Lange war von Datenrettung hauptsächlich die Rede, wenn durch physisch beschädigte Hardware Datenverluste drohten. Wichtige Informationen auf Servern, Smartphones, USB-Sticks oder anderen IT-Komponenten mussten wiederhergestellt werden.
Inzwischen sind durch Hackerangriffe ganz andere Bedrohungsszenarien virulent geworden und deutlich stärker als bisher in den Fokus gerückt. Es sind immer professioneller betriebene Angriffe mit spezieller Schadsoftware, die nicht selten Millionenschäden verursachen. Unternehmen und öffentliche Institutionen werden durch Betriebsunterbrüche oder Reputationsschäden im Kerngeschäft getroffen. Ablesen liess sich das zuletzt an der rasanten Zunahme von Cyberattacken mittels Erpressersoftware, die ganze Städte und Unternehmen lahmlegte.
So war im letzten Sommer der Gebäudetechnikspezialist Meier Tobler mit einem Ransomware-Angriff auf die zentralen Systeme seiner IT-Infrastruktur konfrontiert. Die verwendete Erpressersoftware hatte tagelang den Betrieb lahmgelegt. Die Folge waren, wie der Konzern soeben in seinen Geschäftszahlen dokumentierte, Umsatzeinbussen und Sonderkosten von über 11 Millionen Franken. Wobei allerdings nicht alle finanziellen Auswirkungen des Angriffs beziffert werden konnten.
Wenig tröstlich, dass der Konzern aus dem luzernischen Nebikon kein Einzelfall ist und die Anzahl der Angriffe weltweit dramatisch zunimmt. Allein 2019 haben Security-Spezialisten täglich bis zu 400 000 neue Schadsoftwarevarianten gemeldet. Auch dass viele Menschen schon relativ harmlose Erfahrungen mit Cyberkriminellen gemacht haben, kann nicht wirklich beruhigen. Wenn eine Attacke eskaliert und der Notfall da ist, muss sehr schnell reagiert werden. Und tatsächlich erlebt die auch hierzulande schon seit zwei Jahrzehnten bestehende Incident-Response-Security-Branche mit ihren schnellen Eingreiftruppen im Krisenfall einen regelrechten Boom.
Das bestätigt Christoph Baumgartner vom Thalwiler Cyber-Security-Spezialisten Oneconsult. Als Gründer und CEO hat er seine Belegschaft inzwischen auf knapp fünfzig Spezialisten an drei Standorten ausgebaut. Das typische Szenario eines Ransomware-Angriffs beschreibt er so: Kurz nach Arbeitsbeginn wird der IT-Servicedesk mit Anrufen von Mitarbeitenden überschwemmt. Die erste Analyse zeigt, dass Hunderte Systeme der Office-IT und einzelne Systeme der Produktions-IT mittels Ransomware verschlüsselt sind und die Anzahl laufend zunimmt.
Die Geschäftsleitung entscheidet, nicht auf Lösegeldforderung einzugehen und dass die IT-Abteilung den Vorfall selbst lösen solle. Diese kappt diverse Netzwerkverbindungen, um eine weitere Ausbreitung der Malware zu verhindern, und versucht, Backups wieder einzuspielen. Währenddessen informiert die Geschäftsleitung die Polizei und den Verwaltungsrat. Mitarbeitende werden nach Hause geschickt, Kunden und Geschäftspartner nach Gutdünken über zu erwartende Verzögerungen informiert. Zu diesem Zeitpunkt erkennt die IT-Abteilung, dass nicht für alle Systeme Backups verfügbar sind.
In den nächsten Stunden und Tagen versuchen die IT-Mitarbeitenden ihr Möglichstes, um den Normalbetrieb wiederherzustellen. Doch oft sind Weisungs- und Entscheidungskompetenzen unklar, die Zeit drängt – und schon bald liegen die Nerven aller Beteiligten blank. Übermüdung macht sich breit, für die Wiederherstellungsarbeiten wird externe Unterstützung angefordert. Drei Tage nach dem Ereignis kann wieder normal gearbeitet und der Vorfall analysiert werden. Doch nun zeigt sich, dass keine spezifischen Logfiles vorliegen und dass davon, weil betroffene IT-Systeme neu aufgesetzt wurden, auch keine Spuren mehr zu finden sind.
Das Beispiel zeigt, so Baumgartner, dass das betroffene Unternehmen nicht gut vorbereitet war und bestenfalls nach bestem Wissen und Gewissen handelte. So war nicht klar, welche Systeme kritischer oder wichtiger als andere waren und sinnvollerweise mit höherer Priorität behandelt werden sollten. Ausserdem wurde keine professionelle Datensicherung betrieben.
Selbst wenn eine Cyberversicherung besteht, verwundert es nicht, wenn sie nicht für den gesamten Schaden, etwa für Produktionsunterbrechungen, Schadenersatz und ausgefallene Arbeitszeit, aufkommen will. Denn zumindest teilweise wurde im Unternehmen fahrlässig gehandelt.
Baumgartner weist darauf hin, dass keine Organisation in einem Notfall so hilflos wie im beschriebenen Fall stolpern muss. Er empfiehlt eine Business-Impact-Analyse, die auch die Basis jedes Business-Continuity- und IT-Service-Continuity-Managements bilden sollte. Darüber werde definiert, welche Prozesse und Ressourcen wie lange maximal ausfallen dürfen respektive wie schnell diese wiederhergestellt sein müssen.
Er rät zu klaren Strukturen in den IT-Abteilungen für Normal- und Notfallbetrieb. Zudem solle vermieden werden, wichtiges Know-how auf einzelne Personen zu verteilen. «Denn sie werden bei einem Security-Incident die lange Belastung nicht aushalten, da die Aufarbeitung des Vorfalls in der Regel viel länger dauert als der Sicherheitsvorfall selbst.»
Weiter sollten verschiedene Anwendungsfälle definiert werden, um etwa eine Malware-Pandemie, Datenklau oder Hackerattacken adressieren zu können. Aufgrund dessen könne man festlegen, wie Schritt für Schritt vorzugehen ist, und dies in sogenannten Play Books dokumentieren. «Je detaillierter diese Checklisten sind, desto verlässlicher sind sie im Ernstfall», fügt Baumgartner an.
Es sei auch empfehlenswert, vorweg eine Kommunikationsstrategie für den Ernstfall zu erarbeiten. Das erspare unnötige Diskussionen. Und es werde auch von aussen als professionell wahrgenommen, wenn prompt und koordiniert Kundinnen, Kunden und die Öffentlichkeit informiert werden.
Darüber hinaus müssten sich die Unternehmen klarmachen, dass kaum einer ihrer IT-Mitarbeitenden alle zur Lösung eines IT-Sicherheitsvorfalls nötigen Aufgaben ausführen kann. Bewährt haben sich laut Baumgartner sogenannte Computer-Security-Incident-Response-Teams (CSIRT). Gebildet werden sie aus Spezialisten und Spezialistinnen verschiedener IT-Disziplinen, die die IT-Landschaft kennen und sie auf Administratorebene betreuen können. Dazu müssten nicht dedizierte CSIRT-Vollzeitstellen geschaffen werden. Es sollten aber IT-Spezialisten sein, die neben den üblichen IT-Aufgaben im Notfall alles stehen und liegen lassen können, um sich voll der Lösung zu widmen. Eine oft sinnvolle Option sei es, das eigene IT-Team mit externen Security-Spezialisten zu ergänzen.
Mit dem CSIRT und den klassischen Tools zur sogenannten Härtung der Systeme wie Security Patching, mit dem Einsatz von Firewalls und Anti-Malware-Programmen oder auch mit systematischem Monitoring von Anomalien sei man zumindest präventiv gut aufgestellt, fasst der CEO von Oneconsult seine Ratschläge zusammen.
«Wenn das CSIRT und die Prozesse definiert sind, wenn Checklisten vorliegen und die Tools konfiguriert sind und laufen, dann ist es Zeit für eine Notfallübung», fügt er an. Zwar laufe erfahrungsgemäss beim ersten Durchlauf so ziemlich alles schief. Sinnvoll sei deshalb, mit einem simplen Übungsaufbau zu starten, um dann bei jedem weiteren Durchlauf die Komplexität zu erhöhen. So vorbereitet, bilanziert Baumgartner, hätte sich im skizzierten Beispiel die Schadensumme auf einen Bruchteil reduziert. Und Lösegeld sollte nur bezahlt werden, wenn das Überleben der Organisation gefährdet sei.