Selbst die besten IT-Sicherheitsmaßnahmen können eine Cyberattacke nicht zu 100 Prozent verhindern. Ist ein Unternehmen erst mal Opfer eines Angriffs geworden, heißt es Ruhe bewahren, überlegt handeln und schnell die richtigen Schritte einleiten. Der BVSW hat dazu einen Leitfaden erstellt.
Cyberattacken werden immer raffinierter. Über den Chatbot ChatGPT ist es mittlerweile möglich, sehr authentische Mails zu verfassen, um sie für Phishing und Ransomware-Attacken zu nutzen. Wie sollte sich ein Unternehmen verhalten, wenn seine Daten erst einmal verschlüsselt sind? „Ruhe bewahren ist erst einmal das Wichtigste, auch wenn es schwerfällt“, empfiehlt BVSW-Geschäftsführerin Caroline Eder. „Cyberkriminelle versuchen ihre Opfer gezielt unter Druck zu setzen und sie zu vorschnellem Handeln zu verleiten, was die Situation meistens verschlimmert.“
Betroffene Unternehmen sollten folgende Schritte beachten:
An den Geräten sollte nicht mehr gearbeitet werden. Um zu verhindern, dass eine Schadsoftware womöglich auch auf die Backups übergreift, sollten diese so schnell wie möglich von Netzwerk und Geräten getrennt werden. Auf keinen Fall darf eine Anmeldung zum System mit dem Admin-Konto erfolgen. Die Angreifer könnten die Daten eventuell mitlesen und hätten damit freien Zugang zu allen Systemen.
Das Gremium navigiert das Unternehmen durch die Krise. Geschäftsführung, IT-Abteilung, Juristen, Kommunikationsabteilung, Datenschutzbeauftragte und der Betriebsrat sollten Teil des Krisenstabs sein. Falls die Backups nicht mehr funktionieren, finden sich eventuell noch Daten in Außenstellen oder auf Systemen von Mitarbeitern, die aktuell im Urlaub sind.
Wurden bei einer Cyberattacke personenbezogene Daten gestohlen, so muss nach DSGVO innerhalb von 72 Stunden die zuständige Aufsichtsbehörde benachrichtigt werden. Ebenso sollten die betroffenen Personen über die Datenpanne in Kenntnis gesetzt werden. Betreiber Kritischer Infrastrukturen sind verpflichtet, den Vorfall beim BSI zu melden. Außerdem sollte Kontakt zu den relevanten Vertragspartnern sowie der Cyber-Versicherung hergestellt werden.
Je nach Lage können externe Stellen wertvolle Hilfe leisten. Neben Dienstleistern oder Verbänden, wie dem BVSW, sind auch staatliche Institutionen mögliche Anlaufstellen: Die Zentrale Ansprechstelle Cybercrime (ZAC) der Landeskriminalämter steht den Opfern zur Seite, wenn es um die Beweissicherung und die Erstattung einer Anzeige geht. Bei besonders schweren Vorfällen ist das BSI kompetenter Ansprechpartner. Anders als die Polizei kümmert sich das BSI nicht um die Strafverfolgung.
Für die Wiederherstellung der Systeme sowie für die Strafverfolgung ist eine genaue Dokumentation des Vorfalls entscheidend. (Was ist wann passiert? Mit welchen Geräten und Dokumenten wurde gearbeitet? Welche Systeme sind betroffen?)
Wird ein Lösegeld für verschlüsselte Daten gefordert, sollte nicht vorschnell bezahlt werden. Die Erpresser sind keine seriösen Geschäftspartner, sondern Kriminelle. Eine Zahlung ist demnach auch keine Garantie für die Entschlüsselung der Daten. Auf keinen Fall sollten Verhandlungen direkt mit den Erpressern erfolgen.
Für eine Einschätzung des Vorfalls ist eine digitale Beweisaufnahme erforderlich. Falls die notwendigen Kompetenzen nicht im Betrieb vorhanden sind, sollte die Beweissicherung IT-Experten übertragen werden. Unsachgemäß durchgeführte Analysen auf einem kompromittierten System könnten dazu führen, dass ermittlungsrelevante Dateien zerstört oder gelöscht werden.
Schadprogramme nehmen tiefgreifende Änderungen am infizierten System vor. Deshalb sollten kompromittierte Systeme vollständig neu aufgesetzt werden.
Den kompletten Leitfaden „Cyberangriff – Richtig handeln im Ernstfall“ können Sie hier herunterladen. (Bitte QR-Code erstellen: https://www.bvsw.de/wp-content/uploads/2022/07/A5-Leitfaden-Cyerangriffe-2022_final.pdf).