Home
News
Hackerangriff: To-Do-Liste für Notfallszenario
25.06.2019

Hackerangriff: To-Do-Liste für Notfallszenario

Diese Woche wurde bekannt, dass der St. Galler Gewerbeverband von einem Unbekannten erpresst wurde. Wenn ein Hacker eine Organisation lahm legt, muss schnell reagiert werden. Eine Anleitung.

Der Albtraum eines jeden IT-Verantwortlichen traf vor einigen Tagen in St. Gallen ein. Ein Fremder hackte sich in die IT des örtlichen Gewerbeverbandes, verschlüsselte Daten und wollte mit einem Countdown von 33 Stunden ein „Lösegeld“ erpressen. Computerworld und Netzwocheberichteten.

Die betroffene Organisation war kein Kunde von terreActive. Treffen kann ein solcher Vorfall aber natürlich jeden. terreActive empfiehlt dann folgendes Vorgehen:

To-Do-Liste beim Cyberalarm

1. Isolieren der betroffenen Systeme, um eine Ausbreitung innerhalb der gesamten IT-Infrastruktur zu verhindern.
2. Speichern der verschlüsselten Daten auf externe Speichermedien. Sollte es in der Zukunft ein Entschlüsselungstool geben, können so die Daten nachträglich wiederhergestellt werden.
3. Kompletter Wipe der betroffenen Systeme, also Formatierung der Festplatte, so dass keine alten Daten mehr vorhanden sind.  
4. Wiederherstellen ab Backup, ein klassisches Restore u. a. vom Betriebssystem.
5. Wechseln von Passwörtern etc.
6. Wiedereinbinden in die Infrastruktur.

Das Naheliegende nicht vernachlässigen

Obwohl trivial, scheitert es in der Praxis meist an Punkt 4, dem Backup. Denn dies bedeutet, dass ein Unternehmen bereits vor dem Notfall (dem Security Incident) die richtige Backupstrategie implementiert haben muss. Neben schriftlich festgehaltener Strategie empfiehlt es sich, das Restore mindestens jährlich praktisch durchzuspielen. Dies hilft sicherzustellen, dass das Backup die Daten vollständig und korrekt abgespeichert hat und dass im Notfall alles schnell von der Hand geht und die Downtime auf ein Minimum reduziert werden kann.  

Die Bedeutung von Runbooks

Die oben genannten Punkte stellen nur eine grobe Checkliste dar. Detaillierte Vorgehensweisen für unterschiedliche Szenarien werden bei terreActive pro Kunde in Runbooks festgehalten. In dieser modernen Art des Betriebshandbuches kann jeder Cyber Security Engineer im Notfall nachschlagen, was wo zu tun ist. Das Runbook ist ein Aktionsplan für die Bearbeitung von individuellen Threat- und Incident-Szenarien. Es unterstützt beim Lösen operativer Probleme und sorgt für schnelle Wiederherstellung.