Die perfekte Katastrophe: 10 wichtige Punkte für die Notfallplanung

enthus blog portrait oliver oldach duotone deepblue rapport e white
Keinen Beitrag
mehr verpassen?
Jetzt abonnieren!
Keinen Beitrag mehr verpassen?
Keinen Beitrag mehr verpassen?

Viele unserer Kunden teilen die Besorgnis über ihre Sicherheit. Was passiert im Falle einer Verschlüsselung? Bin ich gut auf den Fall der Fälle vorbereitet? Wie kann ich in diesem Fall meine Umgebung schnell und sicher wieder herstellen? Wie groß kann der Schaden werden?

In diesem kurzen Blog-Eintrag wollen wir Ihnen aus unserer Erfahrung 10 Anhaltspunkte mitgeben, die Ihnen helfen können, sich besser auf den Tag X vorzubereiten:

  1. Ihr Backup ist das Fundament Ihrer Security. Bauen Sie deshalb nicht auf Sand und sparen Sie irgendwo anders: Versagt im Ernstfall die Wiederherstellung Ihres Backups, dann trennt Sie oft nur die Zahlung von Lösegeld vom Totalverlust Ihrer Daten.

  2. Planen Sie mit uns zusammen den Notfall: Im Planspiel gehen Sie verschiedene Szenarien durch und entwickeln Verhaltensregeln für die Mitarbeiter. Sie decken im Vorfeld schon Fehler im Konzept auf, die im Ernstfall zur Katastrophe führen können. Die Planung ist die Grundlage für alle weiteren Maßnahmen und weil sie so wichtig ist, fordern viele Versicherungen und auch NIS 2 eine entsprechende Planung/Vorbereitung.

  3. Dokumentieren Sie den Wiederanlauf: Die Planung wirkt im Ernstfall nur mit einer angemessenen Dokumentation. Die Dokumentation ist dann ausreichend, wenn ein „normaler, IT-affiner“ Mensch ohne spezielle Einweisung mit Hilfe der Dokumentation die IT wieder herstellen kann. Denn, die Erfahrung zeigt: Im Ernstfall fehlt immer der Kollege, der genau weiß, wie es richtig geht.

  4. Üben Sie das Szenario einer totalen Verschlüsselung: Gehen Sie immer vom schlimmsten Fall aus – dem Verlust Ihrer gesamten IT. Wenn es dann im Ernstfall nur ein paar Server sind… um so besser! Die Übung ist wichtig: Viele Abhängigkeiten zeigen sich erst, wenn man übt. Kennen Sie noch das Windows-Domain-Recovery Kennwort, dass Sie 2003 beim Erstellen der Domäne vergeben haben? Ja? Sehr gut! Nein? Dann wird die Wiederherstellung der Domäne nicht gelingen. Wo merken Sie, ob das Kennwort das richtige ist? In einer Notfall-Übung! Das ist nur eins von vielen Beispielen, was bei der Wiederherstellung alles schief gehen kann. Ihre Umgebung ist komplex, warum sollte die Wiederherstellung einfach sein?

  5. Sichern Sie Bewegungsdaten, nicht nur Images von VMs: Die Aufgabe im Falle eines Cyber-Angriffs ist es, schnell eine saubere Umgebung wieder herzustellen. Das erreichen Sie nicht durch das Einspielen des letzten Backups, weil es in der Regel kompromittiert ist. Sie müssen also forensisch herausfinden, wann genau der Angreifer Ihre Umgebung betreten hat, um den richtigen Wiederherstellungszeitpunkt zu wählen. Die Forensik ist aufwändig, teuer und wenn sie nach ein paar Wochen überhaupt ein Ergebnis liefert, dann ist der Schaden bereits massiv. Die Umgebung mit Bewegungsdaten wiederherzustellen ist deutlich schneller und sicherer: Frische Server installieren, Bewegungsdaten importieren, Prüfung auf Anomalien und Sie sind wieder startklar. Dass sich die Schadsoftware in einem SQL-Dump versteckt, das ist schwer und sehr unwahrscheinlich. Wenn die Schadsoftware in den Files eines File-Servers schlummert, dann ist sie nicht aktiv und relativ harmlos.

  6. Wie kommunizieren Sie mit den Fachleuten, die Ihnen im Falle eines Falles helfen? Teams? Skype? Slack? Egal, wofür Sie sich entscheiden, achten Sie darauf, dass Sie einen Notfall-Kommunikationsweg haben, der ohne Ihre (übernommene/kaputte) Windows-Domäne funktioniert. Das trifft auch für die Autorisierung zu, wenn Sie mit Single-Sign-On z.B. über Windows Entra ID arbeiten. Sie brauchen einen Plan B um schnell agieren zu können. Diese Notfall-Kommunikation muss außerhalb Ihrer normalen Kommunikation-Infrastruktur liegen, denn ein Angreifer wird als erstes versuchen, Ihre Kommunikation auszuschalten.

  7. Installieren Sie einen zentralen Log-Server: NIS 2 verlangt einen. Ohne zentrales Log keine umfassende Forensik. Ohne den zentralen Logserver laufen Sie Gefahr, bei Personenschäden durch den Vorfall einen Großteil Ihrer Hardware zu verlieren (Beweissicherung durch die Strafverfolgungsbehörden). Und zu guterletzt: Ohne den zentralen Log-Server steigt der Aufwand zur Erkennung von Angriffen und zur Optimierung der Umgebung (Fehlersuche) ungemein.

  8. Wenn Sie einen Vorfall haben, dann wissen Sie eins mit absoluter Gewissheit: Ihr Endpoint-Protection-Produkt (egal welches) hat versagt. Achten Sie bei der Wiederherstellung der Umgebung darauf, dass Sie eine andere Endpoint-Protection einsetzen. Gerne eine der beiden, die im Gartner Quadranten als rein verhaltensbasierte Lösung führend sind. Gerne als „as a Service“ oder für einen begrenzten Zeitraum. Aber achten Sie darauf, dass Sie die Lösung auch auf allen Servern, DCs und den Punkten einsetzen, die der Angreifer bei Ihnen als Ziel erkannt hat. Sie verändern damit das Spielfeld und stellen die Figuren neu auf. Der Angreifer muss sich neu orientieren und verliert Zeit. Mit hoher Wahrscheinlichkeit fliegt er dadurch sogar komplett aus Ihrer Umgebung heraus und muss von vorne anfangen.

  9. Überprüfen Sie regelmäßig das Regelwerk Ihrer Firewall. Das „Aufräumen“ schließt nicht nur die kleinen Löcher, die mit der Zeit einfach immer entstehen, es hält auch das Regelwerk schlank und agil. Damit kommen Sie unter Umständen mit einer kleineren Firewall aus, oder Sie haben mehr Ressourcen in der Firewall für die CPU-intensiven „Next-Generation“ Features.

  10. Überprüfen Sie Ihre aktuellen Maßnahmen mit Hilfe eines externen Experten. Wir bieten Ihnen dafür verschiedene Werkzeuge an: Pen-Tests, Security-Assessments, CEO/COO/CISO Workshops und/oder PoCs für verschiedenste Maßnahmen. Nutzen Sie dabei immer die Erfahrungen von mehreren, verschiedenen Partnern, um eine „Betriebsblindheit“ zu vermeiden. Es hat sich bewährt, einen Partner für die langfristige Strategie zu haben und andere, die die Umsetzung einzelner Teile der Strategie prüfen oder hinterfragen.

Die gute Nachricht ist: Wenn Sie diese 10 Punkte umgesetzt haben und/oder beherzigen, dann sind Sie sehr gut aufgestellt und können einer Cyber-Krise relativ entspannt entgegensehen. Wenn Sie bei dem einen oder anderen Punkt etwas unsicher sind: Überprüfen sie den aktuellen Stand und holen Sie sich eine zweite Meinung. Consultants, die ihre Rechnung in Euro stellen sind immer günstiger als die „Sicherheits-Experten“, die man im Ernstfall in Bitcoin bezahlen muss.


Schreiben Sie uns

Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema, 
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.