Don't panic auf grünem Hintergrund

Bei einem Incident Response – also bei der Reaktion auf einen leider erfolgreichen Cyberangriff – ist Ruhe entscheidend. Denn beim betroffenen Unternehmen herrscht Unruhe, Hektik, vielleicht sogar Panik. Die Situation kann existenzbedrohend sein. Für Sonja Saß und ihre Kolleg:innen heißt das, Fingerspitzengefühl beweisen, die Stimmung des Kunden aufnehmen, auch Galgenhumor verstehen. Sie sagt: „Wenn Hacker beispielsweise über Nacht das Lagersystem lahmlegen, gibt es keine Bestandsverwaltung, keine Lieferungen, nichts. Wie lange kann ein Unternehmen das durchhalten? Wann springen Kunden mit Just-in-time-Verträgen ab? Es geht ums Ganze.” Deshalb sei das wichtigste Ziel, einen konkreten Plan zu entwickeln, diesen den Entscheider:innen im Unternehmen zu vermitteln und die richtigen Maßnahmen einzuleiten.

Oft muss Sonja Saß die Betroffenen auch bremsen – denn die IT-Infrastruktur des Kunden ist ein Tatort mit wertvollen Spuren. Das unstrukturierte Herunterfahren von Systemen, das nicht abgesprochene Ändern von Passwörtern, die Manipulation von Firewalls – alles in der grundsätzlich guten Absicht, den Schaden einzudämmen – verwischt Spuren und bewirkt oft das Gegenteil. Für die IT-Forensiker:innen von Bechtle sind die Indizien im Zuge einer koordinierten Reaktion auf den Cyberangriff aber sehr wertvoll. Sie machen es möglich, zu erfahren, wie Hacker:innen eingedrungen sind, wie weit sie in Systeme vorgedrungen sind und was sie dort gemacht haben.

System abschalten. Cyberangriff eindämmen.

Um Aktionismus zu unterbinden, verteilen die Expert:innen des Bechtle Cyber Defense Centers Aufgaben an die Beteiligten. Sie werden aktiv in die Beschaffung von Informationen eingebunden.

  • Wann gab es die ersten Auffälligkeiten?
  • Welche Systeme sind betroffen?
  • Gibt es Backups, die nicht im Netzwerk liegen?
  • Hat das Unternehmen Tools im Einsatz, die verdächtige Aktivitäten aufgezeichnet haben?
Sonja Saß
Sonja Saß, IT-Forensikerin im Cyber Defense Center von Bechtle.

Nur auf Basis dieser Erkenntnisse ergeben Isolation und Abschaltung von Geräten und Systemen Sinn, um “die Ausbreitung des Angriffs zu verhindern”. Für die digitalen First Responder ist eines von entscheidender Bedeutung: Vertrauen. Durch offene, ehrliche, regelmäßige Kommunikation.

„Unser Ziel ist, dass wir sämtliche Informationen zentral bündeln. Alle sollen auf dem gleichen Stand sein und Entscheidungen gemeinsam treffen”, sagt Sonja Saß. Deshalb bringen sie und ihr Team alle Verantwortlichen an einen Tisch – IT-Administrator:innen, Geschäftsleitung, bisweilen auch die Rechtsabteilung und Datenschutzbeauftragte. Besonders wichtig sind diese Meetings, weil sich die Sachlage ständig ändern kann. Dann muss die Strategie angepasst, Entscheidungen überdacht, neue Maßnahmen gestartet und weitere Personen involviert werden. Und – eventuell auch Gespräche mit den zuständigen Behörden, der Polizei oder dem Bundesamt für Sicherheit in der Informationstechnik geführt werden. „Wir helfen, den Vorfall zu melden und stellen unsere Erkenntnisse für offizielle Ermittlungen bereit. Das passiert vor allem dann, wenn der Kunde Teil der kritischen Infrastruktur ist”, erklärt Sonja Saß.

Schnellcheck Cyberangriff.

#1 Ruhe bewahren: Keine übereilten Maßnahmen ergreifen – erst verstehen, dann handeln.

#2 Lage analysieren: Welche Systeme sind betroffen? Was funktioniert noch?

#3 Kommunikation strukturieren: Klare Ansprechpartner:innen festlegen und regelmäßige Updates geben.

#4 Schritt-für-Schritt-Plan aufstellen: Maßnahmen priorisieren und konsequent umsetzen.

IT-Forensik: Die Suche nach Artefakten.

Alle Fäden laufen im Ernstfall bei ihr zusammen, alle Informationen gehen über ihren Tisch. Natürlich auch die des Bechtle Teams. Unterschiedliche Spezialst:innen wie Netzwerkforensiker:innen, oder Threat-Intelligence-Expert:innen, dringen tief in die Infrastruktur der Kunden ein, um Hinweise zu sammeln. Diese mobile Einsatztruppe zieht Sonja Saß aus unterschiedlichen Bechtle Einheiten bei Bedarf zusammen. Ein flexibles, aber eingespieltes Team, das hoch effizient arbeitet und viel Erfahrung in brisanten Situationen mitbringt.

Sonja Saß taucht dann auch selbst in die IT des Kunden ab, betritt den digitalen Tatort. Jedes System, jede Datei, jedes Log kann eine Spur, ein sogenanntes Artefakt, enthalten. Dabei steht die Rekonstruktion des Angriffswegs im Fokus. Die wichtigen Fragen für das Team sind folgende:

  • Haben die Angreifer:innen eine bekannte Schwachstelle ausgenutzt?
  • Wurden manipulierte Zugangsdaten verwendet?
  • Wie haben sie sich höhere Rechte verschafft?
  • Gab es auffällige Verbindungen zu externen Servern?

Es geht um Details, Muster und Auffälligkeiten, aber auch um Parameter, die nur ein hochspezialisiertes Team erkennt. Sonja Saß und ihres arbeiten fokussiert und strukturiert, um das betroffene Unternehmen bestmöglich durch die Krise zu begleiten.

Nach der Bewältigung des akuten Notfalls, beginnt der Wiederaufbau der Unternehmens-IT. Auch hier unterstützt Bechtle – bei Bedarf zunächst mit Systemen, bei denen die wichtigsten Prozesse und Funktionen wieder bereitgestellt werden. Sonja Saß und ihr Team übergeben den Kunden qualifizierten Kolleg:innen und werden häufig zum nächsten Tatort gerufen. „Wir sehen, wie sich Cyberattacken in den letzten Jahren weiterentwickelt haben. Angreifer setzen auf neue Methoden und bieten Ransomware-Attacken als Dienstleistung im Darknet an. Dadurch können selbst unerfahrene Kriminelle Unternehmen angreifen. Anschließend erpressen sie die Unternehmen, indem sie Daten verschlüsseln, mit deren Veröffentlichung drohen und durch  DDoS-Attacken Webseiten lahmlegen. Für uns bringt jeder Fall neue Herausforderungen.“  Aber dank viel Erfahrung kann betroffenen Unternehmen mit der nötigen Ruhe, einem erprobten Vorgehen, modernster Technologie und mit ganz viel Verständnis geholfen werden. Incident Response funktioniert am besten, wenn technisches Know-how und Empathie kombiniert werden.

 
results by Bechtle.

Dieser Artikel ist ein Auszug aus der ersten Ausgabe des neu gestalteten Bechtle Magazins.

Bestellen