Insight11 Schritte, wenn Sie bemerkt haben, dass sich Hacker in Ihren Systemen befinden

In den Medien sind erste Berichte über ernsthafte Penetrationsversuche über diese Schwachstelle durch Cyberkriminelle und Geheimdienste aufgetaucht. Dies zeigt deutlich, dass man sich absichern muss.
Eine gute Einschätzung der Bedrohung und Lage liefert der Heise Verlag in seinem WebCast Heise Show vom 16.12.2021.
Aber was tun, wenn Sie bemerkt haben, dass sich Hacker in Ihren Systemen befinden?

Tipps, um einen Schaden zu minimieren oder sogar abzuwenden:

1. Holen Sie sich Hilfe

Scheuen Sie sich nicht, Hilfe von außen zu holen. Schauen Sie sich schon jetzt nach Partnern um, die Ihnen in solch einer Lage helfen können. Das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) bietet Ihnen immer Informationen wie Sie Ihre IT-Systeme schützen können.

Bei einer entdeckten Attacke bietet das BSI wertvolle Leitfäden, die kontinuierlich aktualisiert werden:

• Ransomware – Bedrohungslage, Prävention & Reaktion 2021
• Fortschrittliche Angriffe – Management Abstract

2. Prüfen Sie, ob Ihre Datensicherung ausreichend abgeschirmt ist

Stellen Sie sicher, das Ihre Datensicherung nur wenig Berührungspunkte mit Ihrer Produktionsumgebung hat. Eine eigene Infrastruktur, die getrennt administriert wird, bietet hier klare Vorteile. Der Zugang zur Datensicherungsumgebung sollte nur den nötigsten Personen gestattet sein. Stellen Sie sicher, dass nur wenige Gruppen das Recht von aktiven Löschen der Backups haben.

3. Stellen Sie sicher, dass in Ihrer Datensicherung ein AirGap besteht

Lagern Sie, wenn möglich, eine Datensicherungskopie – die auf Tape liegt – außerhalb der Libraries. Bei einer Disk Only Backup Lösung richten Sie eine verschlüsselte Kopie auf Immutable S3 Storage ein. 

4. Machen Sie eine Desaster-Vorsorge

Sichern Sie nicht nur Ihre Produktionsdaten, sondern auch die Kataloge und Repository Datenbanken Ihrer Datensicherungsumgebung. Am besten auf Tape. Lagern Sie auch diese Tapes außerhalb der Library. Erarbeiten Sie sich einen Desaster Recovery Plan und prüfen Sie ihn regelmäßig.

Im Falle eines entdeckten Angriffs oder bei der Vermutung eines solchen:

5. Bewahren Sie Ruhe

Unbedachter Aktionismus hilft Ihnen nicht. Er kann sogar ungewollt Schaden verursachen.

6. Bilden Sie eine TaskForce

Sammeln Sie alle wichtigen Entscheider in einer Gruppe. Geben Sie dieser Gruppe genügend Entscheidungsbefugnisse, damit sie schnell reagieren kann.

7. Kontaktieren Sie Ihren Sicherheitspartner

Ihr zuvor ausgewählter Partner wird Ihnen bei der Analyse der Bedrohungslage und bei den aktiven Maßnahmen helfen. Informieren Sie die die polizeilichen Behörden, zum Beispiel das für Sie zuständige Landeskriminalamt, und geben Sie eine Anzeige auf.

8. Sammeln Sie alle Informationen über Ihre aktuelle Lage

Welche Systeme und Prozesse sind betroffen? Können diese Systeme abgeschirmt werden? Müssen Systeme abgeschaltet werden?

9. Legen Sie Kommunikationsrichtlinien fest

Eventuell haben Hacker Ihre Kommunikationseinrichtungen übernommen. Weichen Sie für kritische Nachrichten auf außerbetriebliche Kommunikationsmittel zurück.

10. Informieren Sie Ihre Rechtsabteilung und die Pressestelle

Eventuell muss eine Meldung an Behörden, zum Beispiel an das BSI, gemacht werden. Oder eine Pressemitteilung formuliert werden. Lassen Sie nur diese beiden Stellen die Außenkommunikation durchführen.

11. Prüfen Sie den Status Ihrer Datensicherung

Schauen Sie nach, ob Sie alle Maßnahmen zum Schutz Ihrer Datensicherung vorgenommen haben. Begrenzen Sie den Zugriff auf Ihre Datensicherungsumgebung und ändern Sie Ihre Kennwörter. Ermitteln Sie ob Ihr Backup nutzbar ist, oder ob es auch kompromittiert ist. Falls es betroffen ist, ermitteln Sie den Umfang des Schadens.

Mit diesen Maßnahmen sollten Sie schon einmal einen Grundstock haben, um im Zweifelsfall gerüstet zu sein. Viele der Maßnahmen können Sie jetzt schon in einem Notfallplan vorbereiten.