Plötzlich gehackt? Erste Hilfe nach einem Cyberangriff
Hacker sind in die Unternehmens-IT eingedrungen. Und jetzt? Wir fassen für dich zusammen, welche ersten Schritte jedes Unternehmen unmittelbar nach dem Bekanntwerden eines Cybervorfalls einleiten sollte.
Die Zugriffe auf IT-Systeme und Unternehmensdaten werden verweigert. Fehlermeldungen blinken auf den Computer-Monitoren im Unternehmen. Erpresser fordern hohe Summen in Bitcoin, um die Daten wieder zu entschlüsseln. Solche Szenen sind längst keine Seltenheit mehr. Das dunkle Geschäft der Cyberkriminalität floriert.
Für Unternehmen stellt sich heute weniger die Frage, ob sie gehackt werden, sondern wann. Trotz dieser bitteren Erkenntnis kommt der Ernstfall immer überraschend. Um die negativen Folgen einer solchen bösen Überraschung so gering wie möglich zu halten, empfehlen sich folgende Schritte:
1. Ruhe bewahren
Wie bei jedem anderen Krisenereignis ist es auch nach einem Cybervorfall am wichtigsten, einen kühlen Kopf zu bewahren. Instinktiv neigen viele Menschen dazu, in Panik zu verfallen und beispielsweise alle Stecker zu ziehen. Das ist aber nicht immer ratsam und führt im schlimmsten Fall sogar zu größeren Schäden. Besser ist es, die betroffenen Systeme nach Möglichkeit zu isolieren.
In den meisten Fällen sind die Hacker bereits seit längerer Zeit unbemerkt im System. Laut einer Studie von IBM erkennen Unternehmen eine ausgenutzte Sicherheitslücke im Durchschnitt erst nach 204 Tagen – und benötigen danach weitere 73 Tage, um sie einzudämmen.
2. Notfallplan befolgen
Falls ein Notfallplan vorliegt, ist jetzt der richtige Zeitpunkt, um ihn nach und nach abzuarbeiten. Viele der folgenden Schritte sollten bereits durch den Notfallplan abgedeckt sein.
Ebenso sollten eventuell vorhandene Pläne rund um Business Continuity und Disaster Recovery umgesetzt werden. Sie helfen dabei, trotz der Einschränkungen die zentralen Geschäftsprozesse fortsetzen zu können und so schnell wie möglich vom Notfall- in den Normalbetrieb überzugehen.
3. Cyber-Versicherung benachrichtigen
Auch wenn das Ausmaß des Schadens noch nicht hundertprozentig klar ist, sollten Unternehmen so früh wie möglich ihre Versicherung einbinden – vorausgesetzt, sie haben eine entsprechende Cyber-Police abgeschlossen.
Mittlerweile bieten viele Cyber-Versicherungen nicht nur eine finanzielle Absicherung vor Schäden durch Cyberangriffe. Sie unterstützen Unternehmen auch aktiv beim Krisenmanagement.
4. Professionelle Hilfe hinzuziehen
Hinter den meisten Cyberangriffen stehen hochprofessionell agierende Gruppen. Um ihnen wirksam begegnen zu können, ist eine ebenso professionell aufgestellte Verteidigung unabdingbar. Für die meisten Firmen ist es illusorisch, die Folgen eines Hackerangriffs aus eigener Kraft abzufedern. Man braucht Cyber-Expertinnen und -Experten, die sich der Sache annehmen.
Mittlerweile gibt es viele Unternehmen, die sich auf IT-Sicherheits-Dienstleistungen spezialisiert haben. Sie stellen für den Ernstfall ein sogenanntes Incident Response Team bzw. Emergency Response Team bereit. Ähnlich wie die Feuerwehr rücken diese Teams bei einem Cyber-Vorfall aus und dämmen den Schaden vor Ort ein.
5. Strafverfolgungsbehörden informieren
Unternehmen sollten Cyberangriffe unbedingt anzeigen und so schnell wie möglich die Strafverfolgungsbehörden informieren. In Österreich stehen Unternehmen das Bundeskriminalamt mit der Cybercrime-Meldestelle als Ansprechpartner zur Verfügung.
Je nach Region verfügen die Behörden bereits über spezialisierte Teams, die ebenfalls ausrücken und vor Ort Beweise sichern. Diese Arbeit geht häufig Hand in Hand mit dem Incident Response Team. Ähnlich wie bei einem Brand hat die Schadensbegrenzung oberste Priorität. Zuerst muss der Brand gelöscht werden. Erst danach beginnt die Ermittlung der Brandursache.
6. Betroffene informieren
Unmittelbar nachdem die ersten gesicherten Erkenntnisse über den Cybervorfall vorliegen, solltest du Betroffene darüber informieren. Dazu gehören Mitarbeiter und je nach Fall auch Geschäftspartner, Behörden und Kunden. Je nach Branche, Unternehmen und Vorfall sind gegebenenfalls gesetzlich vorgeschriebene Meldepflichten zu berücksichtigen. Liegt eine Datenschutzverletzung lt. DSGVO vor, muss innerhalb von 72 Stunden die entsprechende Meldung bei der Österreichischen Datenschutzbehörde erfolgen.
Sicherheitsvorfälle offenzulegen ist zwar unangenehm, aber alternativlos. Die Risiken durch eine Vertuschung oder eine allzu zögerliche Kommunikation sind sehr hoch. Je nach Fall drohen möglicherweise strafrechtliche Folgen. Offenheit und Transparenz hingegen schaffen Vertrauen und sind auf lange Sicht ein Garant für eine gute Reputation.
7. Externe Teams unterstützen
Auch wenn professionelle Hilfe hinzugezogen wird, bleibt bei einem Cybervorfall typischerweise auch bei der eigenen Belegschaft die eine oder andere Nachtschicht nicht aus. Niemand weiß besser als das betroffene Unternehmen selbst, welche Systeme geschäftskritisch sind und welche Einschränkungen priorisiert behoben werden sollten.
Um die Arbeit spezialisierter externer Teams bestmöglich zu unterstützen, müssen vor allem in der Anfangsphase die richtigen Ansprechpartner des Unternehmens rund um die Uhr verfügbar sein. Dazu gehören typischerweise IT-Administratoren sowie Entscheidungsträger und Fachexperten, welche die geschäftliche Dimension der betroffenen Systeme beurteilen können.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Jochen Jasch
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.