Security: Wie man nach einem Cyberangriff am besten vorgeht

Inhaltsverzeichnis

Die Bedrohung durch Cyberkriminalität war im Jahr 2023 so hoch wie nie zuvor, so fasst es das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Angriffe mit Ransomware bildeten dabei die wesentliche Ursache für die kritische Sicherheitslage von Wirtschaft, Staat und Gesellschaft. Der Information steht ein Unternehmen mit der Frage gegenüber, was denn zu tun ist, wenn es selbst betroffen ist. Wie kann man den Schaden mitigieren, und welche Schritte sind die richtigen, schlicht: Gibt es ein Patentrezept für das, was nach einem Angriff passiert?

Die Vorgehensweise bei einem Cyberangriff hängt von verschiedenen Faktoren ab. Die Art und Schwere des IT-Problems spielen eine Rolle und die allgemeine Systemarchitektur beeinflusst die Maßnahmen sowie die Existenz von Backups. Außerdem sind die betrieblichen Anforderungen und die Notwendigkeit der IT-Systeme unumgängliche Faktoren für das weitere Vorgehen.

Mehr zu IT-Security

• Security: Wie man nach einem Angriff am besten vorgeht
• Locked Shields: NATO-Manöver für Cyberkrieger
• Red Teaming mit Havoc, Teil 1: Installation
• Nächster Akt im Secure-Boot-Drama: Startverbot für alle (!) Windows-Bootloader
• Marktübersicht: Sicherheitsscanner für Container-Images
• Secure Boot und Startverbote unter Linux
• Sicherheitsexperte im Interview: Wie Insider ihr Wissen im Darknet verkaufen
• Secure-Boot: Massenhaft Startverbote für Bootloader spätestens ab Oktober 2024

Matthias Robbe

Matthias Robbe leitet das Team IT-Consulting im Bechtle IT Systemhaus Münster. Seine Schwerpunkte liegen auf der strategischen IT-Beratung sowie im Bereich Datacenter, Backup und Wiederherstellung.

Deshalb fängt alles mit einer Beurteilung der Situation an. Diese sehr wichtige Phase hat maßgeblichen Einfluss auf das weitere Vorgehen bei einem Systemausfall. Dabei gilt es, zwei Aspekte zu klären: das Ausmaß des Problems und die Problemursache. In der Regel kann man beides nur oberflächlich und vorläufig beantworten, meist ist eine tiefere Analyse erforderlich. Erste Anhaltspunkte geben jedoch eine grobe Richtung vor. Grundstein für die Beurteilung der Situation ist der Dreiklang aus Prävention, Detektion und Reaktion, wie ihn die Sicherheitsberater Heinrich Kersten und Gerhard Klett in dem Grundlagenwerk "Business Continuity und IT-Notfallmanagement" skizzierten. Die ISO-Norm 27031 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergänzt die drei Handlungsbereiche noch um die Phasen der Wiederherstellung und Verbesserung.

Das war die Leseprobe unseres heise-Plus-Artikels "Security: Wie man nach einem Cyberangriff am besten vorgeht ". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.