6. - 7. November 2024 protekt
02.08.2023 Protekt

Premiumpartner Gold: G DATA Advanced Analytics - Do‘s and Don‘ts bei Cyberangriffen in KRITIS-Unternehmen

Bei einer Cyberattacke brauchen auch KRITIS-Unternehmen die Hilfe von erfahrenen Incident-Response-Fachleuten wie etwa von G DATA Advanced Analytics. Das Unternehmen unterstützt die protekt 2023 als Premiumpartner. Wer auf den Einsatz eines externen Einsatzteams gut vorbereitet sein will, sollte die nachfolgenden Do‘s and Don‘ts beachten, die G DATA Advanced Analytics zusammengestellt hat.

Do‘s:

  • Internen und externen Netzwerkverkehr sofort unterbrechen. So sperren Unternehmen die Angreifer aus und verhindern weiteren Zugang zum Netzwerk.
  • Virtuelle Maschinen pausieren oder Snapshots erstellen: Wer eine virtuelle Maschine ausschaltet, macht den Inhalt des Arbeitsspeichers unbrauchbar und vernichtet mögliche forensische Spuren. Denn moderne Verschlüsselungstrojaner liegen nicht mehr auf der Festplatte, sondern im Arbeitsspeicher.
  • Zentrale Ansprechperson / Stabstelle festlegen: Es braucht eine Person für die Kommunikation zum Incident-Response-Team. Diese Stelle übernimmt auch die Abstimmung mit anderen externen IT-Dienstleistern und informiert Kunden und Mitarbeitende.
  • Vorurteilsfreie Kommunikation: Im Mittelpunkt sollte eine konstruktive Arbeitsumgebung stehen. Wichtig dabei ist eine angstfreie Umgebung, in der auch Mitarbeitende mit wenig IT-Kenntnissen Hinweise zum Vorfall geben können.
  • Backups prüfen und bereitstellen: Mit aktuellen Sicherungen lässt sich der Datenverlust minimieren. Dieses Thema sollten Unternehmen eigentlich schon vor einem Notfall auf der Agenda stehen haben.
  • Zusammenarbeit mit lokalen Behörden: Opfer sollten eine Strafanzeige stellen, damit die Behörden Ermittlungen einleiten können. Jedes Bundesland hat eine eigene Anlaufstelle für Cybercrime eingerichtet. Zusätzlich ist die Informationspflicht mit dem Datenschutzverantwortlichen zu klären, falls Kundendaten betroffen sind.

Don‘ts:

  • Systeme herunterfahren oder den Stecker ziehen: Mit dieser Maßnahme zerstören die Betroffenen mögliche forensische Spuren oder machen sie unbrauchbar.
  • Ausgeschaltete Systeme innerhalb des kompromittieren Netzwerks hochfahren: Es besteht die Gefahr, dass die Infektion weitere Teile des Netzwerks befällt und der Schaden größer wird.
  • Virenschutzlösung abschalten: Auch während eines oder nach einem aktiven Angriff hilft die Security Software, indem sie weitere Angriffsversuche abblockt.
  • Selbsthilfe: Wer ohne Fachkenntnisse Selbstversuche startet, verzögert und behindert eine schnelle Aufklärung des Tathergangs.
  • Unbegleitete Erpresserkommunikation: Grundsätzlich gilt „Kein Dialog mit Erpressern!“ Wer dennoch dazu gezwungen ist, braucht kompetente Unterstützung.
  • Schuldzuweisungen: Es braucht eine angstfreie Umgebung, in der Mitarbeitende sich trauen, Fehler wie den möglichen Klick auf den Link in einer Phishing-Mail zuzugeben – ohne Konsequenzen fürchten zu müssen.

Wer für Incident Readiness sorgt, ist im IT-Notfall schneller wieder handlungsfähig. Mit einem sogenannten Incident-Response-Retainer sichern sich Firmen die Unterstützung von Fachleuten, bevor der Worst Case eintritt.

Zurück zu allen Meldungen