hauptanforderung ist, dass die Plattform autark ist und nicht auf den bereits kompromittierten Zugangsdaten basiert. Nur so kann sichergestellt werden, dass die Angreifer keinen Zugang zu diesen Kommunikationskanälen haben.
Fazit: Autarke Kommunikation als essenzieller Bestandteil der Notfallplanung
Ein Cyberangriff ist nicht nur ein technisches Problem, sondern stellt auch enorme Herausforderungen an die Kommunikationsstrategie. Angreifer, die während des Angriffs Zugriff auf die interne Kommunikation erhalten, können Maßnahmen sabotieren und Beweise vernichten. Deshalb sollte die Nutzung eines autarken Kommunikationsmediums ein zentraler Bestandteil deiner Notfallplanung sein.
Sorge dafür, dass dein Krisenstab und die relevanten Teams immer Zugang zu einer sicheren Kommunikationsplattform haben, die von der IT-Infrastruktur des Unternehmens unabhängig ist. So stellst du sicher, dass du in einer kritischen Situation handlungsfähig bleibst – und die Angreifer keine Informationen nutzen können, um sich weiter abzusichern.
Hier geht es zu, Was gehört in einen IT-NOTFALLKOFFER
Ob man es glaubt oder nicht, selbst Stiftung Warentest hat sich mit sicheren Instant Messanger befasst: TEST