Nach der Cyberattacke zählt jede Entscheidung: um kritische Anwendungen zuerst kümmern, verschlüsselte Daten nicht voreilig löschen und wiederhergestellte Systeme erst testen. Dell Technologies erläutert, worauf es bei der Incident Recovery ankommt.
Incident Recovery: Nach einem Cyberangriff müssen die betroffenen Unternehmen nicht nur den Angriff stoppen, sondern auch Daten und Systeme möglichst schnell wiederherstellen. Dell Technologies nennt fünf Punkte, auf die es bei der Wiederherstellung entscheidend ankommt.
1. Die Business-Perspektive einnehmen
Oberstes Ziel von Incident Recovery ist die schnellstmögliche Wiederherstellung des „Minimal Viable Business“. Um ihr wirtschaftliches Überleben zu sichern, sollten sich Unternehmen zunächst darauf konzentrieren, die Anwendungen und Services wieder in den produktiven Betrieb zu überführen, die den größten geschäftlichen Wert haben. Weniger geschäftskritische Anwendungen können sie dann im Nachgang Schritt für Schritt wiederherstellen.
2. Das IT-Personal aufstocken
Wenn die Auswirkungen eines Angriffs weitreichend oder sehr komplex sind, ist es für das vorhandene Personal oft schwierig, geschäftskritische Systeme schnell wiederherzustellen, da zu viele Aufgaben gleichzeitig erledigt werden müssen. Deshalb sollten sich Unternehmen Unterstützung von außen holen – zumal in manchen Fällen auch spezielles Fachwissen für bestimmte IT-Systeme oder Technologien erforderlich ist, über das niemand im Haus verfügt.
3. Den kompromittierten Content nicht sofort entfernen
Auch wenn Unternehmen über Backups verfügen, sollten sie von einer Ransomware verschlüsselte Daten nicht gleich löschen. Besser ist es, erst auf einer separaten IT-Infrastruktur zu testen, ob die Wiederherstellung aus den Backup-Daten überhaupt funktioniert. Dadurch halten sie sich für den Fall der Fälle eine Hintertür offen.
4. Ein sauberes Unternehmensnetzwerk gewährleisten
Bevor Anwendungen und Services wiederhergestellt werden, muss gewährleistet sein, dass die Angreifer komplett aus dem Unternehmensnetzwerk entfernt wurden. Oft befinden sie sich dort bereits seit Wochen oder sogar Monaten und sind in dieser Zeit weit in die Systeme vorgedrungen. Verbleiben sie irgendwo im Netzwerk, besteht die Gefahr, dass sie kurz nach der Recovery erneut Daten verschlüsseln.
5. Wiederhergestellte Anwendungen testen
Im Zuge der Recovery führen Unternehmen oft Sicherheitsmaßnahmen durch. Sie erneuern die Anmeldedaten, führen eine Multi-Faktor-Authentifizierung ein oder ändern die Konfiguration ihrer Clients. Die wiederhergestellten Anwendungen sollten deshalb zunächst auf Herz und Nieren getestet werden, bevor sie wieder in den produktiven Betrieb gehen. Funktionieren sie nicht einwandfrei, kann das die Reputation bei Kunden, Partnern und Zulieferern schwer beschädigen.
Bei der Vorbereitung und Durchführung einer Wiederherstellung kann ein dedizierter Partner für Incident Response und Recovery wertvolle Unterstützung leisten. Der Dienstleister bewertet die Fähigkeiten zur Wiederherstellung von kritischen Anwendungen, gibt Verbesserungsempfehlungen und ist in Notfällen sofort greifbar, um direkt vor Ort Hilfe zu leisten. Bei Bedarf kann er auch schnell zusätzliche Hardware für die temporäre Erweiterung der IT-Umgebung bereitstellen oder Spezialisten für bestimmte Technologien organisieren. Damit schaffen Unternehmen optimale Voraussetzungen, um den Normalbetrieb schnellstmöglich wiederherzustellen. jf
Der Autor
Julian Sachs, Projektmanager für Cybersecurity und Incident Response bei Dell Technologies.
