Cyber-Angriff überstehen

Wie einen Cyberangriff überstehen? Durch „Eingeschränkte“ Business Continuity - auch im Notfall

Beim einem Angriff kann man mit den Backup-Daten eine Notfall-Produktion (z.B. ReadOnly-Mode) zur Verfügung stellen:

• Notfall-Produktion in einem „sicheren“ Bereich (Notfall-RZ / -Cloud usw.)
• Bereitstellung von wichtigen Informationen, d.h. verifizierte / überprüfte / sichere Versionen.

Sollte dies auch nicht der ganz aktuelle Stand der Daten sein, so können diese aber zumindest keinen weiteren Schaden anrichten.

 

Mit entsprechenden Übungen von Notfallverfahren (DR-Test) können die Auswirkungen RTO und RPO im Disaster-Fall minimiert werden. Jedoch nur mit den Backup-Daten können DR-Verfahren wirklich getestet werden - mit produktiven Daten ist dies nur sehr eingeschränkt möglich. Im „Worst Case Fall“ sind zudem nur die Backup-Daten noch vorhanden. Heute ist es nicht mehr die Frage, ob es passiert, sondern wann es passiert: Nur wer mit dem „wirklichen“ Disaster Recovery-Fall (Worst Case Fall) rechnet, hat auch eine Chance. 

Bedrohungserkennung / Forensik

Suchen Sie sich unbedingt Hilfe und Unterstützung in der Forensik und erörtern Sie die Fragen: Wann / Was / Wo usw. - diese bieten wichtige Lessons Learned. 

 

Eine Bedrohungserkennung erfordert, dass Backup-Daten analysiert und nach „schlafenden“ Bedrohungen untersucht werden. Auch „ältere“ Backup-Versionen können mit aktuellsten Verfahren überprüft werden.

 

Es gilt auszuwerten: Konnte der Befall nicht entdeckt werden - oder konnte eine frühzeitige Erkennung von langfristigen geplanten Attacken erfolgreich Angriffe verhindern? 

 

Und nach dem Angriff…? Nach einem Angriff versucht man den Restore der Daten/Systeme mit möglichst wenig RTO und RPO - und den Aufbau der Produktion mit möglichst wenig negativen Überraschungen.