IT Krisenmanagement / Cyber Konzept

it krisenmanagement, cyber krisenmanagement, krisenmanagement, cyber

IT Krisenmanagement und Cyber Konzept Umsetzung

Kaum einer hat im Management die Lösegeld-Forderungen mittels Cyber Erpressung wirklich ernst genommen. Cyber Abwehr und Eindämmung beispielsweise von Ransomware-Angriffen wird in den meisten Unternehmen immer wichtiger und rückt in den Fokus des Unternehmens-Krisenmanagement. Erpressungs-, Krypto- oder Verschlüsselungstrojaner, die betriebswichtige Daten auf befallenen Computern oder Servern verschlüsseln und somit keinen Zugriff mehr zulassen, sind gemeint. Für die Entschlüsselung oder Freigabe verlangen die Täter immer ein Lösegeld oder sie drohen mit der Veröffentlichung von vertraulichen Daten im Internet. Dabei kann man nie sicher sein, ob es sich um einen Insider oder einen externen Hacker bzw. Hacker Gruppe handelt.

Ein Cyber Erpessungs-Angriff mittels Ransome Software läuft in der Regel in folgenden fünf Schritten ab:

 

Schritt 1: Nutzung Schwachstelle und Infizierung

Hacker, welche Ransomware in Unternehmen einspeisen haben längst erkannt, wie und wo grosses Geld zu holen ist. Zuerst muss die Erpressungs-Software auf einen Computer gelangen. Dies geschieht in der Regel mittels eines Phishing-Emails oder eines Exploit-Kits. Das heisst mit einer Sammlung von Software-Programmen, mit denen Hacker Sicherheitslücken in Applikationen aufspüren und für das Einspeisen der Ransomware vorbereiten.

Schritt 2: Injizierung und Ausführung

Durch die gefundenen Sicherheitslücken schleusen die Angreiffer die Ransomeware in nur wenigen Sekunden aus. Dabei werden werden die ausführbaren Dateien meistens im Umfeld des Benutzerprofils abgelegt. Das Wissen darüber ist für die Entwicklung derCyber-Abwehrstrategie wichtig.

Schritt 3: Backup Infizierung

Typisch für Ransomware – und einzigartig: Sofort nach ihrem Start sucht die Malware nach Sicherungsdateien und löscht diese. Dadurch lässt sich der Computer nicht mehr aus einem Backup wiederherstellen. Einige Ransomware-Varianten versuchen, konsequent alle Daten zu vernichten, aus denen der Anwender ohne Bezahlen des Lösegeldes seinen PC wiederherstellen könnte.

Schritt 4: Datenverschlüsselung

Die Ransomware tauscht anschliessend einen Sicherheitsschlüssel mit dem Command- and Control-Server (auch: C2-Server) aus und codiert die Dateien auf dem lokalen System. Die meisten Ransomeware-Varianten nutzen eine starke, praktisch nicht zu knackende Verschlüsselung wie AES 256.

Schritt 5: Benachrichtigung (Erpressungs-/ Forderungs-Nachricht) und Vernichtung forensisch auswertbare Spuren

Letztendlich fordert die Erpresser-Software ein Lösegeld. Oft gewähren die Cyber Hacker ihren Angriffszielen nur wenige Tage Zeit zum Zahlen. Danach steigen die finanziellen Forderungen oder es werden zusätzliche weitere Erpessungsschritte eingeleitet: Beispielsweise Veröffentlichung vertraulicher Daten im Internet. Bezahlt das erpresste Unternehmen, löscht sich die Erpresser-Software selbsttätig, um möglichst wenig forensisch auswertbare Spuren zu hinterlassen, auf deren Grundlage man die Abwehrstrategie verbessern könnte.

Wie stark Ransomware ein Unternehmen erpressen kann, hängt in erster Linie davon ab, wie fit das IT und Cyber Krisenmanagement ist und wie gut das Cyber Krisenmanagement organisatorisch und technisch eingerichtet, ausgebildet und trainiert ist.

Standortbestimmung mittels Cyber Krisenstabsübung oder Review Cyber Krisenmanagement

it krisenmanagement, cyber krisenmanagement, krisenmanagementFür die Ermittlung des Status Quo hinsichtlich Cyber Risiken und den Umgang im Management mit diesen Themen, haben sich Cyber Krisenstabsübungen und Cyber krisenmanagement Reviews (sogenannte „Gap-Analyse“ (Lückenanalyse) als „Best-Practice“) besonders bewährt.

Innerhalb eines Reviews wird dafür der personelle, prozessorientierte und organisatorische IT und Cyber Krisenmanagement Reifegrad des Unternehmens möglichst objektiv identifiziert und beurteilt. Dies geschieht auf der Basis unserer Expertise und Vergleichsmöglichkeiten zu anderen Unternehmen oder Behörden. Der ermittelte IT und Cyber Krisenmanagement Status Quo (GAP-Analyse / Standortbestimmung) hilft die Detailplanungen für das IT Krisenmanagement/ Cyber Krisenmanagement Projekt auszuarbeiten.

Im Rahmen von Cyber Krisenmanagement Übungen wird das Unternehmen im Rahmen eines Übungsdrehbuchs am Beispiel eines Szenariums beübt. Dabei wird die Zusammenarbeit, Abstimmung und Kommunikation des Incident Management, des Cyber Krisenmanagements und des übergeordneten Unternehmens-Krisenstab überprüft. Eine gut vorbereitete Cyber Krisenstabsübung bringt absolute Transparenz und deckt schonungslos alle Defizite bzw. Verbesserungspotentiale für das IT Management  und das Top Management auf.

Falls Sie eine IT Krisenmanagement Übung bzw. eine Cyber und Notfallübung durchführen möchten, benötigen Sie eine externe Übungsleitung, welche über das zuvor definierte Zenarium mit allen notwendigen Einspielungen regie führt. Kontaktieren Sie uns und besprechen Sie mit uns die Möglichkeiten, welche für Sie in Frage kommen könnten.

 

 

IT und Cyber Krisenmanagement - Wie Sie sich auf Cyber Angriffe vorbereiten

cyber krisenmanagement, krisenmanagement

Die Planung und Vorbereitung auf Cyber-Sicherheitsvorfälle ist für viele Organisationen eine grosse Herausforderung. Wenn ein Cyber-Vorfall auftritt, ist es erforderlich sofortige Massnahmen zu ergreifen, um Gefahren hinsichtlich Vertraulichkeit, Integrität und Informationsdiebstahl zu minimieren und die Verfügbarkeit ihrer ICT Services und Informationsbestände zu sichern. Dies erfordert den effizienten Einsatz von organisatorischen, rechtlichen und sicherheitstechnischen Ressourcen sowie etablierten Kommunikationsstrategien.

Durch Cyber-Kriminelle in den Fokus gezogene Organisationen stehen sich meist in einem aussichtslosen Kampf gegenüber Cyber-Kriminellen, die genug Zeit und Geld haben, die anspruchsvollsten Systemabwehrmechanismen durchbrechen zu können.

Mögliche Angreifer sind Insider, die mit böswilliger Absicht handeln, vertrauenswürdige Insider, deren fehlerhafte Handlungen ungewollte Schäden verursachen und Angriffe von externen Cyber-Kriminellen und professionellen Informationsbeschaffern.

 

Die Besonderheiten des Cyber Krisenmanagement

Forensische Untersuchungen, Ermittlungen und Beweismittelsicherstellung als grosse Herausforderungen im Cyber Krisenmanagement

Die Digitalisierung und Industrie 4.0 führen dazu, dass bereits heute viele Organisationen und Verwaltungen sich vor Cyber Angriffen und Informations- und Know-how Diebstahl schützen müssen.

Was ist jedoch, wenn der Angreifer bereits im Unternehmen oder in der Verwaltung eingedrungen ist und Forderungen stellt? In diesem Fall wissen Sie nicht, mit wem Sie es zu tun haben: Einem eigenen Mitarbeiter oder einem externen Angreifer. Sie wissen nur, dass Sie ein oder mehrere Löcher im "Schiffsrumpf" haben, jedoch nicht wer der Verursacher ist. Diese ausserordentliche Situation kann zu Misstrauen unter den Mitarbeitenden führen, was sich wiederum schlecht auf das Betriebsklima ist. In dieser Situation gilt es Spuren elektronisch und physisch in der richtigen rechtlichen und technischen Reihenfolge zu sichern, um herausfinden zu können, wo man die Sicherungsmassnahmen anbringen muss. Ein Einspielen von Backups kann beispielsweise sehr wesentliche Spuren und Beweismittel zerstören ohne dass Sie dies merken. Diese fehlen dann für die Einreichung einer möglichen Klage.

 

Anzeichen für einen möglichen Cyber Angriff

Anzeichen dafür, dass ein Informationssystem beeinträchtigt wurde, sind:

  • Konten oder Passwörter arbeiten nicht mehr.
  • Die Website des Unternehmens enthält nicht autorisierte Änderungen.
  • Festplattenspeicher oder Speicher des Systems überlaufen.
  • Es kann keine Verbindung mehr mit dem Netzwerk hergestellt werden.
  • Das System stürzt unerwartet ständig ab oder startet neu.
  • Der Web-Browser funktioniert nicht mehr wie erwartet.
  • Kontakte aus einem E-Mail-Adressbuch erhalten SPAM von dieser E-Mail-Adresse
  • Endpoint Sicherheitskontrollen, wie z.B. ein Virenscanner, funktioniert nicht mehr.
  • Endpoint Sicherheitskontrollen, wie ein Virenscanner , informieren Sie, dass ein Kompromitierungsversuch an ihrem System versucht wurde.
  • Informationssystemprotokolle zeigen verdächtige Aktivitäten.

 

Wie Sie das Management auf eine Cyber-Krise vorbereiten

Wir werden oft gefragt, ob für Cyber-Krisen grundsätzlich neue Prozesse oder Reaktionen in einer Organisation notwendig sind. Unsere Ansicht ist, dass jede Krise, ob sie ihren Ursprung bei einem Betriebsunfall , Leistungsversagen, Corporate Governance oder einer politische Frage hat, es um strategische Führung und Entscheidungsfindung unter akutem Druck und einhalten von Zeitfristen geht.

Stellt die Cyber-Krise eine Ausnahme dieser Regel dar? Nein, aber das kommunikative, rechtliche, forensische und sicherheitstechnische Lösen des komplexen Problems eines Cyber-Angriffs bedeutet, dass spezielle Abläufe und Kommunikationswege erforderlich werden.

Wenn die Auswirkungen einer Cyber-Attacke oder Sicherheitsverletzung schwer und weitreichend genug ist, um sie zu einer Krise zu erklären, wird das Cyber Krisenmanagement-Team alarmiert werden, um mit den gleichen Herausforderungen wie in jeder anderen Krise konfrontiert zu werden. Das Cyber Krisenmanagement-Team muss sich mit folgenden Fragen auseinandersetzen:

  • Wer führt in welche Phase bei einem Cyber Angriff beispielsweise mit Ransomeware? Wer entscheidet wann, den Krisenstab aufzubieten?
  • Wir ist die Zusammenarbeit zwischen Incident Management, Cyber Krisenmanagement und Unternehmens-Krisenstab definiert?
  • Wie wehren wir Cyber Angriffe an und lösen forensische Aufgaben um möglichst wenige Spuren zu verwischen?
  • Wie können wir unsere Kunden schützen?
  • Wie können wir die Imageinbussen minimieren?
  • Wie können wir das Vertrauen der Stakeholder aufrechterhalten?
  • Wie wird sich die Cyber-Krise auf die Organisation in drei, sechs Monaten oder einem Jahr auswirken? 

 

Was ist zu tun bzw. für die Optimierung des Cyber Krisenmanagement erforderlich?

cyber krisenmanagement, krisenmanagement

  1. Überprüfung des "Status Quo" ihres Krisenmanagement bzw. Cyber Krisenmanagements durch ein spezialisiertes Unternehmen. Beispielsweise Durchführung einer Cyber Krisenmanagement Übung oder ein Cyber Krisenmanagement Review. Dokumentation der Verbesserungspotentiale.
  2. Erarbeitung Umsetzungsplanung zur Schliessung der bestehenden Lücken.
  3. Schliessung der organisatorischen, forensischen, rechtlichen, kommunikativen und sicherheitstechnischen Lücken.
  4. Schulung aller Funktionsträger hinsichtlich der Cyber Krisenmanagement Organisation.
  5. Vorbereitung und Durchführung von Cyber Krisenmanagement Übungen.
  6. Auswertung der Übungsresultate und Optimierung der Cyber Krisenmanagement  Organisation.

 

 

Wer kann Sie bei der Cyber Krisenmanagement Umsetzung zum Beispiel als Coach, Berater oder Trainer unterstützen / entlasten?
Kontaktieren Sie uns. Wir zeigen Ihnen gerne die verschiedenen Möglichkeiten in einem persönlichen Gespräch.

Sie müssen das Rad bei der Erarbeitung der notwendigen IT und Cyber Krisenmanagement und Krisenkommunikations-Dokumente nicht neu erfinden! Beschleunigen Sie die Umsetzung des IT Krisenmanagement mit unserer Expertise sowie vorhandenen Führungsdokumenten zum Thema IT und Cyber Krisenmanagement und Krisenkommunikation.
Eugen Leibundgut, Partner RM Risk Management AG

nach oben