Datensicherheit: So erstellen Sie einen soliden Notfallplan bei Cyberattacken
Mitte Oktober war der deutsche Mittelständler Pilz Ziel eines schweren Cyberangriffs und dadurch weitgehend arbeitsunfähig geworden. Das Unternehmen hatte keinen Zugriff mehr auf die eigenen Serverdaten, sie waren von fremder Hand verschlüsselt worden.
Doch es war zu spät! Mit Erpressungstrojanern, sogenannter Ransomware, hatten die Hacker die Server attackiert und einen Teil der Daten quasi gekidnappt. Monitoring-Systeme der Webserver des Spezialisten für Sicherheits- und Steuerungstechnik hatten zwar verdächtige Aktivitäten identifiziert und Pilz nach eigenen Angaben auch sofort sämtliche Netzwerke und Server abgeschaltet, um eine Ausbreitung des Angriffs im Betrieb und nach außen zu verhindern.
Doch die Täter hatten bereits einen Teil der Daten im Griff. Und davon waren die Server- und Kommunikationssysteme des Familienunternehmens aus Ostfildern weltweit betroffen und Pilz praktisch erstmal nicht mehr erreichbar, weder telefonisch noch per Mail. „Selbst die Webseite des Unternehmens zeigt sich im Wartemodus“, berichtete das Magazin t3n.
Solche Vorfälle sind keine Einzelfälle in der Zeit der Digitalisierung im Office. 58 Prozent der Unternehmen und Behörden waren nach einer Studie des Bundesministeriums für Informationstechnologie in den vergangenen zwei Jahren Ziel von Cyberangriffen. Dabei werden die Angriffe Experten zufolge immer geschickter und zielen auch auf kleine und mittelständische Unternehmen.
IT-Notfallkarten für KMU
Guter Schutz ist eine Sache. Dazu zählen:
- Firewalls
- Virenscanner
- Backups & Co.
- ebenso wie Zugriffsrechte
- oder die Sensibilisierung der Mitarbeiter für die menschlichen Schwachstellen, um nur ein paar Stichworte aus der komplexen Cybersecurity-Thematik zu nennen.
Cyberattacke: Was aber kann man im Krisenfall tun?
Hier ist gute Vorbereitung gefragt, und beim Erstellen eines sogenannte Notfallplans können gerade Assistenzkräfte oft sehr gut unterstützen. Ein komplexes Projekt, bei dem vieles zu beachten ist. Doch im Fall der Fälle geht es vor allem darum, schnell zu reagieren und so den Cyberangriff möglichst rasch zu unterbinden, die Daten zu schützen und auch die Arbeitsfähigkeit des Unternehmens wiederherzustellen. Dafür legt der Notfallplan verschiedene Sofortmaßnahmen fest, beispielsweise wenn die Bürokommunikation lahmgelegt wird wie bei Pilz, wichtige Webseiten nicht mehr erreichbar sind oder die Produktion wegen eines digitalen Angriffs stillsteht. Denn mit Stecker ziehen allein ist es nicht getan.
Was enthält die Notfallkarte?
Die Notfallkarte umfasst
- IT-Notruf und
- Erste-Hilfe-Maßnahmen.
Sie steht bei der vom BSI ins Leben gerufenen Allianz für Cybersicherheit (ACS) in der Rubrik „Angebote“ zum Download bereit. Dort gibt es als PDF auch die „Top-12-Maßnahmen bei Cyberangriffen“ mit den Kernfragen für den Krisenfall, die nicht nur intern, sondern auch extern, etwa IT-Forensikern, Polizei und IT-Experten helfen
Was zu einem guten Notfallmanagement gehört
In einem dreiseitiger Maßnahmenkatalog zum Notfallmanagement hat die ACS alle Informationen gesammelt, die für KMUs besonders nützlich sind. Er strukturiert:
- den Aufbau eines Notfallprozesses
- eine Leitlinie zum Notfallmanagement
- Entwicklung eines Vorsorgekonzeptes
- sowie einem Notfallhandbuch.
Das umfasst also den Schutz in der Vorbereitung ebenso wie „Bereitschaft“, etwa mit Erreichbarkeiten, der Komplex „Bewältigung“ an sich samt Meldepflichten, Kontaktaufnahme zu IT-Dienstleistern, Behörden und Geschäftspartnern sowie die Nachbereitung, die ebenfalls wichtig ist.
Hilfreich: Der Dreiseiter enthält unter anderem die Liste der Zentralen Ansprechstellen für Cybercrime der Polizeien der Länder und des Bundes als QR-Code, der sich im Fall der Fälle auch per Smartphone öffnen lässt.
Cyber-Angriffe wirken vielschichtig, erfordern oft auch ein Experten-Netzwerk aus IT-Forensik, Krisenberatung, PR-Management und Rechtsberatung. Ist es im Vorfeld aufgebaut, lässt sich so ein Netzwerk dann im Angriffsfall schnell aktivieren. Inzwischen haben sich darauf auch etliche IT-Dienstleister und sogar Versicherungen spezialisiert. Ein Versicherungsmakler für den Verband Deutscher Maschinenbauer (VDMA) etwa bietet mit der VDMA Cyber-Police nicht nur Notfall-Hotline und All-Risk-Deckung, sondern auch ein Expertennetzwerk.
Wie schnelles Handeln und gute Koordination das Schlimmste abwehren können
Pilz hat hatte übrigens innerhalb weniger Stunden die Behörden benachrichtigt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelgerecht informiert und Anzeige erstattet. Eigene Experten und externe Forensiker begannen in Koordination mit dem Landeskriminalamt den Angriff und seine Folgen zu untersuchen. Zum Vorfall allerdings durfte Pilz wenig sagen, um die laufenden Ermittlungen nicht zu gefährden, hieß es in einer Presseinformation.
Gleichzeitig musste Pilz ohne Zugriff auf Daten und Kommunikationssysteme seine Geschäfte weiterführen, also ohne per Mail oder Telefon erreichbar zu sein. In den ersten Tagen organisierte sich der schwäbische Hidden Champion, der den roten Not-Aus-Knopf für Maschinen und Anlagen erfunden hat, mit Hilfe agiler Methoden über Whiteboards und sichere Messenger-Dienste. Arbeitsgruppen wurden gebildet und in Abstimmungsrunden gemeinsam Prioritäten festgelegt, die Betreuung und Belieferung der Kunden etwa. Die Kommunikationsabteilung beispielsweise, digital nun praktisch abgeschnitten, legte sich notfallmäßig eine nicht vernetzte E-Mail-Adresse und eine Mobilnummer zu, über die nun erstmal die Pressekontakte laufen konnten.
Parallel zur Abwehr des Angriffs prüften Forensiker gewissenhaft, welche Bereiche des Netzwerks betroffen waren und säuberten die Daten
so das Unternehmen. Schritt für Schritt nahm das Unternehmen so seine IT-Infrastruktur wieder in Betrieb. Gut fünf Wochen später konnte Pilz verlautbaren:
Es wurden weder Kunden- noch Lieferanten-Daten gestohlen, zudem konnten wir keine virale Ausbreitung des Angriffs feststellen. Das sind die guten Nachrichten!
, so der geschäftsführende Gesellschafter Thomas Pilz.
Doch bis für alle Mitarbeiter sämtliche IT-Dienste wieder in gewohntem Umfang zur Verfügung stehen, wird wohl noch einige Zeit vergehen.
Parallel zur Abwehr des Angriffs prüften Forensiker gewissenhaft, welche Bereiche des Netzwerks betroffen waren und säuberten die Daten
so das Unternehmen. Schritt für Schritt nahm das Unternehmen so seine IT-Infrastruktur wieder in Betrieb. Gut fünf Wochen später konnte Pilz verlautbaren:
Es wurden weder Kunden- noch Lieferanten-Daten gestohlen, zudem konnten wir keine virale Ausbreitung des Angriffs feststellen. Das sind die guten Nachrichten!
, so der geschäftsführende Gesellschafter Thomas Pilz.
Doch bis für alle Mitarbeiter sämtliche IT-Dienste wieder in gewohntem Umfang zur Verfügung stehen, wird wohl noch einige Zeit vergehen.
Parallel zur Abwehr des Angriffs prüften Forensiker gewissenhaft, welche Bereiche des Netzwerks betroffen waren und säuberten die Daten
so das Unternehmen. Schritt für Schritt nahm das Unternehmen so seine IT-Infrastruktur wieder in Betrieb. Gut fünf Wochen später konnte Pilz verlautbaren:
Es wurden weder Kunden- noch Lieferanten-Daten gestohlen, zudem konnten wir keine virale Ausbreitung des Angriffs feststellen. Das sind die guten Nachrichten!
, so der geschäftsführende Gesellschafter Thomas Pilz.
Doch bis für alle Mitarbeiter sämtliche IT-Dienste wieder in gewohntem Umfang zur Verfügung stehen, wird wohl noch einige Zeit vergehen.
Welche Präventionsmaßnahmen können Cyberattacken vorbeugen?
Wenn Sie auf Nummer sicher gehen wollen, sollten Sie wichtige Dokumente in einen Cloud-Dienst nutzen. ablegen. Welche dafür zur Verfügung stehen, lesen Sie im Artikel: Cloud-Dienste: Was Sie über Datenwolken wissen sollten
Achten sie auch auf Datensicherheit, wenn Sie mit Microsoft Teams arbeiten.
