Cyber Krisenmnagement - Organisation IT Krisenstab, Forensic, SIEM
Cyber Krisenmanagement
Der Aufbau eines Cyber Krisenmanagements und die Vorbereitung auf Cyber-Sicherheitsvorfälle ist für viele Organisationen eine grosse Herausforderung. Wenn ein Cyber-Vorfall auftritt, ist es erforderlich sofortige Massnahmen zu ergreifen (Hochfahren Cyber Krisenmanagement), um Gefahren hinsichtlich Vertraulichkeit, Integrität und Informationsdiebstahl zu minimieren und die Verfügbarkeit ihrer ICT Services und Informationsbestände zu sichern. Dies erfordert den effizienten Einsatz von organisatorischen, rechtlichen und sicherheitstechnischen Ressourcen sowie etablierten Kommunikationsstrategien. Durch Cyber-Kriminelle in den Fokus gezogene Organisationen stehen sich meist in einem aussichtslosen Kampf gegenüber Cyber-Kriminellen, die genug Zeit und Geld haben, die anspruchsvollsten Systemabwehrmechanismen durchbrechen zu können. Mögliche Angreifer sind Insider, die mit böswilliger Absicht handeln, vertrauenswürdige Insider, deren fehlerhafte Handlungen ungewollte Schäden verursachen und Angriffe von externen Cyber-Kriminellen und professionellen Informationsbeschaffern.
Forensische Untersuchungen, Ermittlungen und Beweismittelsicherstellung als grosse Herausforderungen im Cyber Krisenmanagement
Die Digitalisierung und Industrie 4.0 führen dazu, dass bereits heute viele Organisationen und Verwaltungen sich vor Cyber Angriffen und Informations- und Know-how Diebstahl schützen müssen (Cyber Krisenmanagement). Was ist jedoch, wenn der Angreifer bereits im Unternehmen oder in der Verwaltung eingedrungen ist und Forderungen stellt? In diesem Fall wissen Sie nicht, mit wem Sie es zu tun haben: Einem eigenen Mitarbeiter oder einem externen Angreifer. Sie wissen nur, dass Sie ein oder mehrere Löcher im "Schiffsrumpf" haben, jedoch nicht wer der Verursacher ist. Diese ausserordentliche Situation kann zu Misstrauen unter den Mitarbeitenden führen, was sich wiederum schlecht auf das Betriebsklima ist. In dieser Situation gilt es Spuren elektronisch und physisch in der richtigen rechtlichen und technischen Reihenfolge zu sichern, um herausfinden zu können, wo man die Sicherungsmassnahmen anbringen muss. Ein Einspielen von Backups kann beispielsweise sehr wesentliche Spuren und Beweismittel zerstören ohne dass Sie dies merken. Diese fehlen dann für die Einreichung einer möglichen Klage.
Mit Cyber Krisenmanagement Lösegeld-Forderungen und Cyber Erpressungen abwehren?
Im Management ist die Angst vor Lösegeld-Forderungen mittels Cyber Erpressung angekommen. Cyber Krisenmanagement und Cyber Abwehr bzw. Eindämmung beispielsweise von Ransomware-Angriffen wird in den meisten Unternehmen immer wichtiger und rückt in den Fokus des Unternehmens-Krisenmanagement. Erpressungs-, Krypto- oder Verschlüsselungstrojaner, die betriebswichtige Daten auf befallenen Computern oder Servern verschlüsseln und somit keinen Zugriff mehr zulassen, sind gemeint. Für die Entschlüsselung oder Freigabe verlangen die Täter immer ein Lösegeld oder sie drohen mit der Veröffentlichung von vertraulichen Daten im Internet. Dabei kann man nie sicher sein, ob es sich um einen Insider oder einen externen Hacker bzw. Hacker Gruppe handelt. Ein Cyber Erpressungs-Angriff mittels Ransome Software läuft in der Regel in folgenden fünf Schritten ab:
Schritt 1: Nutzung Schwachstelle und Infizierung
Hacker, welche Ransomware in Unternehmen einspeisen, haben längst erkannt, wie und wo grosses Geld zu holen ist. Zuerst muss die Erpressungs-Software auf einen Computer gelangen. Dies geschieht in der Regel mittels eines Phishing-Emails oder eines Exploit-Kits. Das heisst mit einer Sammlung von Software-Programmen, mit denen Hacker Sicherheitslücken in Applikationen aufspüren und für das Einspeisen der Ransomware vorbereiten.
Schritt 2: Injizierung und Ausführung
Durch die gefundenen Sicherheitslücken schleusen die Angreifer die Ransomware in nur wenigen Sekunden aus. Dabei werden werden die ausführbaren Dateien meistens im Umfeld des Benutzerprofils abgelegt. Das Wissen darüber ist für die Entwicklung des Cyber Krisenmanagement und der Cyber Abwehrstrategie wichtig.
Schritt 3: Backup Infizierung
Typisch für Ransomware – und einzigartig: Sofort nach ihrem Start sucht die Malware nach Sicherungsdateien und löscht diese. Dadurch lässt sich der Computer nicht mehr aus einem Backup wiederherstellen. Einige Ransomware Varianten versuchen, konsequent alle Daten zu vernichten, aus denen der Anwender ohne Bezahlen des Lösegeldes seinen PC wiederherstellen könnte.
Schritt 4: Datenverschlüsselung
Die Ransomware tauscht anschliessend einen Sicherheitsschlüssel mit dem Command- and Control-Server (auch: C2-Server) aus und codiert die Dateien auf dem lokalen System. Die meisten Ransomware Varianten nutzen eine starke, praktisch nicht zu knackende Verschlüsselung wie AES 256.
Schritt 5: Benachrichtigung (Erpressungs-/ Forderungs-Nachricht) und Vernichtung forensisch auswertbare Spuren
Letztendlich fordert die Erpresser-Software ein Lösegeld. Oft gewähren die Cyber Hacker ihren Angriffszielen nur wenige Tage Zeit zum Zahlen. Danach steigen die finanziellen Forderungen oder es werden zusätzliche weitere Erpressungsschritte eingeleitet: Beispielsweise Veröffentlichung vertraulicher Daten im Internet. Bezahlt das erpresste Unternehmen, löscht sich die Erpresser-Software selbsttätig, um möglichst wenig forensisch auswertbare Spuren zu hinterlassen, auf deren Grundlage man die Abwehrstrategie verbessern könnte. Wie stark Ransomware ein Unternehmen erpressen kann, hängt in erster Linie davon ab, wie fit das IT und Cyber Krisenmanagement ist und wie gut das Cyber Krisenmanagement organisatorisch und technisch eingerichtet, ausgebildet und trainiert ist.
WIE SIE DAS MANAGEMENT AUF EINE CYBER KRISE VORBEREITEN | WAS IST ZU TUN FÜR DIE OPTIMIERUNG DES CYBER KRISENMANAGEMENT? | |
Wir werden oft gefragt, ob für Cyber Krisen grundsätzlich neue Prozesse oder Reaktionen in einer Organisation notwendig sind. Unsere Ansicht ist, dass jede Krise, ob sie ihren Ursprung bei einem Betriebsunfall , Leistungsversagen, Corporate Governance oder einer politische Frage hat, es um strategische Führung und Entscheidungsfindung unter akutem Druck und einhalten von Zeitfristen geht. Stellt die Cyber Krise eine Ausnahme dieser Regel dar? Nein, aber das kommunikative, rechtliche, forensische und sicherheitstechnische Lösen des komplexen Problems eines Cyber Angriffs bedeutet, dass spezielle Abläufe und Kommunikationswege erforderlich werden. Wenn die Auswirkungen einer Cyber Attacke oder Sicherheitsverletzung schwer und weitreichend genug ist, um sie zu einer Krise zu erklären, wird das Cyber Krisenmanagement Team alarmiert werden, um mit den gleichen Herausforderungen wie in jeder anderen Krise konfrontiert zu werden. Das Cyber Krisenmanagement Team muss sich mit folgenden Fragen auseinandersetzen:
|
|
Fragen zum Cyber Krisenmanagement / IT Krisenmanagement?
Manchmal können ein Gespräch mit einem Cyber Krisenmanagement Experten oder Cyber Krisenmanagement Trainer Fragen klären und Wissenslücken schliessen. Gerne helfen wir weiter.
Kontaktieren Sie uns oder rufen Sie uns an +41 44 360 40 40.