Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Die „goldene Stunde” nach einem Cyberangriff: Warum Schnelligkeit zählt

Genau wie ein Torhüter in einem Fußballspiel müssen auch IT-Security-Verantwortliche in Unternehmen akzeptieren, dass sie nicht alle Feinde und Gegner abhalten können, die versuchen  ihre Cybersicherheitsmaßnahmen zu umgehen. Da Angreifer immer raffinierter und vor allem verschleierter agieren, kann selbst ein Netzwerk aus verschiedenen sich ergänzende Sicherheitsmechanismen keinen hundertprozentigen Schutz vor Hackerattacken  garantieren. Eines haben Unternehmen jedoch sehr wohl in der Hand, und zwar die Art und Weise, wie effektiv und professionell sie auf jedweden Cyber-Vorfall reagieren. Im Idealfall gelingen Identifikation, Abwehr, Analyse und Schadeneindämmung innerhalb der ersten 60 Minuten, der so genannten „goldenen Stunde“.

Schnelligkeit ist Trumpf

Wie zahlreiche spektakuläre Cyberangriffe und Datenschutzverletzungen in den letzten Monaten gezeigt haben, können selbst Konzerne, die in ihre Cybersicherheitsmaßnahmen wohl beachtliche Budgets investieren dürften, nicht alle Angreifer blockieren, die versuchen, auf das Unternehmensnetzwerk zuzugreifen. Umso wichtiger ist es, dass die unternehmenseigene Sicherheitsstrategie nicht nur die Implementierung standardmäßiger Abwehrmaßnahmen fokussiert, sondern auch einen effektiven (technischen und organisatorischen) Umgang mit erfolgten Angriffen im Auge hat. Die Basis bildet dabei der Einsatz geeigneter Technologien, die eine zeitnahe Entdeckung möglicher Cybermanipulationen überhaupt erst möglich macht. Denn je schneller Unternehmen reagieren können, desto besser können negative Auswirkungen der Attacke gering gehalten und die Reputation der Marke geschützt werden.

Der erste Schritt nach der Entdeckung besteht dann darin, die Bedrohung rasch einzudämmen, und dazu müssen die Sicherheitsteams das betreffende Gerät so schnell wie möglich isolieren. Dazu müssen sie sicherstellen, dass alle Netzwerkverbindungen entfernt werden, damit sich die Infektion nicht weiter im Netzwerk ausbreiten kann. Nachdem das Gerät nun vollständig unter Quarantäne gestellt wurde, gilt es zügig den nächsten Schritt zu machen und festzustellen, inwieweit und durch welche Art Angreifer das Unternehmen „verletzt“ wurde. Auch hier sollten Technologien zum Einsatz kommen, die eine detaillierte Forensik, d.h. einen 360 Grad- Einblick in das Vorgehen des Angreifers und seiner Aktivitäten ermöglicht. Die Security-Verantwortlichen haben dann ein klareres Bild darüber, welche Daten modifiziert, gelöscht und vor allem gestohlen wurden.

Datenrechtsverletzungen nicht unter den Teppich kehren

Sobald die forensische Einsicht und damit der Kontext des Angriffes vorliegt, ist es möglich, den Vorfall aus organisatorischer Sicht anzugehen. Sicherheitsteams müssen nun die Auswirkungen auf das Unternehmen bewerten, indem sie analysieren, welche Art von Daten betroffen ist und ob die Daten sensible oder personenbezogene Informationen enthalten, die für Identitätsdiebstahl oder andere kriminelle Aktivitäten verwendet werden könnten. Ist dies der Fall, muss der Vorfall als schwerwiegenderes Ereignis behandelt werden. Vor allem angesichts der im nächsten Jahr in Kraft tretenden neuen Datenschutz-Grundverordnung der EU (DSGVO) ist ein korrekter Umgang mit verletzten Datenrechten kritischer denn je. Denn ab dem 24. Mai 2018 drohen nachlässigen und unüberlegt handelnden Unternehmen bei Datenrechtsverletzungen hohe Bußgelder und Schadensersatzzahlungen in Höhe von bis zu 4 Prozent des weltweiten Umsatzes bzw. bis zu 20 Millionen Euro. Datenrechtsverletzungen müssen dann innerhalb 72 Stunden an die zuständige Behörde gemeldet werden.

Umso wichtiger ist es, dass Unternehmen bereits im Vorfeld Strategien für den internen und externen Umgang mit Datenverlusten aufstellen. Alle von dem Vorfall Betroffenen – von den eigenen Mitarbeitern bis zu Kunden oder Partnern – müssen so schnell wie möglich informiert werden. Nur so haben sie selbst die Möglichkeit, zu reagieren und rechtzeitig etwaige notwendige Schritte einzuleiten, die potenziell negative Auswirkungen eindämmen oder ganz verhindern können. Dazu gehören beispielsweise Hinweise zum Ändern von Passwörtern oder Hinweise auf mögliche gezielte Phishing-E-Mails. Die Sicherheit Dritter und damit die offene Kommunikation des Angriffs muss für ein Unternehmen hier oberste Priorität haben. Unternehmen sollten bedenken, dass sich Cyberattacken und Datenpannen über verschiedene Social-Media-Feeds heutzutage schneller verbreiten als so manchem lieb ist. Deshalb müssen sie sicherstellen, dass die Krisenkommunikation durch ein professionelles Team gesteuert wird. Je schneller ein Cyberangriff entdeckt und seine Auswirkungen analysiert wurde, desto mehr Zeit bleibt den Verantwortlichen den Schritt in die Öffentlichkeit durchdacht vorzubereiten.

Wir befinden uns in einer Welt, in der sich längst nicht mehr die Frage stellt, ob, sondern vielmehr wann ein Unternehmen zur Zielscheibe von Cyberkriminellen wird. Da Malware in immer raffinierteren und hochentwickelteren Varianten auftritt, müssen auch Unternehmen in Sachen Sicherheitstechnologien neue und innovativere Wege gehen. Wer Hackerangriffe rasch und möglichst innerhalb der ersten 60 Minuten identifizieren, blockieren und analysieren möchte, sollte deshalb auf Next Generation-Lösungen setzen, die auf Verhaltensanalyse, maschinellem Lernen und künstlicher Intelligenz basieren. Dabei sollten die Security-Verantwortlichen vor allem auf Fähigkeiten zur forensischen Einsichtnahme achten, denn tiefgreifende Einblicke in den Modus Operandi eines Angreifers sind der Schlüssel für eine zielgerichtete Abwehr, für den Schutz vor zukünftigen Attacken und zur Einhaltung der von der DSGVO geforderten umfassenden Dokumentation einer Datenrechtsverletzung.

Autor: Tony Rowan, Chief Security Consultant, SentinelOne