Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

Davor ist kein Betrieb gefeit: Ein argloser Mitarbeiter öffnet den Anhang einer Mail und löst damit eine Verseuchung durch ein Schadprogramm aus. Derk Fischer, IT-Sicherheitsexperte von PwC, gibt Tipps, wie sich Unternehmer, Mitarbeiter und IT-Verantwortliche richtig verhalten:

Phase 1: Wenige Minuten bis eine Stunde nach dem Vorfall
Vermuten Sie einen Befall durch ein Schadprogramm, heißt es zunächst: Ruhe bewahren. Im Idealfall hat das Unternehmen im Vorfeld einen qualifizierten Mitarbeiter bestimmt, der überprüft, ob es welcher Stelle dieser erfolgt ist. Ist in der Firma kein ausreichendes IT-Know-how vorhanden, können auch externe Spezialisten hinzugezogen werden. Wenn sich der Verdacht eines Angriffs bestätigt: Informieren Sie sofort die eigenen Mitarbeiter per Mail, SMS, Intranet oder auf anderen Wegen. „Weisen Sie darauf hin, dass zum Beispiel weitere E-Mails mit verseuchten Anhängen eintreffen können. Wenn möglich nennen Sie auch den Mail-Absender und das Mail-Format“, so PwC-IT-Sicherheitsexperte Fischer.

Phase 2: Erste Stunde bis 16 Stunden nach dem Vorfall
Verschaffen Sie sich einen Überblick über die Verbreitung der Malware und auch über die Schäden, die verursacht wurden. Dies ist auch wichtig, um später für juristische Auseinandersetzungen mit dem Verursacher gewappnet zu sein. Was häufig vergessen wird: Dem IT-Notfallteam fehlen oftmals die nötigen Passwörter für alle relevanten Bereiche: „Ist der Administrator, der alle Zugangsdaten kennt, kurzfristig nicht zu erreichen, dann kommen sie erst mal nicht so schnell an betroffene Systeme heran“, sagt Fischer. Deshalb sollten Unternehmen in weiser Voraussicht Lösungen einbauen, um administrative Zugriffe im Notfall zu ermöglichen. Zum Beispiel in Form sogenannter Firefighter-Accounts. „Diese erfordern allerdings besondere Sorgfalt und Kontrolle im Betrieb“, so Fischer.

Phase 3: Acht bis 24 Stunden nach dem Vorfall
Sammeln Sie weiterhin die notwendigen Beweismittel von den laufenden Systemen, unter anderem aus den sogenannten Logdateien (Ereignisprotokolldateien). Auch Hauptspeicher und Cache müssen in die Sammlung der Daten miteinbezogen werden, denn „die Malware sitzt im Zweifel nicht mehr auf der Festplatte des infizierten PCs“, sagt Experte Fischer. Insbesondere die Logdateien können in den aufgezeichneten Datenströmen durch ein atypisches Erscheinungsbild schnell erste Hinweise auf ungewöhnliche Vorkommnisse und eine weitere Verbreitung der Schadware liefern. „Ein erfahrener Analytiker sieht bereits auf den ersten Blick, ob mit einer Logdatei etwas nicht stimmt“, so Fischer. Spätestens jetzt sind Maßnahmen einzuleiten, die eine weitere Verbreitung der Malware unterbinden, beispielsweise sollten alle potenziell verseuchten Systeme vom restlichen Firmennetzwerk isoliert werden.

Phase 4: Ein Tag bis eine Woche nach dem Vorfall
Ob schon zu diesem Zeitpunkt eine Meldung an das Bundesamt für Sicherheit in der Informationstechnik erfolgen muss, ist im Einzelfall zu klären. „Derzeit sind nur Unternehmen, die eine kritische Infrastruktur betreiben, dazu zeitnah verpflichtet“, sagt Fischer. Um Imageschäden für das Unternehmen vorzubeugen, rät Jörg Asma, Managing Director von Comma Management Consulting für Sicherheit, zu einer gezielten Kommunikation gegenüber allen wichtigen Investoren, Kunden und Lieferanten. Dabei gilt die Devise: Verheimlicht werden darf nichts, „aber den Vorfall zusätzlich aufbauschen sollte man natürlich auch nicht“, so Asma.

Phase 5: Ein Tag bis drei Wochen nach dem Vorfall
Beginnen Sie mit der forensischen Untersuchung der gesammelten Daten, um Rückschlüsse auf den Urheber der Malware zu ziehen. Dazu kann auf das sogenannte Reverse Engineering zurückgegriffen werden, bei dem die Malware von Fachleuten bis ins Detail untersucht wird. „Dadurch lässt sich recht gut ableiten, was sie genau macht, zum Beispiel ob sie bösartig ist oder ob sie schlimmstenfalls nach und nach alle erreichbaren Dateien verändert, verschlüsselt oder auch direkt löscht“, sagt Fischer. Ist die Malware verschlüsselt, ist auch folgendes Szenario denkbar: Wenige Stunden nach der Infizierung erhält die Firma einen Anruf oder eine E-Mail. Darin bietet der Hacker einen Entschlüsselungscode an – selbstverständlich gegen Zahlung einer ansehnlichen Gebühr, die üblicherweise in der digitalen Geldeinheit „Bitcoin“ anonym zu entrichten ist. „Wir raten in der Regel davon ab, auf eine solche Erpressung einzugehen“, so Fischer und ergänzt: „Deshalb ist die rasche Isolierung der Schadware und der verseuchten Systeme auch so immens wichtig.“

Phase 6: Ein Tag bis drei Wochen nach dem Vorfall
Parallel zur forensischen Untersuchung betreibt die Firma weitere Datenanalysen, die detaillierte Rückschlüsse auf das Ausmaß der Verseuchung geben. Im schlimmsten Fall wird festgestellt, dass der Virus schon seit Tagen, Wochen oder gar Monaten im System wütet. Was keinesfalls so selten vorkommt: Das Bundesamt für Sicherheit in der Informationstechnik gibt nämlich den Zeitraum für die Dauer der Entdeckung von Malware in Unternehmensnetzwerken mit durchschnittlich 243 Tagen an. Nach einem so langen Zeitraum ist oft nicht mehr viel zu reparieren – und es kommt nur noch ein kompletter Neustart aller Systeme sowie Programme infrage. Doch Vorsicht: Achten Sie darauf, dass Sie auf ein Backup zurückgreifen, das noch nicht von der Malware infiziert wurde.

Phase 7: Zwei bis vier Tage nach Phase 6
Stellen Sie eine komplette Dokumentation Ihres Vorgehens zusammen: Nennen Sie nicht nur Ursachen, Angriffspunkte und Gegenmaßnahmen der IT-Mitarbeiter. Listen Sie auch Schwachpunkte auf, die Sie künftig verbessern wollen.