02.12.2021 / Kategorie: ISPIN Viewpoint
Der Ernstfall ist eingetreten, ein Cyberangriff war erfolgreich. Das betroffene Unternehmen hat die Attacke oder eine Datenschutzverletzung bemerkt und muss jetzt schnell und richtig reagieren, um den Schaden möglichst gering zu halten. Dabei kann so einiges schief gehen, wie Gregor Forster, Head IT bei ISPIN, bei der ersten C-Level Cyber Crime Night erläuterte. Mit eindringlichen Beispielen aus seiner täglichen Praxis wies er die Teilnehmer auf die oft unerwarteten Herausforderungen bei einem Incident Response hin.
Erfolgreiche Cyberattacken sind Krisensituationen, in denen es auf das rasche Eingreifen ankommt. Es gilt, den Schaden für das Unternehmen möglichst gering zu halten und die vollständige Geschäftsfähigkeit des Unternehmens schnellstens wieder herzustellen. Incident Response umfasst eine ganze Reihe von technischen und organisatorischen Massnahmen, die idealerweise reibungsfrei umgesetzt werden sollten. Doch in der Praxis zeigt sich, oft haben die Verantwortlichen mit Schwierigkeiten zu kämpfen, mit denen sie nicht gerechnet haben und die ein hohes Mass an Flexibilität und Problemlösungskompetenz erfordern.
Fast möchte man meinen, Cyberkriminelle halten sich an die Arbeitszeitgesetze. Denn nicht selten kommt es vor, dass der Krisenfall am Freitagnachmittag beginnt. Dann läutet das Telefon des IT-Verantwortlichen, dessen Mitarbeiter das Problem entdeckt haben. Und dann muss sich der Cyber Incident Response Plan, den es hoffentlich bereits gibt, bewähren. Eine Krise überprüft de facto die Qualität dieses Plans. Mit dem Eintreten des Incidents eröffnen sich aber auch Chancen für das Unternehmen, die nicht ungenutzt bleiben sollten.
Organisatorisch ist eine Voraussetzung wichtig, um die Krise gut bewältigen zu können: Für die Erfüllung des Auftrags muss die Einheitlichkeit des Handelns unter einem einzigen verantwortlichen Chef und durch klare Abgrenzung der Verantwortungsbereiche hergestellt werden. Das schlimmste, was in einer solchen Krise passieren kann, ist eine unklare Führungsstruktur.
Unternehmen, die keinen Überblick über ihre Assets haben, haben im Krisenmodus ein grosses zusätzliches Problem. Denn die erste Frage lautet immer: Welche Systeme sind wie und wo betroffen? Daraufhin fängt häufig eine aufwändige Suche an. In vielen Unternehmen ist etwa nicht bekannt, welche Versionen installiert sind. Doch dieses Wissen ist entscheidend. Anhand der Version eines Systems kann sehr schnell herausgefunden werden, wie sich der Angreifer im Unternehmensnetz verbreiten kann. Anhand der Versionen lassen sich Sicherheitslücken eruieren und diese gezielt schliessen.
Gehackte Passwörter öffnen Kriminellen Tür und Tor zu den Unternehmensnetzwerken. Es gibt viele Methoden, Passwörter zu speichern. Eine Methode ist das eigene Gedächtnis – das ist die idealste. Passwortdatenbanken sind eine weitere Möglichkeit der Sicherung. Auch Notizbücher sind grundsätzlich geeignet, wenn auch nicht die optimale Variante, genauso wie USB-Sticks. Das Passwortmanagement kann in der Krise zu grossen Problemen führen. Ein Beispiel aus der Praxis: Passwörter wurden bei einem Cyberangriff verschlüsselt. Das betroffene Unternehmen hatte keinen Passwortmanager im Einsatz. Die Passwörter waren auf einem USB-Stick gespeichert. Dieser USB-Stick befand sich in der Schublade in der Wohnung eines IT-Mitarbeiters. Und der IT-Mitarbeiter verweilte zum Zeitpunkt der Krise im Urlaub und war telefonisch nicht erreichbar.
Backups sind wichtig. Wichtig ist es aber auch, Restore-Tests durchzuführen, damit in der Krise sichergestellt ist, dass das Backup funktioniert. Aus dem Blick gerät häufig die Dimension des Backups. Zudem gilt: Wo kein Internet vorhanden ist, da hilft DHL. Das mag eigenartig klingen, hat aber einen handfesten Hintergrund. Das Beispiel aus der Praxis: Ein weltweit agierendes Unternehmen wurde gehackt. Die Cyberangreifer hatten sogar die eingeschleuste Ransomware nach dem Unternehmen benannt. Das machte die Suche nach den betroffenen Systemen einfacher. Allerdings wurde auch das Backup verschlüsselt. Der Backup-Server lag auf einer rund 15 Jahre alten Storage mit mehreren Disks, alles klassische Hard-Disks, keine SSD. Das Backup-Volumen umfasste rund 150 Terrabyte. Diese 150 TB waren verschlüsselt. Der Backup-Server war nach knapp zehn Tagen entschlüsselt. Das Unternehmen hatte aber nie einen Restore-Test durchgeführt. Da die Standorte dieses internationalen Unternehmens geographisch verteilt waren, konnte die riesigen Datenmengen nicht über die vorhandenen WAN-Verbindungen rückgespielt werden. Das erwies sich als unmöglich. Also wurde ein NAS (Network Attached Storage) gekauft, mit den Daten bespielt – das dauerte vier Tage - und dieses NAS physisch an seinen Bestimmungsort gebracht. Dort stellte sich heraus, dass das Backup korrupt war. Also wurde doch eine Übertragung über das Internet probiert. Die geschätzte Zeit bis zur Beendigung der Übertragung waren rund 278 Stunden, gut zwei Wochen. Nach etwa neun Tagen brach die Übertragung ab. Der nächste Ansatz, die 15 Jahre alte Backup-Maschine selbst zu transportieren, wurde schnell verworfen – das Risiko war schlichtweg zu hoch.
In der Krise eines erfolgreichen Cyberangriffs stehen die Verantwortlichen nicht nur vor technischen und organisatorischen Problemen, sondern auch vor sprachlichen und kulturellen. Das zeigte sich auch in obigem Beispiel. Das Datencenter, in dem das Backup stand, befindet sich in Paris. Das Vertrauen des Unternehmens in dieses Data Center war, freundlich ausgedrückt, eher gering. Also war ein der französischen Sprache mächtiger Vermittler notwendig, der mitten im Lockdown nach Paris reiste und für Verständigung sorgte. Sprache ist auch Kultur – Missverständnisse können sich in einer Krise schnell zum Problem entwickeln.
Krisen entstehen immer in Zeiten, in denen auch Projekte laufen, etwa die Ablösung des ERP-Systems, das Restoring aller Systeme, eine Migration. Es ist nie von Erfolg gekrönt, diese Projekte in der Krise fortzuführen oder schnell beenden zu wollen. Das führt praktisch nie zum gewünschten Erfolg. Anders stellt es sich dar, wenn es darum geht, die Krise als Anlass zu nutzen, um die sog. Gralshüter-Systeme endgültig zu entsorgen. Die Krise bietet die Chance, die Legacy-Systeme aufzuräumen. Denn klar ist: Nach einem Angriff werden nicht alle Systeme wiederhergestellt werden können. Auf einige Systeme wird verzichtet werden müssen. Da bietet es sich an, jene Systeme sterben zu lassen, die ohnehin schon auf der Streichliste gestanden haben.
Migrationen sind für CISOs ein leidiges Thema. Der CISO baut Sicherheitssysteme ein. Bei Migrationen aber stören diese Sicherheitssysteme. Also müssen Security Policies überbrückt werden. Wichtig ist, zu dokumentieren, welche Policies für die Migration ausgeschaltet werden. Denn nach der Migration müssen diese wieder aktiviert werden. Wird das Aktivieren vergessen, kann das katastrophale Auswirkungen haben, wenn das Unternehmen angegriffen wird.
Dokumentationen sind von enormer Bedeutung. Aber: Sie müssen auch aktuell sein. Beispiel aus der Praxis: Ein angegriffenes Unternehmen hatte zwar umfassende Dokumentationen. Diese waren aber veraltet und damit fast wertlos. Die Dokumentation stammte von einem IT-Dienstleister, dessen Vertrag schon einige Jahre zuvor gekündigt worden war. Das Unternehmen war gezwungen, händisch nachzuzählen und die Systeme zu erfassen. Dokumentationen müssen also aktuell gehalten werden. Zudem müssen sie so abgelegt werden, dass sie bei einem Angriff nicht mitverschlüsselt werden. Das gute alte Papier kann hier wertvolle Dienste leisten.
Das „Need to Know“ Prinzip sollte für alle Hierarchiestufen gelten. Der Grund: Anomalien unter dem Namen des Chefs fallen weniger auf. Beispiel: Wenn ein Sachbearbeiter plötzlich auf einem Buchhaltungs-Share auftaucht, fällt das eher auf, als wenn es sich um den Firmenchef handelt. Beispiel aus der Praxis: Ein Unternehmen wurde angegriffen. Es verweigerte die Zahlung des geforderten Lösegelds. Daraufhin starteten die Kriminellen eine Fishing-Attacke. Der Generaldirektor bemerkte dies und informierte seine IT. Doch leider war es genau sein Account, der benutzt wurde, um über eine nicht gesicherte VPN-Verbindung einzudringen. Die Angreifer konnten sich zwei Wochen lang ungehindert in den Systemen des Unternehmens bewegen, bis die Attacke bemerkt wurde.
Natürlich ist auch ein Quäntchen Glück bei einem Incident Response herzlich willkommen. Aber Unternehmen, die nur auf das Glück setzen, werden nicht mit Erfolg belohnt werden. Besser sind ein guter Incident Response Plan und kompetente Verantwortliche, die die unerwarteten Probleme lösen können, die während einer Krise auftauchen.
Ist Ihr Incident Response Plan schon auf die Probe gestellt worden? Haben Sie die oben genannten Punkte im Blick und im Griff? Kontaktieren Sie uns. Unsere erfahrenen Experten beraten und unterstützen Sie bei der Optimierung Ihrer Schutzmassnahmen. Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications