Mon entreprise

Notfallprotokoll bei Cyberangriffen: Ihr praktischer Leitfaden

Cybersecurity_Guide

In unserer zunehmend digitalisierten Welt ist kein Unternehmen vor Cyberangriffen sicher. Im Gegensatz zu der Vorstellung, dass Cyberangriffe nur große Organisationen betreffen, ist es wichtig zu verstehen, dass alle Unternehmen, unabhängig ihrer Größe oder den Informationen, die sie sammeln und verarbeiten, Ziel von Cyberkriminellen sein können.

Laut einem Bericht der ENISA aus dem Jahr 2021 berichteten 68% der kleinen und mittleren Unternehmen (KMU), dass sie Opfer eines Cyberangriffs geworden sind. Diese Zahlen sind in den letzten Jahren deutlich gestiegen, wobei 75% der Angriffe speziell auf mittelgroße Unternehmen abzielen.

Auch kleine und mittlere Unternehmen sind einer ständigen Bedrohung ausgesetzt. Leider verfügen viele von ihnen nicht über spezielle IT-Abteilungen, um diese Krisen zu bewältigen.

Angesichts dieser Tatsache wird es zu einer Priorität, zu verstehen, wie man effektiv auf einen Cyberangriff reagieren kann. Hier erfahren Sie, wie Sie in diesen schwierigen Situationen navigieren können:

1. Bereiten Sie sich vor - Identifizierung der Systeme und Vorbereitung

  • Erstellen Sie eine Liste aller Computersysteme in Ihrem Unternehmen. Dazu gehören Server, Desktops, Laptops, Tablets, Smartphones und alle anderen Geräte, die mit Ihrem Netzwerk verbunden sind. Diese Liste wird Ihnen helfen zu verstehen, welche Ressourcen im Falle eines Angriffs betroffen sein könnten und wo Sie Ihre Schutzbemühungen konzentrieren sollten.
  • Richten Sie ein System zur Datensicherung ein. Dies kann so einfach sein wie die Nutzung eines Online-Backup-Dienstes oder das Speichern regelmäßiger Kopien Ihrer wichtigen Dateien auf einer externen Festplatte.
  • Stellen Sie sicher, dass Ihr Unternehmen über eine effektive Firewall verfügt, um Ihr Netzwerk zu schützen. Eine Firewall ist ein System, das unberechtigten Zugriff auf Ihr Netzwerk verhindert und gleichzeitig legitime Kommunikation ermöglicht. Sie können einen Fachmann für Cybersicherheit mit der Installation beauftragen.
  • Aktualisieren Sie Systeme und Software regelmäßig. Updates enthalten häufig Sicherheitspatches, die Ihre Systeme vor bekannten Bedrohungen schützen können.
  • Schulen und sensibilisieren Sie Ihre Mitarbeiter regelmäßig. Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyberangriffe. Stellen Sie sicher, dass sie über die neuesten Bedrohungen informiert sind und wissen, wie sie im Falle eines Angriffs reagieren müssen.
  • Erstellen Sie einen Reaktionsplan für Vorfälle. Ein Reaktionsplan auf Vorfälle beschreibt die Schritte, die Ihr Unternehmen im Falle eines Cyberangriffs unternehmen muss. Dieser kann Informationen darüber enthalten, wie man einen Angriff identifiziert, den Angriff eindämmt, den Schaden bewertet, die Wiederherstellung durchführt und den Vorfall an alle betroffenen Parteien weiterleitet.

2. So reagieren Sie richtig während eines Vorfalls

Schritt 1: Identifikation des Vorfalls

Achten Sie auf aufschlussreiche Hinweise wie:

  • Verbindungsprobleme
  • unerklärliche Dateiänderungen
  • unregelmäßige Systemleistung
  • Warnungen von Sicherheitssoftware
  • etc. 

Schritt 2: Bleiben Sie ruhig

Bleiben Sie im Falle eines Angriffs ruhig. Wenn Sie die Schritte in diesem Leitfaden befolgen, können Sie die Situation organisiert bewältigen, die Auswirkungen begrenzen und Ihre Aktivitäten so schnell wie möglich wieder aufnehmen. Es ist wichtig, dass Sie nicht Lösegeldforderungen nachgeben und nicht auf Bedrohung reagieren.

Schritt 3: Informieren Sie Ihren Vorgesetzten

Sobald ein Angriff entdeckt wurde, benachrichtigen Sie umgehend Ihren Vorgesetzen, IT-Manager oder IT-Sicherheitsbeauftragten.

  1. Seien Sie präzise. Geben Sie konkrete Informationen über das, was Sie beobachtet haben, wie betroffene Systeme, Warnungen (oder Hinweise) und den Zeitpunkt der ersten Entdeckung.
  2. Versuchen Sie nicht, eine Lösung zu finden. Versuchen Sie nicht, die Schadsoftware zu entfernen oder die Systeme selbst wiederherzustellen, es sei denn, Sie sind ein Experte für Cybersicherheit.
  3. Folgen Sie den Anweisungen. Nachdem Sie Ihren Vorgesetzten informiert haben, sollten Sie bereit sein, seinen Anweisungen zu folgen.
  4. Dokumentieren Sie Ihre Handlungen. Führen Sie ein Protokoll über Ihre Handlungen und jedes ungewöhnliche Verhalten, das Sie beobachtet haben.

Ihre prompte Meldung kann bei der Bewältigung eines Cyberangriffs einen großen Unterschied machen.

Schritt 4: Eindämmung des Angriffs

  1. Versuchen Sie, die Auswirkungen zu begrenzen. Schnelles Handeln kann dazu beitragen, die Menge der betroffenen Daten oder Systeme zu reduzieren.
  2. Trennen Sie die betroffenen Systeme vom Netzwerk, um eine Ausbreitung des Angriffs zu verhindern. Dies kann verhindern, dass sich die Schadsoftware auf andere Systeme in Ihrem Netzwerk ausbreitet.
  3. Stellen Sie sicher, dass Sie die vorhandenen Daten sichern, um einen Informationsverlust zu vermeiden.

Wenn Sie keine aktuellen Datensicherungen zur Verfügung haben, kann es riskant sein während eines Angriffs, ohne die Hilfe eines Experten zu versuchen die Daten zu sichern. In diesem Fall wäre es ratsam, professionelle Hilfe in Anspruch zu nehmen.

Wenn Sie sich dazu entscheiden die Daten selbst zu sichern versuchen Sie die zu sichernden Daten zu isolieren, um das Risiko die Schadsoftware mitzusichern zu minimieren. Beispielsweise können Sie versuchen nur wichtige Dateien, die seit Beginn des Angriffs nicht verändert wurden, auf einem Datenträger, der nicht bereits andere Daten enthält, zu sichern.

Beachten Sie, dass dieses Verfahren Risiken mit sich birgt und dass es oft nicht einfach ist, solche Maßnahmen während eines Vorfalls durchzuführen. Es wird daher dringend empfohlen, sich mit einem Fachmann zu beraten.

  1. Verwenden Sie Ihre Firewall oder andere Sicherheitstools, um den Zugang des Angreifers zu blockieren. Dies kann die Aktualisierung Ihrer Virendefinitionen und die Durchführung eines vollständigen Systemscans zur Identifizierung und Entfernung von Schadsoftware beinhalten. Für die Suche nach Schadsoftware sollte eine Schwachstellenmanagement-Lösung verwendet werden.

Denken Sie daran, dass es zu bevorzugen ist Angriffe zu verhindern, bevor sie stattfinden, indem Sie über robuste Sicherheitsmaßnahmen verfügen, einschließlich regelmäßiger Sicherungen Ihrer Daten. Wenn Sie diese Maßnahmen noch nicht implementiert haben wird, dringend empfohlen dies so bald wie möglich zu tun.

Schritt 5: Kontaktieren Sie die Experten des Computer Incident Response Center Luxembourg (CIRCL) oder einen Fachmann für Cybersicherheit.

Es wird dringend empfohlen, Fachleute für Cybersicherheit mit der Bewältigung des Vorfalls zu beauftragen, insbesondere wenn Ihr Unternehmen nicht über eine eigene interne IT-Abteilung verfügt. In diesem Stadium sollten Sie das Computer Incident Response Center Luxembourg (CIRCL) oder einen Fachmann für Cybersicherheit kontaktieren, um Hilfe zu erhalten.

Wenn Sie CIRCL kontaktieren möchten, finden Sie hier die notwendigen Informationen:

  • (+352) 247 88444
  • E-Mail: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Wenn Sie sich im Falle eines Vorfalls an CIRCL oder einen anderen Fachmann für Cybersicherheit wenden, ist es möglicherweise nicht selbstverständlich, dass Sie sofort über alle notwendigen Informationen verfügen. Seien Sie jedoch bereit, so viele Informationen wie möglich über den Vorfall zu liefern, einschließlich:

  • der Art des Angriffs
  • der betroffenen Systeme
  • der kompromittierten Daten
  • der Maßnahmen, die Sie bislang ergriffen haben, um den Angriff einzudämmen
  • etc.

Es ist wichtig, ein Ereignisprotokoll mit allen Beschreibungen, Beweisen und der Chronologie zu führen, auch wenn nicht alle diese Informationen sofort verfügbar sind. Diese Informationen werden den Fachleuten helfen, die Situation zu verstehen und die besten Schritte zu bestimmen.

3. Aktivitäten/Analysen nach dem Vorfall

Schritt 6: Bewertung des Angriffs

Die Bewertung wird Ihnen helfen zu verstehen, welche Systeme betroffen sind, welche Daten kompromittiert wurden und wie groß der Schaden ist, der durch den Angriff verursacht wurde.

1. Identifizierung der betroffenen Systeme

  • Beginnen Sie mit einer Liste aller Computersysteme in Ihrem Unternehmen. Dazu gehören Server, Desktops, Laptops, Tablets, Smartphones und alle anderen Geräte, die mit Ihrem Netzwerk verbunden sind.
  • Prüfen Sie für jedes Gerät, ob es Anzeichen eines Angriffs aufweist. Einige Beispiele für Anzeichen, dass ein Gerät infiziert ist :
    • ungewöhnlich langsame Leistung
    • fehlende oder veränderte Dateien
    • Daten oder Dateien, die ohne Genehmigung hinzugefügt wurden
    • unbekannte Programme, die ausgeführt werden
    • Sicherheitswarnungen
    • etc.

2. Analyse kompromittierter Daten

Versuchen Sie für jeden Datentyp zu verstehen, welche Auswirkungen die Kompromittierung dieser Daten auf Ihr Unternehmen haben kann. Die Daten können persönliche Kundeninformationen, Finanzdaten, geistiges Eigentum, Leistungsdaten des Unternehmens, interne Kommunikation, etc. umfassen. Wenn beispielsweise persönliche Kundendaten kompromittiert wurden könnte dies zu einer Verletzung der Datenschutzgesetze (GDPR) und zu erheblichen Geldbußen führen. Wenn Finanzdaten kompromittiert wurden, könnte dies Auswirkungen auf die finanzielle Leistung Ihres Unternehmens haben.

3. Bewertung des Schadensausmaßes

Schätzen Sie das Ausmaß des Schadens, der durch den Angriff verursacht wurde. Es kann schwierig sein dies zu quantifizieren, aber es ist wichtig eine möglichst genaue Schätzung zu erhalten, um Ihre nächsten Schritte zu lenken. Das Ausmaß des Schadens kann anhand verschiedener Faktoren bewertet werden, wie z.B. den Kosten für die Wiederherstellung betroffener Systeme, den Kosten für die Einhaltung von Datenschutzgesetzen, dem Einkommensverlust aufgrund einer Unterbrechung des Geschäftsbetriebs und dem potenziellen Schaden für den Ruf Ihres Unternehmens.

Es wird dringend empfohlen, während des gesamten Prozesses die Hilfe von Fachleuten für Cybersicherheit in Anspruch zu nehmen. Sie verfügen über das nötige Fachwissen, um das Ausmaß des Angriffs genau und umfassend zu bewerten und können Ihnen helfen Maßnahmen zur Verhinderung künftiger Angriffe zu bestimmen und umzusetzen.

Schritt 7: Benachrichtigung der betroffenen Parteien

Informieren Sie alle betroffenen Parteien über den Vorfall. Dies kann Mitarbeiter, Kunden, Geschäftspartner und die zuständigen Behörden wie die Nationale Datenschutzkommission (CNPD) in Luxemburg oder die Polizei einschließen.

Schritt 8: Lösung und Wiederherstellung

Nachdem Sie den Angriff eingegrenzt und bewertet haben, bereinigen Sie die betroffenen Dienste und Systeme und stellen Sie sie wieder her. Die Bereinigung von Systemen kann die Entfernung von Schadsoftware, die Reparatur von Systemdateien, die Wiederherstellung von Systemen aus sicheren Backups und die Installation von Updates oder Fehlerbehebungen beinhalten.

Wenn Sie kein Backup-System eingerichtet haben, kann die Datenwiederherstellung komplizierter sein. Fachleute für Cybersicherheit oder Datenrettungsdienste können möglicherweise in der Lage sein, einige Informationen wiederherzustellen, aber es gibt keine Garantie dafür.

Schritt 9: Analyse nach dem Vorfall

Analysieren Sie nach dem Krisenmanagement den Vorfall, ziehen Sie Lehren und führen Sie neue Sicherheitsmaßnahmen ein.

  1. Identifizierung von Schwachstellen: Welche Schwachstellen wurden vom Angreifer ausgenutzt? Wie können sie verstärkt werden ?
  2. Zusätzliche Sicherheitsmaßnahmen: Welche zusätzlichen Sicherheitsmaßnahmen können ergriffen werden, um zukünftige Angriffe zu verhindern?
  3. Bewertung der aktuellen Verfahren: Überprüfen Sie Ihre aktuellen Verfahren und identifizieren Sie die Bereiche, die Verbesserungen erfordern.
  4. Schulung und Sensibilisierung: Stellen Sie sicher, dass Ihre Mitarbeiter über die neuesten Bedrohungen informiert sind und wissen, wie sie im Falle eines Angriffs reagieren müssen.
  5. Implementierung eines Krisenreaktionsplans: Falls Sie nicht bereits über einen Krisenreaktionsplan verfügen, entwickeln Sie einen, der die im Falle eines Cyberangriffs zu unternehmenden Schritte detailliert beschreibt.

Die Analyse nach einem Vorfall ist ein entscheidender Schritt, um zu verstehen, was passiert ist und wie man verhindern kann, dass es in Zukunft wieder passiert. Die Zusammenarbeit mit Fachleuten für Cybersicherheit kann Ihnen helfen, diese Analyse genauer und umfassender durchzuführen.

Schlussfolgerung

Die Bewältigung eines Cyberangriffs ist ein komplexer und sensibler Prozess, der Vorbereitung, schnelle Reaktion und gründliche Analyse erfordert. Der in diesem Dokument beschriebene schrittweise Ansatz soll sicherstellen, dass die richtigen Maßnahmen zum richtigen Zeitpunkt ergriffen werden, um den Vorfall optimal zu bewältigen.

Denken Sie daran, dass Vorbeugung oft die beste Verteidigung ist. Die Investition in robuste Sicherheitsmaßnahmen, die regelmäßige Schulung Ihrer Mitarbeiter und ein vorhandener Plan zur Reaktion auf Vorfälle können Ihnen helfen das Risiko zu minimieren und Angriffe effektiv zu bewältigen.

Wenn Sie Fragen haben oder weitere Unterstützung benötigen, wenden Sie sich bitte an Fachleute für Cybersicherheit oder an das Nationale Kompetenzzentrum für Cybersicherheit (NC3) in Luxemburg.