Reaktionen auf Cybervorfälle

Es war mitten im Lockdown, als Cyber-Kriminelle ein deutsches Produktionskonglomerat angriffen. Der Übergriff wurde erst nach zwei Wochen entdeckt und hatte sich in der Zwischenzeit im gesamten Netzwerk ausgebreitet.

Dezember 13, 2021

Sie hatten gut ausgearbeitete Reaktionspläne für Cybervorfälle und haben begonnen, diese umzusetzen. Sie analysierten die Situation und arbeiteten anschließend daran, den Perimeter zu sichern, den Angriff einzudämmen und den Schaden zu bewerten. Aber der CISO war frustriert: Was immer sie auch taten, die Angreifer waren ihnen einen Schritt voraus.

Warum hatte es so lange gedauert? Es lag nicht daran, dass das Team schleppend vorangekommen wäre. Vielmehr stellte sich heraus, dass die Angreifer in ihre Kollaborationstools eingedrungen waren, einschließlich der bekannten Kollaborations-App, die das Emergency-Response-Team zur Koordinierung seiner Aktionen nutzte. Die Angreifer konnten Anrufe abhören und Nachrichten lesen. Was auch immer das Reaktionsteam versuchte, die Angreifer waren darauf vorbereitet.

Probleme Nr. 2 und 3

Der CISO erhielt die Erlaubnis, den Zugang zur Produktivitäts- und Kollaborationsumgebung zu sperren, um die Angreifer fernzuhalten. Dadurch waren die Mitarbeiter jedoch nicht mehr in der Lage, miteinander zu kommunizieren, sodass der CEO keine Möglichkeit mehr hatte, alle anderen über die Vorgänge zu informieren. Das Unternehmen war nach der beschleunigten digitalen Umstellung während der Pandemie in hohem Maße von seinen digitalen Kommunikations- und Kollaborationsstools abhängig geworden. Geschäftskritische Aktivitäten kamen zum Stillstand, was zu finanziellen Verlusten und Reputationsschäden bei Kunden und Branchenpartnern führte.

Doch durch diesen mutigen Schritt konnte der Angriff eingedämmt werden und die IT-Teams konnten sich endlich auf die Sicherung des Netzwerks konzentrieren und mit der Wiederherstellung der Primärsysteme und Daten beginnen. Dieser Prozess sollte mehrere Wochen dauern – die Zukunft sah düster aus, aber Wirtschaftspartner und sonstige Dritte standen dem angeschlagenen Unternehmen bei und boten ihm praktische Hilfe sowie Unterstützung an. Sie baten nicht um Bezahlung, sondern um ein Versprechen: Bitte helfen Sie auch uns, wenn wir ein ähnliches Problem haben.

Aufrechterhaltung des Betriebs

Während dieser Ausfallzeit erwarb das Unternehmen mehrere Lizenzen für ein anderes Kollaborationstool, um zu probieren, die Kommunikation wieder aufzunehmen und die geschäftskritischen Aktivitäten wiederherzustellen. Dies brachte jedoch nur begrenzten Erfolg, da täglich Zehntausende von Besprechungen angesetzt waren und das primäre Kollaborationstool zudem ein noch komplexeres Netz aus Informationen enthielt.

Insgesamt verstrichen etwa 6 Wochen von der Entdeckung der Sicherheitsverletzung bis zur Wiederherstellung der Primärsysteme.

Ein besorgniserregender Trend

Obwohl ich ihre Geschichte außergewöhnlich fand, ist dieses deutsche Unternehmen eindeutig kein Einzelfall. Schon viele Betriebe wurden von einem Cyberangriff geschädigt. Besorgniserregend ist, dass Cyberangriffe sowohl ausgefeilter werden als auch häufiger erfolgen und ihre Auswirkungen auf die Opfer dadurch zunehmen. Dies gilt insbesondere für Ransomware-Angriffe, welche im Jahr 2020 um 148 % zugenommen haben, wobei der Rekord für Lösegeldzahlungen vor kurzem mit 40 Millionen Dollar für einen einzigen Freikauf von einem US-Versicherungsunternehmen gebrochen wurde.

Resiliente Unternehmen reagieren auf diese fortschreitende Bedrohung, indem sie ihre Cybersicherheitslage überarbeiten, um Cyberangriffe vorherzusehen und ihnen vorzubeugen, während sie gleichzeitig ihre Reaktionspläne für Cybervorfälle optimieren, um sicherzustellen, dass sie für den schlimmsten Fall gewappnet sind.

Eine Teamleistung

Mir ist bewusst, dass wirksame Reaktionen auf einen Cybervorfall eine Teamleistung sind. Es war mir eine Freude, Kunden wie dem oben genannten deutschen Unternehmen mit einer Lösung zu helfen, die sie in ihre Toolbox aufnehmen konnten, um sie in ihren stressigsten Stunden zu unterstützen. Der Name dieses Tools ist StarLeaf Standby.

Im Wesentlichen ist Standby ein Failover-Service für digitale Kommunikations- und Kollaborationstools, der aktiviert werden kann, um Ihre primäre Infrastruktur ohne Zeitverlust zu replizieren und dann Ihre Kollegen per E-Mail und SMS über die Unterbrechung zu benachrichtigen, sodass diese produktiv bleiben können und Ihr Unternehmen die Wiederherstellungsziele (RTO) für geschäftskritische Aktivitäten einhalten kann. Diese zentrale Funktion wird durch eine Reihe von Tools ergänzt, die das Krisenmanagement und die Cyber-Response-Teams bei der Bewältigung des Vorfalls unterstützen, bei dem die effektive Zusammenarbeit in jedem Schritt entscheidend ist.

Ich spiele mit Ihnen durch, wie Standby bei dem oben beschriebenen Angriff hätte helfen können.

Vertraulich, sicher und stabil

Über den gesamten Lebenszyklus eines Cybervorfalls hinweg bietet Standby eine vertrauliche, sichere und stabile Umgebung für die Zusammenarbeit von Cybervorfallspezialisten. Da sie von Ihrer primären Plattform abgekoppelt ist, schützt sie vor potenziellen Eindringlingen und kann als eigenständiger Cloud-Dienst sogar auf privaten Geräten installiert werden, um zusätzliche Sicherheit zu schaffen.
Die Reaktion auf Cybervorfälle ist eine Teamarbeit, daher unterstützt Standby die organisationsübergreifende Zusammenarbeit. Dies ermöglicht Ihrem Reaktionsteam, mit Dritten zusammenzuarbeiten, z. B. mit Ihren Anbietern zur Datensicherung oder Notfallwiederherstellung. So wird sichergestellt, dass Ihre Reaktion sowohl effektiv ist als auch zügig erfolgt.

Entschlossen handeln

Durch die Ausfallsicherung für Kollaborationssysteme ermöglicht Standby den Reaktionsteams, bei der Eindämmung eines Angriffs entschlossen zu handeln, selbst wenn dies bedeutet, dass der Mitarbeiterzugriff auf die primäre Plattform für Produktivität im Büro und zur Kollaboration entzogen wird. Sie können diese drastische Maßnahme in der Gewissheit ergreifen, dass alle negativen Auswirkungen auf geschäftskritische Aktivitäten abgemildert werden. StarLeaf arbeitet auch mit Fachleuten für die Aufrechterhaltung des Betriebs zusammen, um ein ganz bestimmtes Ziel zu verfolgen – den Schutz geschäftskritischer Aktivitäten, die von digitalen Kommunikations- und Kollaborationstools abhängig sind – Cybervorfälle sind nur eine von vielen Bedrohungen für diese Aktivitäten.

Realistische Wiederherstellungszeiten

Da geschäftskritische Aktivitäten mit Standby fortgesetzt werden können, kann die Wiederherstellung in einem realistischen Zeitrahmen erfolgen. Dies ermöglicht unter Umständen sogar, die Lösegeldzahlung zu vermeiden und eine Wiederherstellung mithilfe der gesicherten Daten durchzuführen, wenn die für die Wiederherstellung benötigte Zeit andernfalls Schäden verursacht hätte, die die Höhe des Lösegelds übersteigen.

Sind Sie bereit, Ihr Unternehmen mit StarLeaf Standby zu schützen? Erfahren Sie mehr oder bestellen Sie eine Demo

Buchen Sie hier eine Demo

Steve Raffe, VP Strategie & Globale Allianz, StarLeaf
Steve Raffe, VP Strategie & Globale Allianz, StarLeaf