Incident Response und Recovery: Gehackt – was nun?

Notfallpläne sind essenziell

Damit bei einem Angriff möglichst viel in geordneten Bahnen abläuft und wenig Zeit mit Abstimmungen oder der Suche nach geeigneten Maßnahmen verschwendet wird, benötigen Unternehmen sorgfältig ausgearbeitete Notfallpläne. Dazu zählen:

• ein Business-Continuity-Plan, der beschreibt, wie der Geschäftsbetrieb aufrechterhalten beziehungsweise schnell wiederhergestellt werden kann. Er benennt die Prozesse, Systeme und Daten, die für ein grundlegendes Weiterarbeiten und das wirtschaftliche Überleben wichtig sind, sowie die sich daraus ergebenden Mindestanforderungen an Infrastruktur und Personal. Er legt Ansprechpartner und Kommunikationswege fest, listet Ausweichlösungen auf und gibt den Verantwortlichen klare Vorgehensweise und Checklisten an die Hand.
• ein Incident-Response-Plan, der Maßnahmen und Tools zur Bewertung, Untersuchung und Eindämmung von Sicherheitsvorfällen definiert. Er legt unter anderem fest, wer sich um die forensische Analyse kümmert, betroffene Systeme isoliert und schädliche Artefakte entfernt. Dabei listet er auch auf, welche Schritte dokumentiert und welche Informationen als Beweise gesichert werden müssen. Zudem klärt er, wer eine rechtliche Bewertung vornimmt und wer sich innerhalb welcher Fristen um die Kommunikation mit Mitarbeitern, Kunden, Partnern und Behörden kümmert.
• ein Desaster-Recovery-Plan, der vorgibt, welche Daten und Systeme in welcher Frequenz gesichert und wie sie nach einer Betriebsunterbrechung wiederhergestellt werden. Da Cyberkriminelle gezielt versuchen, Backups unbrauchbar zu machen, gehören wichtige Sicherungen auf einen unveränderlichen Speicher und die wichtigsten Daten in einen isolierten Cyber-Vault. Der Plan benennt darüber hinaus Standorte und Systeme für die Notfallwiederherstellung und gibt eine Reihenfolge für den Restore vor, wobei er Abhängigkeiten zwischen Systemen berücksichtigt.

Pläne gehören kontinuierlich auf den Prüfstand

Alle Notfallpläne müssen regelmäßig getestet werden, damit die Mitarbeiter praxisnahe Erfahrungen sammeln und im Krisenfall mit einer gewissen Routine agieren können. Zugleich dienen die Tests einem Realitätscheck, um zu überprüfen, ob sie grundsätzlich funktionieren und den momentanen Anforderungen noch gerecht werden. Denn nicht nur IT-Infrastrukturen verändern sich kontinuierlich, sondern auch die Organisationsstrukturen in Unternehmen: Ansprechpartner wechseln Jobs, Stellenprofile werden angepasst, Kontaktdaten veralten. Die in den Tests gewonnenen Erkenntnisse helfen, Schwächen in den Plänen zu entdecken und Verbesserungen vorzunehmen.

Ebenso ist es unbedingt notwendig zu überprüfen, ob Backups tatsächlich funktionieren und sich einspielen lassen. Eine Sicherung, mit der Daten und Systeme nicht zuverlässig wiederhergestellt werden können, ist wertlos und belegt nur Speicherplatz.

Der perfekte Plan existiert nicht

Trotz penibler Vorbereitung läuft nach einem Sicherheitsvorfall nicht alles nach Plan ab. Das liegt schlicht daran, dass die Stresssituation viel intensiver als beim Testlauf ist und menschliche Fehler gerade unter Druck leicht passieren können. Hinzu kommen unvorhergesehene Ereignisse und in der Regel einige Annahmen, die sich im Nachhinein als falsch herausstellen, sprich: Man hat nicht alle Eventualitäten bedacht, nicht für jedes Szenario trainiert, sich einige Abläufe als zu einfach vorgestellt. Typische Herausforderungen sind: Ein Mitarbeiter ist krank oder im Urlaub; für eine wichtige Entscheidung wurde kein Verantwortlicher benannt; das Wissen zu älteren Systemen ist unvollständig; Systeme und Anwendungen verhalten sich anders als angenommen; es fehlt an Servern für den Restore.

Erfahrungsgemäß ist das Verständnis der eigenen IT-Umgebung nie so gut, wie Unternehmen glauben. Es hilft allerdings, wenn sie sich schon bei der Infrastrukturplanung an das Motto keep it simple halten und nicht zu viele Anbieter und Technologien einsetzen. Das reduziert den Arbeitsaufwand im Alltag und erleichtert Incident Response sowie Incident Recovery, also die unmittelbare Reaktion auf einen Angriff und die anschließende Wiederherstellung.

Häufig unterschätzen Unternehmen auch, wie lange es dauert, bis wirklich alles wieder wie gewohnt läuft. Die businesskritischen Systeme sind idealerweise schnell wieder betriebsbereit, doch bis alle anderen wiederhergestellt sind, können je nach Umfang der Cyberattacke durchaus mehrere Monate vergehen. Gründe dafür sind unter anderem, dass die späteren Restore-Arbeiten meist parallel zum dann wieder notwendigen Tagesgeschäft durchgeführt werden müssen und in der heißen Phase viele Überstunden angefallen sind, die Mitarbeiter irgendwann abbauen

Angriffe frühzeitig erkennen

Je früher Unternehmen einen Angriff erkennen, desto größer ist die Chance, dass sie ihn stoppen können, bevor Daten kopiert oder Systeme verschlüsselt werden. Häufig sind Cyberkriminelle nämlich schon wochen- oder monatelang im Netzwerk unterwegs und arbeiten sich unauffällig von den initial kompromittierten Systemen zu den geschäftskritischen Servern und Storage-Arrays vor. In dieser Phase helfen Lösungen für Detection and Response, indem sie Status- und Aktivitätsinformationen innerhalb der Infrastruktur sammeln und analysieren. Einzeln betrachtet mögen diese Informationen unverdächtig erscheinen, doch zusammengeführt und mit Kontext angereichert liefern sie ein umfassenderes Bild, das vorbereitende Aktionen und laufende Angriffe sichtbar machen kann.

Zu den Informationen, die solche Lösungen auswerten, zählen unter anderem Logins auf Systemen, Konfigurationsänderungen und Funktionsaufrufe, Zugriffe auf Dateien und Anwendungen sowie der Aufbau von Netzwerkverbindungen. Konzentrieren sie sich dabei auf Endpoints, spricht man von Endpoint Detection and Response (EDR); berücksichtigen sie auch Netzwerkkomponenten, Cloud-Plattformen und Security-Systeme wie Firewalls, ist Extended Detection und Response (XDR) die gängige Bezeichnung. Letzteres bietet eine größere Sichtbarkeit und damit auch eine umfassendere Bedrohungserkennung.

Für den Betrieb solcher Lösungen benötigen Unternehmen erfahrene Security-Analysten, die in der Lage sind, Alarmmeldungen zu bewerten, die Aktivitäten von Angreifern genau nachzuvollziehen und geeignete Gegenmaßnahmen einzuleiten. Mit einem oder zweien dieser im Markt heiß begehrten und entsprechend teuren Spezialisten ist es allerdings nicht getan, da sie rund um die Uhr bereitstehen müssen. Schließlich nehmen Cyberkriminelle keine Rücksicht auf Geschäftszeiten, Urlaube oder krankheitsbedingte Personalausfälle. Vielmehr legen sie ihre Angriffe häufig sogar auf Wochenenden und Feiertage, um Unternehmen zu erwischen, wenn Security-Abteilungen nicht oder nur schwach besetzt sind.

Selbst viele große Unternehmen vertrauen deshalb auf Managed Detection and Response (MDR). Hier übernehmen professionelle Dienstleister die Überwachung der Infrastruktur, untersuchen mögliche Sicherheitsvorfälle und liefern bei schwerwiegenden Bedrohungen binnen Minuten detaillierte Informationen sowie konkrete Handlungsempfehlungen.

„Damit bei einem Angriff möglichst viel in geordneten Bahnen abläuft und wenig Zeit mit Abstimmungen oder der Suche nach geeigneten Maßnahmen verschwendet wird, benötigen Unternehmen sorgfältig ausgearbeitete Notfallpläne.“

Christian Scharrer, Dell Technologies

Im Falle eines Falles schnell entscheiden

Stellen Unternehmen eine Cyberattacke fest, sind schnelle Reaktionen wichtiger als perfekte. Es gilt, keine Zeit zu verlieren, damit die Angreifer nicht noch größere Schäden anrichten können. Im Rahmen der Incident Response ermitteln Security-Analysten und IT-Forensiker, wie Angreifer in die Infrastruktur eingedrungen sind, welche Werkzeuge sie genutzt haben, welche Systeme kompromittiert wurden und welche Daten beeinträchtigt sind. Außerdem leiten sie Sofortmaßnahmen ein, um die Kommunikation und Aktivitäten der Eindringlinge zu stoppen, isolieren beispielsweise Netzwerkbereiche oder sperren missbrauchte Accounts. Im Grunde tun sie alles, um eine Ausweitung des Vorfalls zu verhindern und sämtliche Code-Fragmente, Einstellungen und Hintertüren der Angreifer restlos zu beseitigen.

Anschließend geht es an die Incident Recovery, also die Beseitigung der Schäden und die Wiederherstellung der Daten und Systeme. Im Fokus stehen dabei zunächst die im Business-Continuity-Plan definierten geschäftskritischen Anwendungen, bevor schrittweise die übrigen folgen. Dabei kommen entweder Daten aus Backups und Cyber-Vaults zum Einsatz oder Daten, die die IT-Forensik bereinigt und freigegeben hat.

Der Restore sollte in einer vom Produktivnetzwerk getrennten Umgebung stattfinden, einem sogenannten Clean Room oder Restart Room, in dem die Systeme einige Zeit geprüft und überwacht werden können. Erst wenn alles wieder reibungslos funktioniert, gehen sie in den produktiven Betrieb – andernfalls drohen gleich die nächsten Reputationsschäden, wenn es nach dem Angriff zu weiteren Fehlern und Ausfällen kommt.

Praktisch sind Ersatzsysteme, die für den Ernstfall vorgehalten werden und eine rasche Wiederinbetriebnahme wichtiger Anwendungen erlauben, und das auch schon parallel zu noch laufenden forensischen Untersuchungen. Die meisten Unternehmen verzichten allerdings darauf, denn die Systeme sind totes Kapital und verursachen laufende Kosten, da sie gewartet und gepatcht werden müssen, um in einem Zustand zu sein, dass man sie im Ernstfall sofort einsetzen kann.

Partner sind Lebensretter

Schwerwiegende Sicherheitsvorfälle sind Extremsituationen für Unternehmen und ihre Mitarbeiter. Oft ist es daher sinnvoll, spezialisierte Dienstleister für Incident Response und Recovery hinzuzuziehen. Diese melden sich bei Bedarf innerhalb kürzester Zeit und klären in einem initialen Gespräch die wichtigsten Fragen zur aktuellen Situation. Darauf basierend können sie den Aufwand abschätzen und ein Angebot erstellen. Kommt es zur Zusammenarbeit, leiten sie erste Maßnahmen remote ein, können – je nach Anbieter – aber auch binnen 24 Stunden direkt vor Ort unterstützen. Einige Anbieter können zudem, wenn nötig, Ersatzsysteme zur Verfügung stellen.

Insbesondere bei den forensischen Untersuchungen sind die externen Spezialisten äußerst wertvoll, da die wenigsten Unternehmen das notwendige Fachwissen besitzen. Da es nur selten gebraucht wird, lohnt es nicht, Mitarbeiter auszubilden oder anzuheuern. Aber auch bei der Recovery kann zusätzliches Personal helfen, weil unter Umständen spezielles Wissen zu bestimmen Systemen fehlt oder die Menge an Aufgaben das eigene Team überfordert. Mit der externen Unterstützung gelingt die Wiederherstellung des Geschäftsbetriebs schneller und zuverlässiger. Selbst wenn Unternehmen ausreichende Kenntnisse und Ressourcen haben, kann ein erfahrener Incident Recovery Lead steuernd unterstützen, sodass die Umsetzung effektiver und schneller abläuft.

Letztlich sind Cyberattacken längst an der Tagesordnung, und es ist nur eine Frage der Zeit, bis es zu einem Sicherheitsvorfall kommt, bei dem Präventionsmaßnahmen versagen. Eine gute Vorbereitung sowie professionelle Incident Response und Incident Recovery sind dann der Schlüssel für eine schnelle Rückkehr zur Normalität.

Über den Autor:
Christian Scharrer ist Enterprise Architect und CTO Ambassador bei Dell Technologies.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.