Notfallplan Cybersicherheit - remote workers need to be protected

Notfallplan Cyberangriff: PC gehackt! Was jetzt?

Heute ist es nach Best Practice für Firmen wichtig, ein funktionierendes Vulnerability Disclosure Programm (VDP) mit Notfallplan Cyberangriff aufzustellen und umzusetzen. Auch Bounty-Programme sind en vogue.

In diesem Beitrag diskutieren wir aktuelle Trends und Herausforderung im Cybersecurity Dispositiv. Ebenfalls konkrete Methoden, wie Sie Ihre Daten schützen können. Das Wichtigste im Überblick:

  1. Notfallmanagement bei Cyberangriff
  2. Warum hapert es im Cybersecurity Bereich?
  3. PC wurde gehackt – 3 Dinge welche Sie jetzt tun müssen!
  4. Was Sie jetzt gleich umsetzen können – Checkliste und Ratgeber als PDF Datei
  5. Cybersecurity Awareness Training: Was motiviert Mitarbeiter:innen?

Unten finden Sie unseren SchnellAudit für Verhalten in IT-Notfällen: Dank Prozessmanagement zum Erfolg mit weiteren Beispielen und Tipps für Unternehmen kostenlos zum Downloaden:
► Cybersecurity SchnellAudit: Prozesse optimieren – Notfallplan erstellen (PDF)

Ein Cyberangriff oder Cyberattacke ist z.B. ein Versuch Computernetzwerke oder Informationssysteme ausser Betrieb zu setzen, unerlaubt vertrauliche Daten einzusehen oder diese zu verschlüsseln. Auch kann der infizierte PC oder das Handy für weitere Angriffe genutzt werden.

Daten zeigen, dass Ransomware-Attacken ein immer grösseres Problem darstellen. Hier ein historischer Vergleich: Eine Attacke passierte weltweit alle…

  • 40 Sekunden Ende 2016,
  • 14 Sekunden in 2019,
  • 11 Sekunden in 2021 und
  • 9 Sekunden bisher in 2022.

Schlimm ist, dass nur 8 % der Firmen, welche die Lösegeldforderung bezahlen, alle ihre Daten zurück erhalten.

Wie werden diese Ransomware Attacken ausgeführt? Die Möglichkeiten sind vielzählig, wie CISA – Cybersecurity & Infrastructure Security Agency – Department of Homeland Security Analysen zeigen. Dabei werden beispielsweise folgende Schwachstellen auf PCs, iPads, in Netzwerken, usw. genutzt:

  • Ausführung von willkürlichem Code,
  • willkürliches Lesen von Dateien,
  • Pfadüberwindung und
  • Remote-Code-Ausführung

Es ist daher enorm wichtig, Vorbereitungen in Form eines Notfallplans einzuführen und das ernste Szenario immer wieder zu üben. Die Vorbereitungen beziehen sich einerseits auf das Technische (regelmässige Back-Ups, separate Netzwerke für Backups, Pen Tests, Aufstellunge der Prioritäten zu patchen usw.).

Andererseits dürfen Firmen den menschlichen Faktor nicht vergessen. Zugang zu Passwörtern, viel zu einfache Passwörter, das Klicken auf Anhänge in bedenklichen E-Mails, das Nutzen der öffentlichen Wi-Fi-Verbindungen wenn im Firmennetzwerk unterwegs – das sind vermeidbare menschliche Fehler.

Die Hacker nutzen nicht nur ihr technisches Können, um Systeme anzugreifen. Phishing Mails oder auch Anrufe von vermeintlichen Support Diensten, die sich in Ihren PC einklinken wollen um es zu „checken“, nutzen die Schwächen von uns allen aus: kurz nicht aufpassen, müde sein, nur schnell etwas nachschauen… wer kennt das nicht.

Cybersecurity Notfall: Wie bei der professionellen Feuerwehr - Uebung macht den Meister. Doch was soll der Laie tun?
Cybersecurity Notfall: Wie bei der professionellen Feuerwehr – Übung macht den Meister. Doch was soll der Laie tun?


… Awareness Training hilft, doch ohne Übung klappt es nicht

Das Bild oben zeigt, auch Feuerwehrleute trainieren die Dinge regelmässig. Nur dies garantiert, dass die Dinge perfekt ablaufen, wenn sie bei einem Brandfall gerufen werden. Bsp. Zürich, nach Anruf auf der Brandwache, innerhalb von 10 Minuten beim Brandherd eintreffen.

Vor dem Abflug wird mir normalerweise vom Flight Attendant oder auf dem kleinen Bildschirm gezeigt, wie ich mich bei einer Situation wie Sauerstoffmangel oder starken Turbulenzen verhalten muss. Doch wenn diese Situation sich dann ergibt, sind wir wirklich in der Lage diese Dinge im Notfall schnell auszuführen?

In Notfallsituation kann es passieren das wir unter Stress sind. Wir können uns vielleicht nicht mehr bewegen, wie ein Reh im Scheinwerferlicht.

Sicherheitsinstruktionen zu lesen, ein Video anzuschauen ist das Lernen. Ob im Flugzeug oder beim Datenschutz und Cybersecurity, um das Gelernte richtig in einer Notsituation anwenden zu können, müssen wir trainieren.

Demonstration der Sicherheitsmassnahmen für Flugpassagiere: Hören wir überhaupt zu? Und wenn, können wir es dann im Notfall wirklich anwenden oder sind wir wie ein Reh im Scheinwerferlicht.
Demonstration der Sicherheitsmassnahmen für Flugpassagiere: Hören wir überhaupt zu? Und wenn, können wir es dann im Notfall wirklich anwenden oder sind wir dann wie ein Reh im Scheinwerferlicht?

Lesen Sie weiter, wir zeigen Ihnen, wie Sie das Risiko vom „Reh im Scheinwerferlicht“ reduzieren können.


2. Was geht schief:
Nutzer:innen oder die Informationssysteme?

IT Sicherheit ist eine Notwendigkeit. Wenn z.B. ein „Sicherheits-Patch“ von Microsoft seit mehr als einem Jahr angeboten wird aber die Firma diesen nicht einspielt, grenzt dies an Fahrlässigkeit. Im Februar 2022 hat das Nationale Zentrum für Cybersicherheit (NCSC) 130 Schweizer Unternehmen zum Patchen von Microsoft Exchange Servern aufgerufen! Die Firmen hatten den seit über einem Jahr erhältlichen Patch nicht genutzt.

Ein zweiter eingeschriebener Brief ging raus am 16. Mai an 200 Firmen – viele die gleichen wie beim 1 x – wo diese aufgefordert wurden, nun endlich zur Tat zu schreiten und den Microsoft Exchange Server zu patchen. Unverständlich!

„The user is stupid!“

Dr. Alan Solomon – an einer EICAR (European Expert Group for IT-Security – mit dem EICAR Anti-Virus Test File) Konferenz, Linz 1996

Vielleicht ist diese kurze Aussage von Alan, einem der Erfinder von Anti-Viren Software und Gründer von Solomon Inc (jetzt aufgekauft), nicht mehr zeitgemäss.

Nicht eingespielte Security Patches. Oder aber eine seit mehr als 50 Tagen bekannte Schwachstelle wurde im Programm from System Owner in der Firma nicht gefixt. In beiden Fällen kann der Nutzer dann nichts dafür, wenn was schief läuft.


… doch wissen Nutzer:innen, wie Sie sich im Notfall schützen können?

Hand aufs Herz, nutzen Sie das Internet bei der Deutschen Bahn, SBB oder Trenitalia? Wahrscheinlich, denn wie die Marketingleute der Bahnen es uns verkaufen, kann man im Zug arbeiten.

Somit beantworte ich meine Mails im Zug. Vor allem dann, wenn der ICE wieder einmal verspätet ist oder einen ungeplanten Halt auf offener Strecke macht 😅.

Klar, Sie haben es gewusst! Um einem Hacker-Angriff vorzubeugen, nutzen Sie ein Virtual Private Network, abgekürzt VPN. Ein VPN verbirgt Ihre IP-Adresse. Sie haben das auf Ihrem Handy und auch auf dem PC, wenn Sie im Zug surfen. Dies verhindert beim Einloggen in das Firmennetzwerk, dass ein Hacker angreifen kann.

Notfallplan Cyberangriff: Virtual Private Network ist ein Muss für die Nutzung öffentlicher Netzwerke z.B. im Gasthaus oder am Flughafen.
Notfallplan Cyberangriff: Virtual Private Network oder kurz VPN nutzen ist Pflichtprogramm für den Internet Zugang im Café, Hotel oder in der Universität. An einem VPN arbeiten sich Neugierige vergeblich ab.

Dass die Leute Richtlinien für Cybersecurity und Datenschutz missachten, ist ein Alltagsproblem. Bestes Beispiel, Firmenmail wird häufiger als man denkt für private Zwecke genutzt, obwohl dies gemäss Richtlinien nicht erlaubt ist.

Hier müssen wir die Nutzer sensibilisieren (Neutdeutsch „Awareness Training“ durchführen). Nur dadurch können wir die Risiken optimal managen.

Ziel muss es sein, dass weder der Notfallplan Cyberangriff noch die IT-Notfallkarte genutzt werden müssen. Aber das ist eher ein Traum als Realität. Nichtdestotrotz, „better safe than sorry.“


3. Notfallplan Cyberangriff:
Wo liegt die Wurzel des Übels?

Ein massgeschneiderter Cyber Incident Response Plan (CIRP), also ein Notfallplan Cyberangriff inklusive Kommunikationsmanagement ist sicherlich unerlässlich.

Ebenfalls hilft eine Cybersecurity-Notfallkarte, die dem Mitarbeiter sagt, was er machen sollte. Eine gute Vorlage für Mitarbeitende gibt es hier:

Doch was tun, wenn eines oder sogar beide der möglichen Szenarien von unten bei Ihnen diese Woche zutreffen?

  1. IT-Notfallkarte nicht zur Hand:  Es passiert vielleicht im Home Office oder unterwegs. Leider findet die Mitarbeiterin die Notfallkarte nicht, denn diese ist im Büro oder auf dem Server gespeichert.
    Hat sie die notwendigen Abläufe im Kopf und setzt sie die IT-Notfallkarte gemäss ihrem Erinnerungsvermögen um?
  1. Die Schwachstelle hat die Hackerin am langen Wochenende clever genutzt. Die clevere Einbrecherin macht es so gut, dass man den Einbruch erst nach Wochen feststellt.
    Was kann die Mitarbeiterin tun, wenn Sie plötzlich merkt, dass sich Malware auf ihrem PC ausbreitet? Wir erklären es gleich mit 3 Tipps.

Wir zeigen Ihnen unten 3 Schritte, die Sie ganz einfach im Kopf behalten können. Deren Umsetzung hilft, um den Schaden zu minimieren, wenn Sie trotz aller Vorkehrungen gehackt wurden.


Mein Computer wurde gehackt!
3 Dinge, die Sie sofort tun sollten…

Bei einer Suche auf Google für „PC gehackt, was tun“ werden primär Suchresultate angezeigt, welche einem erklären, was man vorher tun soll, um nicht gehackt zu werden.

Aber zuerst einmal, wie erkenne ich überhaupt, dass mein PC vielleicht gehackt wurde?

Gute Indikatoren sind häufige Popup-Fenster, die Sie z.B. auffordern, bestimmte Websites aufzurufen. Das kann ein Zeichen sein, dass der PC gehackt ist oder ein Malware Programm sein Unwesen treibt.

Ebenfalls sollten Sie Misstrauen schöpfen, wenn sich plötzlich ein Tab öffnet, wo Sie aufgefordert werden, einen Virenschutz- und andere Software herunterzuladen. Auch dies sind Anzeichen, dass sich Schadsoftware bei Ihnen auf dem Rechner eingenistet hat.

Hier sind unsere 3 Schritte:

  1. Hardware und Software vom Internet weg:  DrKPI Cybersecurity empfiehlt Ihnen, den infizierten Computer so schnell wie möglich zu isolieren. Ziehen Sie das Netzwerkkabel aus Ihrem PC und schalten Sie alle Wi-Fi-Verbindung aus, sowohl per Software als auch per Hardware. Einige Laptops verfügen sogar über einen Schalter für diesen Zweck.

    Sie können auch ganz einfach beim Internet Modem im Home-Office den Stecker ziehen. Ohne Strom für das Modem kann der PC nicht mehr in das Internet.

    Warum die Hardware vom Internet trennen? Die Hacking-Software ist ausgeklügelt und kann den Eindruck erwecken, dass Ihr Computer nicht verbunden ist, während die Malware im Hintergrund weiter ihr Unwesen treibt.
  1. PC herunterfahren und wenn möglich Festplatte entfernen: Als nächstes ist es fast immer ratsam, den PC runter zu fahren. Wenn Ihr Computer beschädigt ist, müssen Sie ihn sowieso herunterfahren, um weitere Schäden an Ihren Dateien zu verhindern. Nachdem Sie den Computer heruntergefahren haben, müssen Sie die Festplatte herausnehmen und als sekundäres, nicht bootfähiges Laufwerk an einen anderen Computer anschliessen.

    Wenn dies nicht einfach geht wie z.B. bei einem Mac, bringen Sie den PC zum Support im Betrieb oder aber zu einem Repair Shop. Beschädigen Sie nicht aus Versehen den Hard-Drive.

    PS. Wenn Sie natürlich gestern einen kompletten Backup gemacht haben, sind Sie fein raus! Wir gratulieren.
  1. Weitere PCs oder Handys überprüfen:  Nachdem Sie die beiden oben aufgeführten Schritte gemacht haben, checken Sie ob im Home-Office oder bei der Arbeit vielleicht weitere PCs infiziert wurden. Das private Handy sollte vielleicht auch gecheckt werden. Reden Sie mit dem User-Support. Was empfiehlt dieser?

    Wenn Sie weitere Tipps haben möchten zum Thema, oder z.B. eine Cybersecurity-Notfallkarte erstellen sollten, Richtlinien für das Vulnerability Disclosure Programm erarbeiten, kontaktieren Sie uns via Email, siehe Box unten, einfach Link anklicken.

Sie brauchen Unterstützung beim Analytics, Awareness Training, Notfallplan und DSGVO Compliance. Fragen Sie uns, wir helfen gerne:
Anfrage per Email zum Thema Awareness Training, IT-Notfallplan und  Vulnerability Disclosure Programm!

Cybersecurity Training: Einführung, Auffrischung und Weiterbildung der Mitarbeiter:innen hilft Risiko einer Sicherheitskatastrophe abzuwenden.
Cybersecurity Training: Einführung, Auffrischung und Weiterbildung der Mitarbeiter:innen hilft Risiko einer Sicherheitskatastrophe abzuwenden.

4. ► SchnellAudit PDF Download – Notfallplan Cyberangriff

Mit unserer Checkliste für den SchnellAudit können Sie Ihre Notfallpanung in Sachen Cybersecurity überprüfen und optimieren. Wir zeigen Ihnen, wie die Prozesse verbessert werden:

DrKPI® SchnellAudit der Cybersecurity Defense (PDF) 10 Tipps

Der SchnellAudit dient Unternehmen dazu, Home Office, Best Practice und Cybersecurity-Massnahmen zu verbessern, um die Wahrscheinlichkeit einer IT-Notfall-Situation zu minimieren:

  • Schritt 1: Verschaffen Sie sich einen Überblick – Wie gut ist Ihr Cyberschutz gegen mögliche Hacker-Attacken gerüstet?
  • Schritt 2: Wo sollten Sie bei den Abläufen schnellstens ansetzen, um den garantiert nächsten Cyberangriff abzuwehren?
  • Schritt 3: Wie binden Sie das Cybersecurity Training und Awareness Programm noch besser in Ihr Cyberdefense Dispositiv ein?

Bonus Tipp: Was Mitarbeitende beim Cybersecurity Awareness Training motiviert

Bitte nicht vergessen Mitarbeitenden aufzuzeigen, welche Vorteile sie dank Awareness Training für den besseren Schutz von privaten Geräten haben.

Kurz, wie können sie das Gelernte in ihrem Home-Netzwerk nutzen. Wie kann der privaten Backup-Server mit Fotos und Filmen besser gegen einen Hacker Angriff geschützt werden. Wann sollte man weder Dropbox noch iCloud nutzen um keine Compliance-Probleme zu bekommen?

Antworten zu solchen und vielen weiteren Fragen motiviert einem die Dinge zu lernen. Noch wichtiger ist es, dass Mitarbeitende das Gelernte aus Eigeninteresse zu Hause auch bei privaten Geräten anwenden. Dadurch profitieren alle, eine klassische Win-Win Situation.

Hat Ihnen dieser Beitrag gefallen? Dann abonnieren Sie den monatlichen DrKPI® Newsletter mit wissenswerten Tipps, Tricks und Trends aus den Bereichen Digital Marketing, Cybersicherheit, DSGVO und Analytics:
► Newsletter jetzt abonnieren


5. Zusammenfassung Notfallplan Cyberangriff

Ein Notfallplan Cyberangriff oder Cybersecurity wie auch eine IT-Notfallkarte für Mitarbeitende ist notwendig. Doch muss die Mitarbeiterin in der Lage sein, sich auch selbst helfen zu können. Speziell ausserhalb des Büros, wenn sie merkt, dass der PC gehackt wurde. Hier sind vielleicht weder die Checkliste noch User Support zur Hand.

Papier ist geduldig, doch ein Notfallplan Cyberangriff den die Mitarbeiter:innen nicht im Kopf haben, weil er länger als 2 Seiten ist, hilft wenig. Wir haben gezeigt wie z.B. auf sich allein gestellte User hier was tun können, nämlich:

Wir haben Ihnen 3 Schritte aufgezeigt:

  1. Computer vom Netz nehmen,
  2. PC herunterfahren und Festplatte entfernen und
  3. weitere Geräte (auch private!) überprüfen und IT Support für weitere Unterstützung angehen.

Der DrKPI Schnellaudit mit 10 Tipps als kostenloser Download hilft ebenfalls, solche Cybersecurity Notfälle im Unternehmen in den Griff zu bekommen und den Notfallplan Cyberangriff zu optimieren.

Beitrag teilen

3 Antworten

  1. Hallo Urs

    Herzliche Gratulation, du hast das Thema Notfallplan Cyberangriff sehr gut und einfach verständlich dargestellt!

    In der Tat ist es so, dass viele Firmen das Thema noch recht reaktiv angehen. Ich teile deine aufgeführten Schritte vollends!

    In der Vorbereitung (inkl. Capability Assessment, Awareness Massnahmen, etc.) entscheidet sich oft wie effizient ein nachfolgender Response auf einen Sicherheitsvorfall sein kann.

    1. TEIL 1

      Lieber Markus
      Danke für den Kommentar.

      Ein Beispiel für wie die Dinge schief laufen können wenn kein Notfallplan vorhanden ist zeigt die Cyberattacke auf die Landesregierung in Kärnten (AT).

      Am 14. Mai 2022 (Samstag!) wurde 1 Computer kompromittiert und so die Schadsoftware in das IT-System eingebracht.
      Die Attacke wurde erst 10 Tage später, am 24 Mai (Dienstag), entdeckt. Zu der Zeit waren schon gut 100 von 3’700 IT Arbeitsplätzen lahmgelegt.

      Als erstes wurden alle Systeme ausgeschaltet und das Personal wurde in ein verlängertes Auffahrts-Wochenende geschickt.

      Wieviele Daten geklaut wurden und der Gesamtschaden dieser Attacke sind zur Zeit noch unbekannt.

      Auch heute am 1. Juni ist die Website immer noch Offline https://www.ktn.gv.at. d.h. Bürger:Innen können keine der Online Dienstleistungen nutzen wie z.B. Pässe bestellen.

      Merci
      Urs
      #DrKPI

    2. TEIL 2

      Markus, due weisst auch darauf hin, dass Capability Assessment, Awareness Massnahmen ein Thema sein müssen.

      Das Video zum Kärnten Cybersecurity Disaster vom 2022-05-24 zeigt sehr schön, dass kein Capability Assessment durchgeführt wurde => https://kaernten.orf.at/stories/3157729/

      Anscheinend war die öffentlichen Stellen hier auch nicht mit einem Disaster Recovery Plan vorbereitet wie der Press Release 7 Tage später am 30 Mai von der Kärntner Regierung aufzeigt:
      https://www.ots.at/presseaussendung/OTS_20220530_OTS0094/update-hackerangriff-kaernten-e-mails-funktionieren-zum-groessten-teil-wieder

      Bis heute ist nicht klar was genau passierte, d.h. die Kommunikation ist intransparent und eher umprofessionell. Hier liegt der Fehler aber nicht an der Corporate Communication, scheint mir. Da wurde nichts vorbereitet….

      Awareness Massnahmen für die Mitarbeiter:Innen sind auch nach meinen Nachforschungen keine zu finden, d.h. die PCs welche vom Attacker/Hacker schon am 14. Mai erfolgreich infiziert wurden, sind von den Mitarbeitern nicht SOFORT runtergefahren worden.

      Die Kosten gehen sicherlich in die Millionen Euro (z.B. bezahlte Ferien für Mitarbeiter:innnen die nicht arbeiten können).

      Schönen Tag wünsche ich.
      Urs
      #DrKPIcybersecurity

Überblick

Erhalten Sie jetzt unseren Newsletter!