BISA

Erste Hilfe beim Sicherheitsvorfall

Liebe Besucher:Innen unserer Webseite, herzlich willkommen beim BISA-BLOG und zum zweiten Eintrag.

Als Beratungs- und Schulungsunternehmen stehen wir vor allem für Prävention. Wir bilden Mitarbeiter aus, damit Sie sich vorher Gedanken machen, damit Sie Sicherheitsmaßnahmen umsetzen und eben kein Opfer eines Sicherheitsvorfalls werden.

Doch, in unseren Seminaren, Schulungen und auch Beratungen sagen wir immer: Es ist nicht mehr die Frage ob Sie angegriffen werden, sondern wann. Und das irgendwann einmal ein solcher Angriff erfolgreich ist, auch damit müssen wir leider rechnen.

Also ist Prävention auch, sich vorher Gedanken zu machen, was wir tun müssen, wenn es soweit ist, wenn wir einen Sicherheitsvorfall haben. Darum soll es in diesem Blogeintrag gehen.

Kurzfassung:

Ein schwerer Sicherheitsvorfall ist eingetreten. Was ist zutun:

  1. Bitte bewahren Sie Ruhe und handeln nicht übereilt. Jeder falsche Schritt könnte zu einem noch größeren Problem werden
  2. Richten Sie einen Krisenstab oder eine Projektgruppe ein, die sich ab jetzt um diesen Fall kümmert und folgende Fragen regelmäßig klärt:
    • Wer macht was bis wann?
    • Welche Aufgaben können für die Bewältigung des Vorfalls liegen gelassen werden?
    • Wer trifft relevante, unternehmenskritische Entscheidungen?
    • Wer kommuniziert was wann an wen?
    • Ist es sinnvoll eine Anzeige bei der Polizei aufzugeben
    • Welche Meldepflichten (z.B. 72h Meldepflicht bei Datenschutzrelevanten Vorfällen) sind unbedingt einzuhalten?
  3. Holen Sie sich bei Bedarf frühzeitig die Unterstützung von Externen (z.B. Forensikern oder Vorfallexperten)

Ein paar technische Grundregeln:

  1. Keinesfalls darf eine Anmeldung mit privilegierten Rechten (z.B. Administratorkonten) auf einem potenziell infizierten System erfolgen, während das System sich noch aktiv im Netzwerk befindet oder mit dem Internet verbunden ist.  Trennen Sie sofort die Netzwerkkarte (wenn es ein virtuelles System ist) bzw. ziehen Sie das Netzwerkkabel.
  2. Auf keinen Fall fahren Sie das System herunter!!!
  3. Wenn Sie sich auskennen, können Sie gegebenfalls eine forensische Sicherung inkl. Speicherabbild für spätere Analysen erstellen.
  4. Identifizieren Sie die Art von Schadprogrammen. Für Ransomware beispielsweise können Sie etwa die Seiten https://www.nomoreransom.org oder https://id-ransomware.malewarehunterteam.com nutzen. Oftmals wird der Name auch auf dem Bildschirm angezeigt oder im Erpresserschreiben angegeben.
  5. War ein System einmal infiziert reicht eine Bereinigung nicht aus. Setzen Sie einen Rechner (nach der forensischen Analyse) komplett neu auf.

Im Fall einer bereits erfolgten Verschlüsselung sollten Sie grundsätzlich nicht auf die Erpressung eingehen und kein Lösegeld bezahlen. Stattdessen sollten die Daten in ein sauberes Netzwerk aus Backups zurückgespielt werden.