Entscheider müssen sich nicht mehr die Frage stellen, ob sie zum Ziel einer Cyberattacke werden, sondern wann: CEO Ralf Luithle vom IT-Fullservice-Anbieter Luithle + Luithle erklärt, worauf es bei einem Notfallkonzept für die IT-Infrastruktur ankommt. Denn an einem sorgfältig ausgearbeiteten IT-Notfallplan für einen Ransomware-Angriff führt kein Weg mehr vorbei.
Fast täglich machen Cybersicherheitsvorfälle in Unternehmen, Behörden oder anderen Organisationen Schlagzeilen. Seit 2015 hat sich der durch Datendiebstahl, Industriespionage und Sabotage entstandene Schaden nahezu verfünffacht – auf rund 203 Milliarden Euro im Jahr 2022 (Quelle: Bitkom). Solide Schutzmaßnahmen gegen digitale Bedrohungen sind also wichtiger denn je. Hinzu kommt, dass die Situation extrem dynamisch ist, wie der aktuelle Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) belegt. Das höchste Risiko geht weiterhin von Ransomware aus. Mit der Verschlüsselung der Unternehmensdaten können Angreifer massiven Druck auf die Betroffenen ausüben und elementare Geschäftsprozesse lahmlegen. Vor allem Ransomware-Attacken sind schwer vorhersehbar, weil die Täter immer neue Manipulationsmöglichkeiten ausspähen und in vielen Fällen für längere Zeit unerkannt bleiben. Der eigentliche Angriff auf die IT-Systeme beginnt oft erst Monate nach der Infektion. Zunehmend werden initiale Zugänge zu Firmennetzwerken auch an andere Kriminelle als „Dienstleistung“ verkauft, was die technischen Anforderungen an Angreifer erheblich verringert. Besonders risikoträchtig ist Ransomware-as-a-Service für KMU, da finanziell motivierte Angriffe mit vorkonfektionierter Malware immer weiter standardisiert und wirtschaftlich optimiert werden.
An einem sorgfältig ausgearbeiteten IT-Notfallplan führt kein Weg vorbei. Dieser gewährleistet, dass nach der Entdeckung einer Cyberattacke sofort die erforderlichen Maßnahmen eingeleitet werden. So lassen sich die Ausfallzeiten der IT-Systeme und die Opportunitätskosten auf ein Minimum reduzieren. Die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter spielt beim Umgang mit der IT-Security eine Schlüsselrolle: Jedes System ist nur so stark wie sein schwächstes Glied. Wenn beispielsweise von 100 Mitarbeitern nur einer den Inhalt oder die Relevanz der Security-Maßnahmen nicht versteht oder unachtsam agiert, kann dies eine enorme Gefahr bedeuten. Schon der unachtsame Klick auf einen infizierten Link oder der Download einer schädlichen Datei kann einen Cybernotfall auslösen. Deshalb muss die Awareness für die IT-Security unternehmensweit gezielt gesteigert werden. Dadurch wird die Wahrscheinlichkeit menschlichen Fehlverhaltens minimiert und der Prozess zur Meldung von Auffälligkeiten beschleunigt. War ein Angriff trotz aller präventiven Maßnahmen erfolgreich, sollte von Lösegeldzahlungen abgesehen werden. Zum einen ist damit keineswegs der Wiedererhalt der gestohlenen oder gesperrten Daten gesichert, zum anderen werden mit den erpressten Summen die Cyberangriffe von morgen finanziert.
Die wichtigsten Bestandteile eines Notfallplans für die IT-Systeme
Die Einsicht, dass nachhaltige Investitionen in die Cybersecurity unumgänglich sind, setzt sich nur langsam durch. In den meisten Firmen fehlt ein aktiv gelebtes IT-Sicherheitsmanagement, das die Themen Vorsorge, Wiederherstellung, fachfremde Abteilungen, Verantwortlichkeiten und juristische Implikationen wie den Datenschutz mitdenkt. Wir gehen davon aus, dass rund 95 Prozent der Unternehmen in Deutschland nicht auf einen Ransomware-Notfall vorbereitet sind. Um Unternehmen bei den Vorbereitungen zu unterstützen, haben unsere Security-Spezialisten einen umfassenden Notfallplan konzipiert, der interessierten IT-Verantwortlichen zum Download angeboten wird. Dieser Plan ist für Unternehmen jeder Größe geeignet und muss nur noch von den jeweiligen IT-Verantwortlichen oder einem beauftragten IT-Dienstleister um Besonderheiten der jeweiligen IT-Infrastruktur ergänzt werden. Die wichtigsten Kapitel heißen Prävention („Was Sie über Ransomware wissen müssen und wie Sie sich schützen können“), Reaktion im Angriffsfall („Welche Teams haben welche Aufgaben in welchem Zeitraum zu erledigen?“) und Wiederherstellung („Wie Sie Ihre Systeme nach einem Angriff sicher wieder in Betrieb nehmen“).
Die Bewertung von Wirksamkeit und Kosten-Nutzen-Verhältnis
Dazu empfiehlt sich der Einsatz eines Information Security Management Systems. Wie bei allen wichtigen Managementaufgaben gilt es im ISMS, eindeutige Verantwortlichkeiten und Ziele zu definieren, Richtlinien für das eigene Unternehmen festzulegen, umzusetzen und regelmäßig auf ihre Aktualität zu prüfen. Wir haben daher unser komplettes Unternehmen mit allen internen Prozessen und Abteilungen nach der ISO-Norm 27001 zertifiziert. Ein Tipp aus der Praxis: Um Umsetzung und Einhaltung im Arbeitsalltag zu gewährleisten, sind klar definierte Prozesse unerlässlich. Ein Enterprise Service Management System wie Tesseron schafft hier Abhilfe. Darüber hinaus müssen die geschäftskritischen Systeme identifiziert und alternative Kommunikationskanäle außerhalb des kompromittierten Netzwerks vorbereitet werden.
Eine ganzheitliche Betrachtung möglicher Notfallszenarien ist ebenfalls wichtig. Aus einem Angriff ergeben sich zum Beispiel auch Aufgaben für die Juristik und Öffentlichkeitsarbeit. Unser Konzept bildet dediziert alle erforderlichen Schritte in der korrekten Chronologie ab und bietet wichtige Hinweise für die sichere Wiederherstellung. Eine besonders empfehlenswerte Möglichkeit Daten langfristig vor Ransomware zu sichern, ist das Offline-Backup auf Tape. Werden alle relevanten Daten regelmäßig überspielt und räumlich getrennt von den IT-Systemen unter hohen Schutzmaßnahmen aufbewahrt, ist nach einem Angriff der sichere Zugriff möglich. Wir nutzen hier die Systeme von IBM. Auch die hackersichere Auslagerung in die Cloud kann sinnvoll sein, besonders im Zusammenhang mit einer dort abgebildeten Disaster-Recovery-Lösung.
Die Europäische Union macht Druck beim IT-Notfallmanagement
Die verschärfte Sicherheitslage im IT-Umfeld bringt auch die EU in Zugzwang: Als zentraler Baustein zur Stärkung der Cyberresilienz bildet die künftige NIS2-Richtlinie die Grundlage für Risikomanagement und Meldepflichten. Betroffen sind Organisationen in 18 Sektoren. Dazu zählen beispielsweise Energieversorger, Verkehrsunternehmen, Banken, Gesundheitsdienstleister, Anbieter digitaler Infrastruktur und Öffentliche Verwaltungen. Ein gut ausgearbeitetes Risikomanagement und das Vorbehalten von Notfallplänen sind essenziell für die Einhaltung der künftigen EU-Vorgaben.
Wer sich bisher noch nicht mit Cyberhygiene und ISMS befasst hat, wird in einem sehr kurzen Zeitraum vor eine große Aufgabe gestellt. Zusammenfassend sind mit den geforderten Maßnahmen sechs wichtige Aufgaben verbunden: die Schulung von Mitarbeitern, die systematische Datensicherung, stichhaltige Konzepte für die Zugriffskontrolle, ein sicheres Management von Schwachstellen, klar definierte Mechanismen zur Meldung von Vorfällen und die Verschlüsselung von Informationen. Idealerweise kümmern sich die Verantwortlichen schnellstmöglich um die Umsetzung aller Maßnahmen und beziehen qualifizierte Berater oder einen IT-Security-Dienstleister in den Umstrukturierungsprozess mit ein.
Die EU-Mitgliedsstaaten müssen NIS2 bis spätestens 17. Oktober 2024 in nationales Recht überführen, sodass die Einhaltung der Richtlinie ab diesem Zeitpunkt verpflichtend ist. Es ist also unverzichtbar, in kurzer Zeit erhebliche Anpassungen oder Änderungen vorzunehmen. Ein Versäumnis hat massive Strafen zur Folge: Die Nichteinhaltung der gesetzlichen Vorgaben kann mit einem Bußgeld von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes geahndet werden – je nachdem, welche Summe höher ausfällt. IT-Entscheider müssen jetzt handeln. Sonst wird es womöglich extrem teuer – und Hacker haben leichtes Spiel.
FAQ: Kein Unternehmen kommt ohne Ransomware-Notfallplan aus
IT-Sicherheitsexperte Ralf Luithle erklärt, wieso ein Notfallkonzept für Cyberangriffe unverzichtbar ist und worauf es bei der Umsetzung ankommt.
Was gehört in einen IT-Notfallplan?
– Festlegung von Verantwortlichkeiten
– Detaillierte Beschreibung aller IT-Systeme und Geschäftsprozesse in gedruckter Form
– Krypto-Trojaner-sicheres Backup-Konzept
– Festlegung von Kommunikationswegen
– Erstellung einer Notfall-Telefonliste
– Service- bzw. Supportvereinbarung mit IT-Security-Dienstleister
– Vorhaltung von Reserve-Hardware
– Nach Feststellung: Aufstellung bzw. Aktivierung des internen Notfallteams
– Systemabschaltung zur Schadenbegrenzung
– Information von Geschäftsleitung und Anwendern
Wer erstellt einen IT-Notfallplan?
IT-Verantwortliche(r) in Zusammenarbeit mit IT-Dienstleister, der das gemeinsam erarbeitete Konzept umsetzt
Wie erstelle ich einen IT-Notfallplan?
Für ein umfassendes Notfallkonzept sollten sich Unternehmen von einem IT-Dienstleister mit Security-Expertise beraten lassen.