Das IT-Leben ist gefährlich. An jeder Ecke lauern Gefahren – seien es Viren, Verschlüsselungstrojaner oder gezielte Hackerangriffe. Glücklicherweise treffen die Gefahren meisten „die anderen“. Doch Vorsicht ist besser als Nachsicht. Als HTH kümmern wir uns um die IT bei kleinen und mittleren Unternehmen (KMUs) sowie Notare im ganzen Bundesgebiet. Dabei beschäftigen wir uns laufend mit dem Thema Gefahrenabwehr aus dem Internet, dem wir diesen Blogbeitrag widmen.
Inhalt
Was passiert bei einem Virenangriff?
Im theoretischen Fall, dass sich der eigene PC mit einem Virus aus dem Internet infiziert und einzig der Virenscanner greift, passiert folgendes: Im Idealfall hat der Virenscanner bereits Gegenmaßnahmen ergriffen und den Virus abgewehrt bzw. selbstständig bereinigt. Ich als User erhalte dann nur eine Nachricht. Gefährlicher ist es bei neuen Viren, die auch der Virenscanner nicht kennt. In diesem Fall ist es wichtig, selbst Maßnahmen zur Gefahrenabwehr zu ergreifen. Die erste Maßnahme lautet hier: Stecker ziehen und das Gerät vom Netz und vom Strom zu trennen.
Der Verschlüsselungstrojaner und die Maßnahmen zur Gefahrenabwehr
Ein weiterer Fall aus der Praxis: Auf dem eigenen Desktop befinden sich Dateien, die irgendwie komisch aussehen. Vielleicht vermehren sich diese auch ständig? Dabei könnte es sich um einen Verschlüsselungstrojaner handeln. Auch hier gilt: Auf jeden Fall den Stromstecker ziehen, damit die Verschlüsselung sofort aufhört. Das ist eine brachiale Maßnahme aber effektiv zur Gefahrenabwehr. Im Zweifel vollzieht sich die Verschlüsselung leider auch ohne Verbindung zum Internet. Jedoch ist es wichtig, zumindest zu versuchen, den aktiven Verschlüsselungsvorgang einzudämmen.
Wenn das gelungen ist, gilt es, herauszufinden, was genau passiert ist. Im nächsten Schritt steht der Zugriff auf die eigenen Daten und Systeme im Fokus.
Externe IT-Expertise und Unterstützung ist gefragt
In einem solchen Fall kommt der Ottonormaluser jedoch nicht mehr selbst weiter. Hier sind Experten oder Expertinnen als Unterstützung gefragt. Diese schauen sich das System an und überprüfen es. Sie werten Protokolle aus und sehen an verschiedenen Stellen nach, was passiert ist. Dazu gehören Server, Mailsystem oder Firewall. Die Expert*innen können auch einschätzen, wie weit der Angriff gegangen ist. Solche Tätigkeiten gehen bereits in den Bereich der Forensik.
Im schlimmsten Fall ist es nötig, das System zurückzusetzen und auf das letzte Backup zurückzugreifen. Je nach Backupstrategie kann das mit einem Datenverlust verbunden sein.
Doch es kann noch schlimmer kommen: Im Worst-Case-Szenario merken Unternehmen gar nicht, dass sie infiziert sind. Da ist eine Gefahrenabwehr schwierig. Solche Fälle sind allerdings im Bereich der Industriespionage anzusiedeln. Dabei handelt es sich um gezielte Angriffe auf ein bestimmtes Unternehmen. Um solche, ausgefeilten Angriffe zu erkennen, ist eine gewisse Sicherheitsinfrastruktur nötig.
Die Kommunikation im Schadensfall
Für den Fall eines Angriffs ist es wichtig, sich vorher Kommunikationsstrategien parat zu legen. Diese umfassen die interne und die externe Kommunikation. Einerseits stellt sich die Frage: Welche Art von Kommunikation muss ich betreiben? Und andererseits: Wie? Im schlimmsten Fall sind die gängigen internen Kommunikationsmittel zumindest vorübergehend nicht mehr verfügbar.
Zudem müssen die Verantwortlichen überlegen, ob und welche externen Stakeholder zu informieren sind. Dafür ist die Größe des Unternehmens relevant und auch die Frage, welchen Schaden eine Nicht-Kommunikation verursacht.
Gewisse Branchen sind zu einer Meldung verpflichtet. Das gilt vor allem dann, wenn bei einem Angriff Daten verschlüsselt wurden oder abgeflossen sind. Wichtig ist, zu analysieren, ob es sich um personenbezogene Daten handelt. In diesem Fall, ist ein Datenschutzvorfall zu melden. Das ist vergleichbar mit einem Unfall oder einem Hausbrand. Auch hier gilt als Gefahrenabwehr: Erst alles in Sicherheit bringen und dann die Symptome bekämpfen.
Die Sopohos Managed Detection Response
Damit es nicht so weit kommt, bieten Dienstleister Gefahrenabwehr pauschalisiert an. Im Fall der HTH reden wir hier von der Sopohos Managed Detection Response. Hier stellt der Hersteller Sophos ein eigenes Expertenteam zur Verfügung. Dieses Team ist nicht nur im Fall eines Ausbruchs aktiv, sondern trackt laufend, was im System passiert. Zusätzlich arbeiten KI-gestützte Algorithmen mit. Diese erkennen einen Angriff im besten Fall schon in der Anfangsphase.
Für Unternehmen ist es immer empfehlenswert, in Szenarien zu denken und Fragen zu beantworten, wie:
- Was kann ich im Vorfeld tun, um Gefahren von meinem Unternehmen fernzuhalten?
- Was muss ich tun im Nachgang, um den Vorfall zu bewältigen?
- Was ist der Worst Case für mein Unternehmen?
- Wie sichere ich die Folgen an?
Ein Angriff kann jeden treffen
Es ist nach wie vor unwahrscheinlich, dass es Sie als Leserin oder Lesers dieses Blogbeitrags trifft. Aber da die Attacken häufiger und ausgefeilter werden, ist bestimmt irgendwer von unseren Leser*innen einmal dabei.
Es sind nicht immer kleine Unternehmen, sondern auch große Unternehmen oder Universitäten, die angegriffen und verschlüsselt wurden. Im Prinzip kann es jeden treffen. Daher muss sich jedes Unternehmen darauf vorbereiten und aktiv Gefahrenabwehr betreiben. Am besten starten Sie mit einer IT-Sicherheitsberatung.
Wir können unseren Kunden nur empfehlen, das Verhalten in Bezug auf die Gefahrenabwehr durchzuspielen. Das geht entweder selbst oder mit einem erfahrenen Dienstleister, wie wir als HTH das sind. Sprechen Sie uns gerne an. Vereinbaren Sie Ihr unverbindliches Beratungsgespräch.