Immer mehr Unternehmen vertrauen bei der Abwicklung ihrer Geschäfte auf digitale Ressourcen. Vor diesem Hintergrund wird IT-Sicherheit zunehmend zur höchsten Priorität – schließlich werden hierdurch die wichtigsten Güter geschützt, über die ein Unternehmen verfügt: Informationen.
Wie wir alle wissen, ist Sicherheit kein Ziel, sondern ein Prozess. Deshalb gehören Prävention und kontinuierliche Verbesserungsmaßnahmen am Schutzwall des Unternehmensnetzwerks zu den grundlegenden Elementen der Verteidigung gegen Cyberangriffe.
Dennoch können natürlich jederzeit unvorhergesehene Ereignisse wie Sicherheitslücken oder Malware-Infizierungen auftreten, auf die Unternehmen angemessen reagieren können müssen. Deshalb werfen wir im Folgenden einen Blick auf die Maßnahmen, die Organisationen in solchen Fällen vornehmen sollten, um die Situation halbwegs unbeschadet zu überstehen.
Schritt 1: Das Ausmaß der Infektion ermitteln
Immer wieder neigen Unternehmen im Falle einer Infizierung ihrer Systeme dazu, die Auswirkungen durch Annahmen und Vermutungen zu bestimmen, statt eine handfeste Analyse des Problems vorzunehmen. Natürlich ist die Reaktionszeit im Falle einer Beeinträchtigung der Systeme von zentraler Bedeutung, aber voreilige Annahmen können in die Irre führen und das Problem möglicherweise sogar noch verschlimmern.
Verfügt das Unternehmen über ein funktionierendes IT-Notfallmanagement mit entsprechenden Vorsichtsmaßnahmen können relativ schnell alle notwendigen Informationen zusammengetragen werden, um die wichtigsten Fragen zu beantworten.
In einem ersten Schritt sollten also zunächst bestimmt werden, welche Systeme auf welche Art kompromittiert wurden. Betrifft die Infizierung nur einzelne Rechner oder Teile des Netzwerks? Sind sensible Daten gefährdet? Geht es um Unternehmensdaten oder private Informationen über Mitarbeiter und/oder Kunden?
Schritt 2: Den IT-Betrieb sicherstellen
Falls es Unbefugten gelungen sein könnte, auf sensible Informationen zuzugreifen, sollten die betroffenen Mitarbeiter und Kunden umgehend über das Datenleck informiert und zu besonderer Vorsicht aufgerufen werden.
Wurden physikalische Geräte beeinträchtigt, sollten Sie alle Prozesse zur Aktivierung der Backup-Ressourcen in Gang setzen, um den Geschäftsbetrieb weiterhin aufrechtzuerhalten. Hierfür sind Redundanzen bei Geräten und Netzwerken von zentraler Bedeutung. Zudem ist ein Notfallplan erforderlich, der die Reaktionszeiten verkürzt.
Schritt 3: Die Infektion eindämmen
Die Eindämmung einer Infektion beginnt mit der Isolierung der betroffenen Systeme. Koppeln Sie alle Netzwerksegmente ab, in denen sich infizierte Rechner befinden. Hierdurch verhindern Sie zum einen eine unaufhaltsame Ausbreitung der Infektion über das gesamte Unternehmensnetzwerk, zum anderen unterbrechen Sie die Verbindung, die Angreifer nutzen können, um auf Ihre Systeme zuzugreifen.
Ihre IT-Abteilung sollte die genutzten Befehle ausfindig machen und auswerten. Ist der Datenverkehr zwischen den infizierten Rechnern und denen der Angreifer verschlüsselt, sollte man versuchen, ihn zu decodieren. Wenn die Kommunikation auf nicht vertraulichen Protokollen stattfindet (z.B. http), ist es natürlich noch einfacher, die Befehle nachzuvollziehen.
Hierdurch können Sie gegebenenfalls andere infizierte Rechner identifizieren und Rückschlüsse für die Erstellung entsprechender Firewall-Regeln ziehen, um die unautorisierten Zugriffe zu unterbinden.
Um dies zu erreichen, ist es notwendig, den beobachteten Datenverkehr richtig zu benennen, um die Verarbeitung zu beschleunigen. Auch an dieser Stelle ist offensichtlich, dass Prävention und proaktive Erkennung von Bedrohungen zu den Grundpfeilern der Informationssicherheit gehören.
Die meisten der genannten Methoden beruhen auf einer manuellen Analyse der Informationen. Eine zentralisierte Antiviren-Lösung kann Ihnen diese Arbeit erheblich erleichtern. So können sie darüber beispielsweise umgehend Aktionen auf allen Clients ausrollen und eine weitere Beeinträchtigung Ihrer Systeme verhindern.
Die neue Generation von ESETs Unternehmenslösungen wurde genau hierfür entwickelt. Sie stellt einen Kernpunkt im Prozess der Eindämmung dar und verhindert die Ausbreitung infizierter Komponenten über verschiedene Teile des Systems.
Schritt 4: Die Infektion eliminieren und weitere Angriffe verhindern
Die Entfernung des Schädlings ist eine komplexe Prozedur, der eine gründliche Analyse des Codes vorangehen muss, um die Wirkungsweisen zu verstehen. Antiviren-Lösungen unterstützen diesen Prozess durch automatische Säuberungen und sparen dadurch wertvolle Zeit.
Stellen Sie sicher, dass sie die Angreifer komplett aus Ihren Netzwerken verbannen. Denn wenn auch nur ein Einfallstor offenbleibt, könnten die Übeltäter dieses nutzen, um einen erneuten Angriff zu starten. Deshalb sollte der Fehler, über den sie ursprünglich Zugang erlangt haben, isoliert und anschließend gewissenhaft behoben werden.
Doch auch nachdem die betroffenen Systeme gesäubert wurden, ist die Gefahr nicht zwingend gebannt. Schließlich können weiterhin unbemerkte Infektionen bestehen. Deshalb sollten Sie weiterhin alle Datenpakete, die über das Netzwerk verschickt werden, verstärkt beobachten. Dabei haben Sie den Vorteil, aus der vorangegangenen Analyse die Kommunikationsprotokolle und Befehle der Angreifer bereits zu kennen.
Neben der Überprüfung der Firewall-Regeln ist die Änderung von Passwörtern eine weitere wichtige Präventionsmaßnahme, da die Angreifer beim Zugriff auf die Systeme möglicherweise auch Zugangsdaten gestohlen haben könnten. Zwar nimmt dieser Aktualisierungsprozess viel Zeit und Aufwand in Anspruch, aber hierdurch verhindern Sie, dass Angreifer gestohlene Informationen nutzen können, um sich als legitime Nutzer auszugeben.
An diesem Punkt ist es wichtig, festzustellen, ob die Infektion das Ergebnis einer Nachlässigkeit oder ein Glied in der Kette eines zielgerichteten Angriffs war.
Wenn deutlich wird, dass die Angreifer es explizit auf die Organisation abgesehen hatten, lautet die erste Frage, wer hinter diesem Angriff steckt. Dabei sollte man nie vergessen, dass ein erneuter Angriff jederzeit bevorstehen könnte.
Schritt 5: Aus Fehlern lernen
Die Ergebnisse einer gründlichen Untersuchung können Aufschluss geben über die Prozesse innerhalb des Unternehmens, die verbesserungswürdig sind. Die Behebung von Schwachstellen, die bis dahin nicht bekannt waren, bietet die Möglichkeit, den Schutzwall des Unternehmensnetzwerks zu stärken, indem andere potenzielle Einfallstore identifiziert werden können, die vorher nicht bedacht wurden.
Natürlich sind Infektionen kein angenehmer Vorfall für Unternehmen; aber sie bieten die Chance, dass man aus ihnen lernt. Sie zeigen einem auf, welche Teile des Systems gestärkt werden müssen und geben Aufschluss über Lücken in Ihren derzeitigen Verteidigungsmaßnahmen.