4. Mai 2022
Thomas Lang ist geschäftsführender Partner bei der valantic Management Consulting GmbH. Er berät Unternehmen als sogenannter „Breach Coach“ und Cybersecurity-Experte darin, was sie nach einer Hacker-Attacke, einem Cyberangriff oder bei Ransomware-Erpressungen tun müssen und gibt Ratschläge, welche Fehler sie vermeiden sollten.
Thomas, Du wirst als “Breach Coach” oder “Crisis Advisor” mit Deinem Team zu Unternehmen gerufen, die nach einem Hackerangriff, einer Cyberattacke oder Ransomware-Erpressung nicht mehr ein noch aus wissen und häufig quasi handlungsunfähig sind. Welche Situationen findest Du hier am häufigsten vor?
In den Unternehmen, die angegriffen wurden, herrscht meist eine gewisse Ratlosigkeit. Handelt es sich zum Beispiel um eine Ransomware-Attacke, die Daten verschlüsselt und damit unbrauchbar gemacht hat, stehen Teile des IT-Systems komplett still, sind nicht mehr einsatzfähig.
Das geforderte Lösegeld zahlen und den Forderungen der Erpressenden nachgeben oder nicht? So lautet zum Beispiel eine der drängendsten Fragen. Denn jede Downtime-Stunde bedingt Produktionsausfälle und kostet richtig Geld. Alle Verantwortlichen stehen daher in der Regel stark unter Druck und sind gleichzeitig mit der unbekannten Situation überfordert. Das eigene Unternehmen wird ja nicht jeden Tag von Cyberkriminellen angegriffen. Entsprechend groß ist die in uns gesetzte Hoffnung, klar, strukturiert und planvoll vorzugehen, um den Schaden zu begrenzen oder möglichst ganz zu vermeiden. Dazu ist vor allem ein mit den Geschäftsprozessen synchronisierter Anlauf der IT zu organisieren.
Was sind denn die ersten Maßnahmen, die ein Breach Coach in die Wege leitet?
Wir sprechen zunächst mit den verantwortlichen Personen, versuchen, die Hektik aus dem Spiel zu nehmen und uns ein genaues Bild vom aktuellen Status quo zu verschaffen. Welche IT-Systeme beziehungsweise Teilsysteme sind betroffen und fallen deshalb aus? Sind aktuelle Backups verfügbar? Welche Geschäftsprozesse sind für das Unternehmen am relevantesten, weil ihr Ausfall die größten Schäden verursacht? Gibt es neben dem reinen Produktionsausfall weitere mögliche Gefahren wie drohende Vertragsstrafen oder anderes? Die größten Gefahren sind prioritär, und es sollten schnell alle erforderlichen Maßnahmen eingeleitet werden, um diesen zu begegnen und die wichtigsten Geschäftsprozesse wieder zum Laufen zu bringen.
Woran fehlt es den Unternehmen, die von einem Hackerangriff betroffen sind, in den ersten Stunden und Tagen am dringendsten?
In der Regel werden Unternehmen von einem Hackerangriff überrascht und sind auf diese Situation nicht vorbereitet. Es fehlt an einem erprobten und eingeübten Cybersecurity-Krisenplan. Wir empfehlen, sich schon im Vorfeld auf das Szenario Cyberangriff vorzubereiten, einen Schritt-für-Schritt-Plan zu entwerfen, wie am besten vorzugehen ist und auch in regelmäßigen Zeitabständen Trainingsmaßnahmen durchzuführen, damit im Fall eines Angriffs jeder Handgriff sitzt und nicht wertvolle Zeit verloren geht. Umso geringer fällt im Ernstfall der Schaden aus.
Die Situation im Unternehmen ist vergleichbar mit einer Feuerwehrmannschaft, die sich ja auch nicht erst am Brandort überlegt, wie sie das Feuer am effektivsten bekämpft und was sie dafür benötigt. Eine gute, erprobte Vorbereitung spart in beiden Fällen Zeit und minimiert die drohenden Verluste.
Gibt es besondere Schwachstellen in Unternehmen, die immer wieder Ziel einer Attacke werden und wie können sich Unternehmen am besten auf derartige Schwachstellen vorbereiten?
Aus unserer breiten Expertise in der Bekämpfung von Cyberattacken können wir feststellen, dass es zwei wesentliche Ursachen für große Schäden gibt: (1) nicht erfolgte Netzwerk-Segmentierungen und (2) ein nicht ausreichend gemanagtes Active Directory. Beide Schwachstellen lassen sich jedoch relativ leicht beheben. Netzwerk-Segmentierungen begrenzen den schädlichen Einfluss von Malware auf ein bestimmtes Netzwerksegment und verhindern dadurch, dass sich das Schadprogramm im gesamten IT-System ausbreitet und dadurch so gut wie alle Geschäftsprozesse und Dienstleistungen in Mitleidenschaft zieht. Durch Netzwerk-Segmentierung wird der Schaden, der im Falle eines Cyberangriffs entstehen kann, begrenzt. Das Thema ist zudem nicht neu und sollte dringend angegangen werden.
Angriffe auf das Active Directory eines Microsoft-Systems werden bei Cyberkriminellen immer beliebter, weil dort wichtige Zugangs- und Kontoinformationen abgelegt sind. Ein unzureichend gemanagtes Active Directory ist vergleichbar mit dem Schlüsselschrank eines Unternehmens, den Sicherheitsverantwortliche nicht ausreichend absichern. Wir erleben leider bei nahezu jedem Unternehmen, dass Best- Practices nicht eingehalten werden und am Ende so die Gefahr besteht, dass die Hacker den Generalschlüssel in Händen halten – um beim Bild des Schlüsselschrankes zu bleiben.
Wie wird man eigentlich Breach Coach? Gibt es hier eine spezielle Ausbildung, und welche Qualifikationen muss man mitbringen?
Eine formale Ausbildung zum Breach Coach gibt es bislang noch nicht, obwohl das sehr wünschenswert wäre. Ein sehr guter Breach Coach muss in der Lage sein, sowohl die IT als auch das Business zu verstehen. Elementar sind zudem langjährige Erfahrung und vor allem ein breites Netzwerk vertrauenswürdiger, kompetenter Partner, die im Ernstfall unterstützend eingreifen können. Ein Breach Coach sollte analytisch denken und in der Lage sein, schnell Wichtiges von Unwichtigem zu trennen, zu priorisieren. Wichtig ist aber auch, in hektischen Situationen einen kühlen Kopf und Ruhe bewahren zu können, um so allen handelnden Personen das sichere Gefühl zu vermitteln, dass sie in guten Händen sind.
Vielen Dank, Thomas, für das Gespräch!
Das Interview führte Jörg Wassink
Gesprächstermin zu IT-Security und Datenschutz vereinbaren
Nichts verpassen.
Blogartikel abonnieren.