“Wie soll man sowas simulieren?” werden jetzt viele denken.
Genau das ist meine Aufgabe!
Eine IT-Notfallübung muss gut geplant sein, damit der Ernstfall möglichst realistisch durchgespielt werden kann.
Welches Notfallszenario wir simulieren, entscheidet der Kunde.
Überraschung: Meist ist es der Verschlüsselungstrojaner
D.h. nichts geht mehr, alles ist verseucht und wir müssen einen autarken IT-Notbetrieb aufbauen!
Der erste Teil meiner Aufgabe besteht darin, zu prüfen, wie der Kunde den IT-Notbetrieb aufbauen will.
Ich erstelle eine Checkliste und einen Ablaufplan mit den notwendigen Schritten!
Ist die Checkliste dann vollständig?
Auf keinen Fall, denn in der Praxis tauchen immer wieder neue Probleme auf!
Ein System fährt nach der der Wiederherstellung nicht sauer hoch!
Plötzlich fehlt das richtige Modul für den Notfallswitch oder die neuen Netzbereiche können die wiederhergestellten Systeme nicht erreichen!
Das wird dann im Rahmen der Notfallübung von mir dokumentiert und im besten Fall funktionsfähig umgesetzt!
Wenn die technische Umgebung für den IT-Notbetrieb steht, kann mit dem Notfallteam der Fachbereiche das Arbeiten in einer solchen abgespeckten Umgebung getestet werden!
Dann kommen wir zur nächsten Aufgabe bzw. zu den roten und blauen Umschlägen!
Dort sind die Aufgaben für die Gruppen hinterlegt.
- Kann ich auf unser Banking zugreifen?
- Habe ich alle Kontaktdaten?
- Was mache ich, wenn die lokale Presse nachfragt, ob an den Gerüchten über einen Cyberangriff etwas dran ist?
- Kundenanfragen werden per E-Mail und Telefon simuliert!
- Die IT-Abteilung muss Systeme untersuchen und Netzwerkverbindungen überprüfen.
Die Ziele sind:
Haben wir an alles gedacht, was der Kunde mindestens zum Arbeiten braucht?
Wie reagieren meine Kolleginnen und Kollegen in solchen Stresssituationen?
Funktioniert das Hardware-Setup für den IT-Notbetrieb?
Was ist in meinem Koffer?
Spiel, Spannung und Überraschung
Mit den Handys simuliere ich, wie gut die Offline-Kontaktlisten des Kunden sind, wenn alle Kontakte weg sind.
Ein USB-Stick enthält meine Ransomware-Simulation, damit es auch etwas zu analysieren gibt!
Die Festplatten und der USB-Stick sind für die Erstellung von forensischen Images, denn die brauchen die IT-Forensiker! Wir üben, wie das funktioniert und wie lange die Erstellung dauert.
Alle anderen Sticks sind mit Tools zur Ad-hoc-Analyse und Bereinigung von infizierten Systemen vorbereitet, denn sowohl die Anwendung als auch die Interpretation der Ergebnisse üben wir gemeinsam.
Was passiert wenn etwas schief geht oder überhaupt nicht klappt?
Dann sind alle froh, dass wir es jetzt gemerkt haben und nicht erst im Ernstfall!
Denn genau das ist unser Ziel und genau deswegen ist es zwar blöd, aber nicht schlimm wenn die Übung schief geht!
Was gehört in einen IT-NOTFALLKOFFER?