Schadensfall / Krisenfall

Welche Informationen brauchen Sie, um Sofortmassnahmen im Krisenfall zu ergreifen? Dazu lohnt es sich, ein Konzept zu haben, ein sogenanntes Business-Continuity-Konzept. Es wird festgehalten, welche Schritte in einem solchen Fall vorgenommen werden sollen und wer welche Rolle hat. Dabei werden auch die erforderlichen Kontaktdaten (z.B. Telefonnummern der zuständigen Personen, allenfalls auch der wichtigsten Kunden) in diesem Dokument eingefügt. Dieses Dokument wird ausgedruckt und an verschiedenen Orten (im Betrieb und zu Hause) aufbewahrt. Oft brechen solche Notfälle kurz vor einem Feiertag oder dem Wochenende aus, um die Handlungsfähigkeit der betroffenen Firmen zu reduzieren. In einem solchen Dokument soll auch enthalten sein, welche internen Personen zuständig sind und welche externen Dienstleister angerufen werden. Dieses Team (Security Incident Response Team genannt) übernimmt in diesem Fall. Oft ist das der Inhaber oder die Inhaberin sowie ein externer Dienstleister. Letzterer hat zwar einen hohen Stundenansatz, aber der Betriebsausfall ist meist um Faktoren teurer. Es gibt Firmen, die erst nach mehreren Wochen wieder richtig arbeiten konnten. Und diese Dienstleister sind Profis, da sie Firmen in solchen Fällen schon verschiedentlich begleitet haben.

Folgende Fragen können helfen: 

• Wo ist Ihr ausgedrucktes Dokument, was im Notfall gemacht werden soll?
• Haben Sie schon evaluiert, wer Sie im Notfall unterstützen würde (externer Dienstleister)?
• Sind die Meldeketten und das Krisenteam klar definiert?
• Wissen die Mitarbeitenden, wie sie sich bei einem IT-Notfall verhalten sollen?
• Aus einer ökonomischen Perspektive stellt sich die Frage, ob ein Lösegeld bezahlt werden soll oder nicht. Das Bundesamt für Cybersicherheit rät davon ab, da dies die Problematik in Zukunft nur noch verschlimmern wird.

Der Krisenfall tritt ein, was sind hierzu die Empfehlungen?

• Infizierte Geräte vom Netzwerk trennen, um eine Ausbreitung zu verhindern. Oft sind die Cyber-Kriminellen jedoch bereits seit längerer Zeit im Netzwerk aktiv.
• Krisenteam aktivieren (siehe Dokument, wer welche Rolle hat). Es sollen alle Verantwortlichen informiert und nach dem Notfallplan vorgegangen werden.
• Externen Dienstleister anrufen.
• Polizei kontaktieren. 

Weitere Informationen können beim Bundesamt für Cybersicherheit gefunden werden:
https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen.html 

Es gibt Firmen, die einen solchen Notfall durchspielen, damit sie im Falle der Fälle darauf vorbereitet sind.

In einem weiteren Schritt geht es darum, den Schaden abzuschätzen: Welche Systeme und Dateien sind vom Cyber-Angriff betroffen? Welche Backups können noch verwendet werden, da sie noch nicht infiziert sind? Da Cyber-Kriminelle oft über Wochen und Monate in den Systemen tätig sind, sind oft auch Backups davon betroffen. Es gilt das letzte noch funktionierende Backup zu nutzen und einzuspielen, damit weitergearbeitet werden kann. Der Aufwand für diesen Schritt ist nicht zu unterschätzen, da wiederhergestellte Daten und Systeme auf Schadsoftware überprüft werden sollten, bevor sie erneut in Betrieb gehen. Wiederhergestellte Systeme sollen frei von Malware sein. Dies sollte getestet werden, bevor der Betrieb vollständig aufgenommen wird. Damit zeigt sich, ob die vorbereitenden Aufgaben richtig umgesetzt wurden: 

• Backups wurden aktuell, vollständig und sicher gespeichert.
• Prozesse für die Wiederherstellung wurden im Vorfeld getestet.

Wenn dann hoffentlich der Schaden behoben werden konnte und das System wieder läuft, gilt es die Ursachen und Schwachstellen zu analysieren, damit ein solcher Fall nicht wieder eintritt. 
Folgende Fragen können dabei helfen: 

• Welche Schwachstellen haben den Angriff ermöglicht?
• Was muss verbessert werden?
• Wie muss der Notfallplan verbessert werden?
• Wie können die Mitarbeitenden auf die neuen Sicherheitsanforderungen vorbereitet werden?