Während dem Erst-Besuch bei einem potenziellen Neukunden (Industrie, Produktion) ist es passiert: Ein Cyber-Angriff fand statt.

  • Server teilweise verschlüsselt, teilweise gelöscht
  • Daten auf den Storage Systemen komplett gelöscht
  • Backup verschlüsselt
  • Komplette Kommunikation lahmgelegt, sogar die Telefonanlage war betroffen
  • Produktion komplett lahmgelegt

Die Folge: Der ganze Laden ein einziger Hühnerhaufen, alle rennen kopflos herum und keiner hat einen Plan, was nun zu tun ist.

Dabei gibt es längst eine Vorsorge, welche es ermöglicht, einen Angriff zu erschweren und darüber hinaus zumindest die Schäden zu minimieren und diese zumindest halbwegs im Rahmen zu halten:

  1. Sind alle privilegierten Admin-Accounts vor unberechtigtem Missbrauch geschützt durch eine starke Authentifizierung und Autorisierung (Multi-Faktor Authentifikation, Kontext Awareness)?
  2. Sind bestehende VPN Zugänge personalisiert und entsprechend der notwendigen Zugriffsmöglichkeiten ausgelegt?
  3. Sind die VPN Zugänge in das Netzwerk durch eine starke Authentifizierung und Autorisierung geschützt?
  4. Sind nicht mehr unbedingt notwendige VPN Zugänge stillgelegt?
  5. Werden VPN Zugänge überhaupt noch benötigt oder sind Alternativen sinnvoller?
  6. Gibt es eine Übersicht (jünger als 6 Monate!) über aktuelle Schwachstellen in der IT-Landschaft und gibt es eine Einschätzung, wie groß die Eintrittswahrscheinlichkeit für das Unternehmen ist? Regelmäßige Pen-Tests zeigen Probleme frühzeitig auf!
  7. Wer kann mit welchem Budget schnellstmöglich die größten Schwachstellen davon beseitigen?
  8. Ist ein DNS-Schutzschirm zum Internet etabliert, um Anomalien und Angriffsversuche frühzeitig zu erkennen und zu blocken?
  9. Ist im Unternehmens-Netzwerk eine Erkennung von Netzwerk-Anomalien vorhanden?
  10. Ist für den Eintritt eines Vorfalls die 24/7 Verfügbarkeit von Incident & Response Spezialisten gewährleistet?
  11. Ist das Online-Backup ausreichend geschützt und aktualisiert?
  12. Ist dieses Backup auch als Offline-Backup vorhanden?
  13. Sind Backups nach separiert nach Tagen, Wochen und Monaten sowohl Online als auch Offline verfügbar?
  14. Gibt es einen Plan, welche Systeme in welcher Reihenfolge mit entsprechenden Backups wieder hochgefahren werden sollen?
  15. Ist das Einspielen eines Backups eine trainierte Routine-Aufgabe?
  16. Welche anderen Wiederanlaufprozesse sind (und in welcher Reihenfolge!) notwendig, um einen Minimal-Betrieb zu gewährleisten?
  17. Bei Cyber-Angriffen ist immer mit DSGVO-Verstößen zu rechnen. Obschon gesetzlich vorgeschrieben, ist dies offensichtlich immer noch nicht überall angekommen, dass hier umgehend Unternehmen proaktiv tätig werden müssen. Verantwortlichkeiten mit Budget schaffen und regelmäßige Überprüfungen etablieren.
  18. Ist gewährleistet, mobilen Geräten so weit wie irgend machbar der Zugriff auf interne Systeme zu verweigern?
  19. Netzwerk ist längst nicht mehr nur die "IT" - ist OT im gleichen Umfang in die Sicherheit mit eingebunden?

Diese Liste ist sicherlich noch um viele Punkte erweiterbar - Sinn und Zweck ist aber NICHT, hier ein komplexes Notfall-Handbuch zu erstellen, sondern mit minimalstem Aufwand einen Cyber-Angriff zu verhindern bzw. im Falle eines Falles die Folgen zumindest zu minimieren und einen koordinierten Wiederanlauf des Unternehmens zu ermöglichen.

Grundsätzlich immer eine gute Idee: Alle überflüssigen Netzwerkverbindungen, Dienste, Anwendungen und Systeme entfernen. Es muss alles raus, was nicht mehr benötigt wird oder mehrfach vorhanden ist. Der Zugang auf Anwendungen und Daten radikal auf die User beschränken, welche den Zugriff auf diese Daten wirklich benötigen (das sorgt für Sprengstoff - garantiert, keiner will sich von "seinen" Daten aussperren lassen!). Zudem sind die wertvollsten Daten und Systeme besonders gut zu schützen, kritische Daten zu verschlüsseln sowie die Schlüssel dazu separat zu lagern, Daten sowie Schlüssel zusätzlich redundant und offline speichern.

Nochmal - diese obigen Punkte nur ein Teil dessen, was eigentlich wichtig und notwendig ist - nämlich ein unternehmensbezogenes Notfall-Handbuch zu Cyber-Angriffen. Für viele Verantwortliche in den Firmen wird ein entsprechendes Notfall-Handbuch immer ein unerfüllbarer Traum bleiben (warum auch immer...), aber die sofortige Umsetzung der obigen Punkte sind in den heutigen Zeiten für ein Unternehmen mit 3.500 Mitarbeitern wirklich nicht zu viel verlangt.

Alles andere ist von der Unternehmensleitung unverantwortlich - gegenüber den Eigentümern, Lieferanten, Mitarbeitern und Kunden!

 

Partner | Referenzen
  • Postbank.jpg
  • hvb.jpg
  • netcologne.gif
  • TDT-AG.JPG
  • VOESTALPINE.png
  • 1_LOGO_VARONIS.png
  • deutschepost.gif
  • BAYER.png
  • 1_LOGO_Avalara.jpg
  • commerzbank.gif
  • CLAAS.png
  • VENTURETEC.png
  • tuev-nord.jpg
  • LMK.png
  • gieseckedevrient.gif
  • 1_LOGO_FARSITE.png
  • dlr.png
  • NXP.png
  • vodafone.gif
  • 1_LOGO_SSH.png