Aus dem Kurs: Cybersecurity Grundlagen: Grundlegende Konzepte
Sofortmaßnahmen
Stellen Sie sich vor, es ist tatsächlich passiert, Sie sind Opfer eines Cyberangriffs geworden. Jetzt ist Geschwindigkeit wichtig, um die Auswirkungen so gering wie möglich zu halten. Das BSI hat einen Leitfaden erstellt, in dem die wichtigsten Schritte dargestellt sind. Dieser Leitfaden ist eine gute Basis, um einen eigenen Plan für die Vorgehensweise zu erstellen. Ich möchte Ihnen die einzelnen Tipps des BSI hier darstellen. Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyberangriff oder lediglich um einen technischen Defekt handelt? Diese Problematik haben wir bereits im letzten Video angesprochen und sollte selbstverständlich sein. Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortliche kommuniziert? Dieser Punkt ist wichtig, denn im Notfall müssen Sie mit Ihrem aktuellen Wissen arbeiten und alle relevanten Stellen sollten Bescheid wissen. Wurden Systemprotokolle, Logdateien, Notizen, Fotos von Bildschirminhalten, Datenträgern und anderen digitalen Informationen forensisch gesichert? Wenn irgendwie möglich, sollten Sie tatsächlich so viele Informationen wie möglich sichern, bevor Sie mit dem Beseitigen des Problems beginnen. Sie können in diesen Aufzeichnungen auch später noch wichtige Hinweise finden, die Ihnen nützlich sein könnten. Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt? Für zeitkritische Dinge wie Terminvereinbarungen für Kunden und Auslieferungen oder auch für Prozesssteuerungen sollten Sie nun auf einen Notfallplan umschalten, damit diese weiterlaufen können. Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden? Das ist ein sehr wichtiger Punkt, mit dem Sie sofort die Ausbreitung von Schadsoftware verhindern können. Sie müssen sehr schnell alle Verbindungen zum Internet kappen und definitiv betroffene Geräte oder Segmente vom restlichen Netzwerk separieren. Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt? Sehr wichtig: Stoppen Sie Backups bereits beim Verdacht eines Angriffs, sonst laufen Sie Gefahr, dass die Sicherungsdaten auch infiziert sind. Wurden Maßnahmen unternommen, um das gesamte Maß der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert? Die Identifizierung der Ausbreitung ist die Voraussetzung für die Abtrennung der betroffenen Geräte. Die restlichen Punkte auf der Liste sind erst nach der Akutphase wichtig; um die kümmern wir uns später. Was denken Sie, wie lange dauert es, bis ein Cyberangriff beseitigt ist und die Firma wieder normal arbeiten kann? Die Antwort gebe ich Ihnen gleich im nächsten Video.
Laden Sie Kurse herunter und lernen Sie auch unterwegs.
Sehen Sie sich Kurse auf Ihrem Mobilgerät ohne Internetverbindung an. Laden Sie Kurse mit der LinkedIn Learning-App für iOS oder Android herunter.