Juni 5, 2023

Wenn Ihr Unternehmen gehackt wurde, ist es wichtig, umgehend Maßnahmen zu ergreifen, um den Schaden zu begrenzen und weitere Verstöße zu verhindern. Im besten Fall verfügen Sie über einen Incident Response Management Plan, also einen Notfallplan, der die Prozesse, Verantwortlichkeiten und Aufgaben im Detail beschreibt.

Sollten Sie solch ein Dokument nicht besitzen, sind hier einige Schritte, die Sie umsetzen können:

Isolieren Sie die betroffenen Systeme (sofern möglich): Trennen Sie alle kompromittierten Computer vom Internet oder dem Netzwerk Ihres Unternehmens, um die Verbreitung von Malware oder eine weitere Datenexfiltration zu verhindern.
Professionelle Hilfe in Anspruch nehmen: Falls Sie Cybersicherheitsexperten nicht inhouse vorhalten, sollten Sie ihren Dienstleister hinzuziehen. Achten Sie darauf, dass dieser auch ausreichend Erfahrung im Bereich Incident Response Management besitzt. Neben der Forensik geht es auch um Themen wie Cyberversicherung, Krisenstab, Krisenkommunikation, Behördenmanagement, Wiederherstellung der Infrastruktur usw.
Beurteilen Sie den Schaden: Versuchen Sie festzustellen, auf welche Daten möglicherweise zugegriffen wurde oder welche gestohlen wurden und wie groß der Schaden ist. Ziel ist es schnellstmöglich wieder produktiv zu werden und das in einer sicheren IT-Umgebung. Backdoors oder Ähnliches sollten bei der Wiederaufnahme des Betriebs ausgeschlossen werden.
Interne und externe Kommunikationsstrategie: Informieren Sie alle Personen oder Organisationen, die von der Sicherheitsverletzung betroffen sein könnten. Definieren Sie die einzelnen Anspruchsgruppen wie z. B. Kunden, Behörden aber auch Vorstand oder strategisch wichtige Partner. Dann sollten Sie genau überlegen, was – wann und in welchem Detailgrad an diese Anspruchsgruppen kommuniziert wird. Halten Sie sie über die Situation, die ergriffenen Maßnahmen und die Maßnahmen zur Vermeidung ähnlicher Vorfälle in der Zukunft auf dem Laufenden.
Melden Sie den Vorfall: In diesem Kontext gibt es Pflichten die zu erfüllen sind. Melden Sie den Vorfall umgehend den zuständigen Behörden und prüfen Sie die Richtlinien. In Abhängigkeit dazu welche Daten betroffen oder abgeflossen sind, müssen mehrere Behörden und Meldeketten beachtet werden.
Forensik: Führen Sie eine gründliche Untersuchung durch, um festzustellen, wie es zu der Sicherheitsverletzung gekommen ist, und um etwaige Schwachstellen zu ermitteln, die behoben werden müssen. Achten Sie darauf, dass die ermittelten Daten gegebenenfalls auch vor Gericht Bestand haben sollten. Das heißt diese dürfen analysiert, aber nicht verändert werden.

Aus dem Vorfall werden Sie vieles mitnehmen. Der Angriffsverlauf gibt Einblick in die offensichtlichen Schwachstellen. Aber was wurde vlt. im Vorfeld bei der Prävention versäumt? Gehen Sie gestärkt aus dem Vorfall heraus, indem Sie umfangreich bewerten was beim nächsten Mal besser laufen soll. Denn ein nächstes Mal wird es mit großer Wahrscheinlichkeit geben.

Überprüfen und aktualisieren Sie Ihre IT-Sicherheit: Überprüfen Sie Ihre Sicherheitsprotokolle und nehmen Sie alle notwendigen Aktualisierungen vor, um ähnliche Sicherheitsverletzungen in Zukunft zu verhindern. Stellen Sie das gesamte IT-Security Konzept auf den Prüfstand und erarbeiten Sie mit Ihrem Dienstleister eine Roadmap zur Stärkung der Cyber-Resilienz. Wo sind ggfs. Blind-Spots? Was können Quick-Wins sein? Entscheiden Sie dabei nach Kriterien wie Impact und Aufwand, um Projekte zu priorisieren.
Notfallplan – jetzt aber: Ihr erster Sicherheitsvorfall? Dann läuft ab jetzt die Zeit sich auf den nächsten besser vorzubereiten. Ein vernünftiger Notfallplan stellt sicher, dass alle hier aufgeführten Punkte auch beachtet und umgesetzt werden.
Überprüfung nach einem Vorfall: Überprüfung des Vorfalls und Ermittlung von Verbesserungsmöglichkeiten sowie Umsetzung der erforderlichen Änderungen am Reaktionsplan und den Sicherheitsprotokollen.

Ein IT-Sicherheitsvorfall ist eine Stresssituation für die gesamte Unternehmung. Ähnlich wie bei einem Feuer, sollten deshalb Vorkehrungen getroffen werden. Prävention ist der Schlüssel, um einen schnelle Wiederaufnahme der Produktivität zu gewährleisten. Dafür zu sorgen ist Aufgabe des Managements. Sollten Sie unvorbereitet in eine solche Situation geraten: Suchen Sie nach Expert:innen, die solche Situationen kennen und zu moderieren wissen.

Was tun bei einem IT-Sicherheitsvorfall?