Leitfaden: eine Cyberkrise erfolgreich bewältigen
Um die Schäden eines Cyberangriffs zu minimieren, müssen Unternehmen schnell reagieren. Ein spontanes Krisenmanagement hilft.
Ein mittelständisches Unternehmen irgendwo in Deutschland: 130 Mitarbeiterinnen und Mitarbeiter, Gewinn im einstelligen Millionenbereich. Das Geschäft läuft zufriedenstellend, bis eines Morgens erste Server nicht erreichbar sind und Anmeldungen am Firmennetz scheitern. Wie sich sehr viel später herausstellen wird, war es nur ein Klick gewesen, der die Krise auslöste. Ein unbedachter Klick, der eine Schadsoftware zufällig auf den einen Rechner lud. Pech, dass genau dieser Rechner mit dem Einspielen der Patches nur wenige Tage zu spät dran war. Was dann passierte, geschah 2023 einige Tausend Mal: Angreifer infiltrieren das Netz, kundschaften es aus, kopieren Daten über Nacht auf ferne Hosts und schließen die Vor-Ort-Aktion mit dem Start von Verschlüsselungssoftware ab – ein ganz normaler Ransomwareangriff.
Mit vorbereitetem Business-Continuity-Konzept, validierten Offlinebackups und einem gehörigen Schreck könnte die Geschichte an dieser Stelle schon zu Ende sein: Die Admins stellen die Kernsysteme wieder her, säubern Clients oder setzen sie neu auf. Nach wenigen Stunden wäre das Schlimmste überstanden. Doch nur ein Teil der Unternehmen ist auf schwerwiegende IT-Sicherheitsvorfälle vorbereitet. Für den Rest heißt es: Was tun? In erster Linie einen klaren Kopf bewahren. Um die Krise zu überstehen, müssen Unternehmen gezielte Maßnahmen ergreifen und koordiniert umsetzen. Dabei orientieren sich Incident-Response-Teams unter anderem an den Standards ISO 22301 und BSI 200-4 und setzen vier Kernschritte um: Lageüberblick erhalten, Post-mortem-Forensik, Identifizierung kritischer Prozesse und Wiederaufbau/Wiederanlauf (siehe Kasten „Standardisierte Unterstützung bei der Krisenbewältigung: die Standards ISO 22301 und BSI 200-4“).