"Notfallpläne sollten nicht nur für die IT erstellt werden"

Report: Was sollten Unternehmen für ihre Informationssicherheit tun und was bieten Sie dazu?

Stefan Panholzer: Neben der Basisabsicherung mit Antiviren-Clients und Firewalls sollte man sich vor allem mit der Schulung seiner Mitarbeiter allgemein zu Cybersicherheitsthemen aber auch mit Notfallplänen wappnen. Viele Angriffe werden nach einem Gießkannenprinzip zunächst breit und zufällig gestreut und erst nach einem erfolgreichen Eindringen auf ein Unternehmen gezielt gerichtet. Schon ein Klicken auf einen falschen Link kann das auslösen – deshalb sollten Unternehmen die Awareness dazu bei ihrer Belegschaft regelmäßig schüren und üben. Unterm Strich gibt es kein Business mehr, dass ohne IKT-Infrastruktur funktioniert. Diese Abhängigkeit ist vielen noch nicht bewusst.

Bild: Stefan Panholzer ist CIO und Mitglied der Geschäftsführung des Bechtle GmbH IT-Systemhaus Österreich.

Niklas Keller: Wir helfen im Bereich der IT-Forensik bei der Beweissicherung digitaler Spuren, damit auch strafrechtliche Maßnahmen eingeleitet werden, wenn das der Kunde möchte. Im Fokus steht meist aber die Verfügbarkeit der IT. Hier helfen wir rasch, wichtige IT-Services wieder zum Laufen zu bringen. Das beinhaltet nicht nur technische Prozesse, sondern auch ein Krisenmanagement, um die Menschen in dieser Stresssituation auch auf sozialer Ebene abzuholen.

Es geht nur gemeinsam und mit der Mitwirkung des Kunden, damit dieser auch die Sachlage und Maßnahmen gegenüber seinen Mitarbeitern und seinem Management kommunizieren kann. Ein IT-Verantwortlicher in einem Unternehmen hat hier normalerweise nicht die Erfahrung, die es hier braucht. Wir bieten diesen Service im gesamten DACH-Raum an und verfügen damit über eine entsprechende Expertise.

Report: Wie sollte akut auf einen Angriff in der IT reagiert werden? Geht es darum, rasch alle Geräte abzuschalten und die ExpertInnen zu rufen?

Keller: In den meisten Fällen raten wir, die Systeme weiter laufen zu lassen. Sofort abzuschalten ist auch bei laufenden Prozessen in der Industrie nicht so einfach möglich. Wenn die Steuerung eines Hochofens plötzlich abgedreht wird, kann das enorme Schänden verursachen und der Hochofen unter Umständen überhaupt nicht mehr in Betrieb genommen werden.

Malware wird meist nicht mehr auf der Festplatte gespeichert, sondern ist im Arbeitsspeicher einer Maschine aktiv. Ist dieser stromlos, würde man die Informationen verlieren und müsste in einer größeren Organisation tausende Clients einzeln überprüfen. Gibt es aber Indizien, dass einzelne Geräte die Verursacher sind, sollten diese zumindest vom Netzwerk abgetrennt werden.

Panholzer: Auch durch eine Wiederherstellung des IT-Betriebes können Beweise vernichtet werden. Die IT hat im Krisenfall den Druck intern, die IT-Services möglichst schnell wieder zum Laufen zu bringen. Doch wird gleich ein Backup für die Wiederherstellung eingespielt, können gerade bei virtuellen Umgebungen Informationen zu Angriffsvektoren verloren gehen. Was wir hier bieten, ist eine fachkundige Begleitung vom ersten Schritt an: die Wiederherstellung der IT-Landschaft unter der Berücksichtigung, keine Spuren zu vernichten. Das bedeutet die Sicherung von Log-Files und ganzer Maschinen, um hinterher Daten verwerten zu können.

Report: Warum ist es so wichtig, einen Angriff auch forensisch zu untersuchen?

Panholzer: Ein gutes Beispiel ist der Hackangriff bei A1, der intern auch früh entdeckt wurde. Man hat kritische System-umgebungen vom Netzwerk getrennt, aber die Angreifer nicht gleich hinausgeworfen, um mehr über ihre Methoden zu erfahren. Das IT-Sicherheits-Team der A1 ist damit besser für die Abwehr nächster Attacken gewappnet und kann schädigende Vorgänge schneller erkennen.

Keller: Generell ist es ein Prozess: Man hat den Fall, bearbeitet diesen und aus den Erfahrungen der Geschehnisse werden Maßnahmen für die Zukunft abgeleitet. Das betrifft nicht nur die Abwehr von Eindringlingen, sondern auch die Wiederherstellung von IT-Systemen. Denn es gibt nichts Schlimmeres, wenn ich meine IT vielleicht zu 50 % wieder online habe, durch unentdeckte Schwachstellen aber neuerlich zurückgeworfen werde. Wenn die Wiederanlaufzeit zu groß wird, bedeutet das einen zusätzlichen Schaden für Unternehmen.

Auch Cyberversicherungen wollen detailliert über den Fall informiert werden, um sich bei einer Fahrlässigkeit eventuell schadlos zu halten. Unternehmen sind hier in der Beweispflicht. Denn natürlich müssen sie stets Maßnahmen ergriffen haben, dass eben solche Schäden vermieden werden.

Wir haben Fälle gesehen, wo Ransomware als Ablenkung eingesetzt wird, um die IT-Abteilung zu beschäftigen. Im Hintergrund findet dann eine so genannte »Data Exfiltration« statt, bei der sensible Informationen das Unternehmen verlassen. Das Unternehmen ist dann zweifach erpressbar: Man zahlt, dass der eigene Fileserver nicht frei zum Download im Internet steht, ebenso wie für die Entschlüsselung der Clients.

Report: Wie können sich Unternehmen darauf auch organisatorisch vorbereiten? Und wie gut sehen Sie die heimische Wirtschaft dazu aufgestellt?

Keller: Ein wesentlicher Standard in der Informationssicherheit sind Notfall- und Wiederherstellungspläne. Trotzdem merken wir, dass viele Unternehmen nicht vorab überlegen, wie man sich im Ernstfall richtig verhält. Auch beim österreichischen Katastrophenschutz, der Feuerwehr und beim Bundesheer werden Krisensituationen regelmäßig geübt – damit jede Person weiß, was sie zu tun hat. Ich sehe viele Teile der Wirtschaft schlecht auf den Cyberkrieg vorbereitet, der bereits jetzt stattfindet. Die Wenigsten haben Monitoring-Systeme, die automatisch Alarm schlagen. Bei einer Attacke von Kriminellen oder kriegsführenden Parteien verlieren Unternehmen Geld. Davon hängen aber auch Arbeitsplätze und vieles mehr ab.

Report: Was sollte ein Notfallplan für die IT enthalten?

Keller: Wichtig ist, dass jeder weiß, wo er Informationen zu notwendigen Schritten – die auch erprobt sind – nachschlagen kann. Das beginnt bei klar abgesteckten Aufgabestellungen – was etwa zu tun ist, wenn der Domain Controller nicht erreichbar ist und das Identity-Management dahinter nicht mehr funktioniert. Kann ich diesen sofort wieder starten? Welche Abhängigkeiten habe ich hier, auch personell? Einfach nur aufs Backup zu vertrauen, hilft wenig, wenn die Angreifer auch alle Datensicherungen im Visier haben. Im Zweifelsfall muss der Domain Controller also neu installiert werden.

Gibt es das passende Installationsmedium? Wo sind Informationen dazu verlinkt? Was, wenn meine Zugangsdaten auf einem Fileshare gespeichert sind, der ebenfalls nicht erreichbar ist? Es sind Kleinigkeiten, die IT-Fachleuten logisch erscheinen. Aber ohne vorab festgelegten Plan, der auch Eventualitäten abdeckt, braucht so etwas viel zu viel Zeit. Die meisten Angriffe passieren nicht während den Geschäftszeiten, sondern an einem Feiertag oder am Wochenende. Wenn man erst während eines Angriffs eine Firma mit Sicherheitsexpertise aus dem Telefonbuch sucht, geht ebenfalls viel Zeit verloren.

Panholzer: Ein erfolgreicher Angriff auf die IT kann für Unternehmen auch bedeuten, nicht einmal mehr die trivialsten Aufgaben erfüllen zu können. Wenn Systeme stehen, können vielleicht nicht einmal mehr Gehälter ausgezahlt werden – das wird auch nicht funktionieren, wenn die Daten zu Kontoverbindungen verloren sind. Personalakte sind nicht verfügbar und es gibt Fälle, wo man nicht einmal mehr weiß, wer tatsächlich für die Firma arbeitet.

Bei einem Standort mit 30 Mitarbeitern wird das nicht der Fall sein, aber bei 1000 Mitarbeitern sieht das schon anders aus. Ein Notfallplan für eine Situation, in der Prozesse ausfallen, sollte deshalb nicht nur für die IT erstellt werden, sondern auch für HR und andere Bereiche. Der Plan sollte Abläufe, Verantwortlichkeiten und Daten zu allen Kontaktpersonen enthalten.  Hier geht es schlichtweg um die Erfüllung aller rechtlichen Aufgaben einer Firma – und damit ums Überleben.