Notfallkonzept bei Cyberattacken – Die 7 wichtigsten Schritte

Ein unbedachter Klick auf einen Anhang einer Spam-Mail, fehlende Zwei-Faktor-Authentifizierung oder Sicherheitssoftware auf dem Computer, unsichere Passwörter und andere Sicherheitslücken – schnell kann es passieren, dass sich Schadsoftware, ein Virus oder ein Hacker Zugriff zu Ihrem Netzwerk verschaffen. Der entstandene Schaden bei Cyberattacken ist dann gross und häufig sind Unternehmen nicht genügend auf solche Vorfälle vorbereitet.  

Dabei ist eine der wichtigsten und hilfreichsten Schritte, die vor allem auch KMU unternehmen können, ein aktuelles sowie eingespieltes Notfallkonzept zu definieren. Wie ein solches aussehen kann, haben wir Ihnen in einem früheren Blogbeitrag genauer beschrieben.  

Ist es zum Schlimmsten gekommen und Sie wurden Opfer von einem Hacker oder einer anderen Cyberattacke, gilt es, schnell die richtigen Massnahmen zu ergreifen. Der eigentliche Notfallprozess für Ihre Sicherheit beginnt: 

1. Ruhig bleiben und Verantwortliche informieren 
2. Schadenausmass beurteilen  
3. Priorisierung der Wiederinbetriebnahme vornehmen 
4. Mögliche Sofortmassnahmen einleiten 
5. Meldepflichten & Strafanzeigen 
6. (Kunden-)Kommunikation 
7. Umgang mit Lösegeldforderungen 

Notfallprozess im Fall eines Hackerangriffs 

1. Ruhig bleiben und Verantwortliche informieren 

Ein bedachter und überlegter Umgang mit einer stressigen Situation ist immer besonders wichtig. So behält man einen klaren Überblick und handelt nicht aus dem Affekt heraus. Wie in unserem früheren Blogeintrag beschrieben, sollten Sie in KMU klare Verantwortlichkeiten und Aufgabenbereiche geklärt haben. Diese müssen im Falle von Hacking oder einer Cyberattacke umgehend informiert werden, sodass die nächsten Schritte eingeleitet werden können.  

2. Schadenausmass beurteilen 

Zunächst muss geprüft werden, wie gross der Schaden eigentlich ist.  

• Welche Computer, Systeme oder Dateien sind betroffen?  
• Eventuell das ganze Netzwerk, eine Cloud oder eine einzelne Webseite?  
• Woran wurde gearbeitet, als das Problem auftrat und was genau ist passiert? 

Wenn eine Webseite angegriffen wurde, ist eine genaue Überprüfung der betroffenen Seiten und Verzeichnisse nötig, da ein Schadcode eventuell auf mehrere Unterseiten platziert wurde oder auf andere Computer übergreifen kann. Es macht Sinn, bereits im Vorfall zu klären, welche Notfallorganisationen und IT-Sicherheitsexperten zurate gezogen werden, sollte die Attacke unübersichtlich gross sein. 

3. Priorisierung der Wiederinbetriebnahme  

Nachdem der Schaden genauestens betrachtet wurde und alle Informationen gesammelt sind, sollte klar sein, welche Geschäftsbereiche betroffen sind. Gibt es Teilbereiche, die unabhängig funktionieren und bei denen keine Gefahr besteht, können Personen Ihres IT-Sicherheit Teams diese wieder in Betrieb nehmen lassen. Priorisieren Sie idealerweise schon im Vorfeld, welche die wichtigsten Services sind und damit als erstes wieder live gehen müssen. 

4. Mögliche Sofortmassnahmen einleiten 

Sind die ersten Punkte geklärt, müssen Sie schnellstmöglich handeln, um sich vor weiterem Schaden zu schützen. Ihre IT-Dienstleister sollten dann betroffene Bereiche offline nehmen, um eine Verbreitung weiterer Malware zu verhindern. Weitere Sofortmassnahmen wären unter anderem, Systeme und Computer vom Netzwerk zu trennen, Säuberung oder Neuinstallation, Datensicherung und/oder -wiederherstellung, etc. Darüber hinaus sollten Zugriffe zu E-Mail-Konten, Geräten und Datenbanken Ihrer Firma gesperrt und Benutzer darüber informiert werden. Stehen Sie dabei im engen Austausch mit Ihren eigenen Sicherheitsexperten sowie externen Dienstleistern und orientieren Sie sich an der Priorisierung. Erstellen Sie regelmässig ein Backup und damit eine Sicherheitskopie der wichtigsten Daten, sodass Ihr Datenverlust bei einem Hackerangriff so gering wie möglich ist.  

5. Meldepflichten & Strafanzeigen 

In der Schweiz gibt es derzeit noch keine allgemeine Meldepflicht bei Cyberangriffen. Diese wurde lediglich für FINMA-regulierte Firmen und kritische Infrastrukturen in Form einer Gesetzesrevision vom Bundesrat in die Vernehmlassung verabschiedet. Dies soll jedoch nur für Betreiberinnen und Betreiber kritischer Infrastrukturen und Cyberangriffe gelten, die ein “erhebliches Schadenspotenzial” aufweisen. Der Entschluss wurde auf der Grundlage gefasst, dass das Nationale Zentrum für Cybersicherheit NCSC im Schnitt über 300 Meldungen pro Woche über erfolgreiche oder versuchte Angriffe erhält. Es bietet sich also an, in Anbetracht der Gesamtsituation Angriffe zu melden, sodass zuständige Behörden einen Überblick über die Lage erhalten und zukünftig bessere Massnahmen zur Sicherheit ergreifen können.  

Zudem wichtig: Sobald es für Betroffene zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder Grundrechte kommt, also sensible Daten wie persönliche Informationen betroffen sind, muss so rasch wie möglich eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen.  

Zur rechtlichen Aufarbeitung kann ein Cyberangriff auch zur Strafanzeige bei einer spezialisierten Cyber-Strafverfolgungsbehörde gestellt werden. In vielen Kantonen und auch auf Schweizer Bundesebene existieren zuständige Stellen, die Ihnen dabei behilflich sind, die Täter zu ermitteln und eventuell entwendete Vermögenswerte erstattet zu bekommen.  

6. (Kunden-)Kommunikation 

Ein häufig unangenehmer und vulnerabler Aspekt im Notfallprozess ist die Kommunikation. Sowohl intern als auch extern mit Kunden, Zulieferern oder sonstigen Geschäftspartnern muss ein schwerwiegender Hackerangriff kommuniziert werden. Die interne Kommunikation sollte bereits direkt am Anfang vonstattengehen. Zum einen müssen, wie in Punkt 1 beschrieben, die Verantwortlichen informiert werden. Darüber hinaus müssen auch Mitarbeitende über die Lage Bescheid wissen, sodass keine Verunsicherung über eventuelle Ausfälle herrscht.  

Die externe Kommunikation mit Kunden ist besonders heikel, da man als Unternehmen auch sein Gesicht wahren möchte. Dafür muss zunächst Punkt 2 geklärt sein – handelt es sich um einen Notfall oder eine möglicherweise länger anhaltende Krise? Eventuell ist das Problem schnell behoben und man kann den Kunden mit der Schreckensnachricht auch mitteilen, dass man bereits wieder Herr der Lage ist. Gehen Sie sorgsam und bedacht mit der Ansprache Ihrer Kunden um, versetzen Sie sie nicht in unnötige Sorge, doch spielen Sie gleichzeitig auch eine Extremlage nicht herunter. Da, wie im vorangegangenen Punkt erwähnt, eine Meldung an die EDÖB erfolgen sollte, sobald Persönlichkeit- oder Grundrechtrisiken eintreten, ist es empfehlenswert, spätestens auch dann die betroffenen Personen bzw. Kunden zu informieren. 

Transparenz und Konsistenz in der Kommunikation hilft Ihrem Unternehmen auch, die Reputation zu wahren. So kann Ihnen nicht vorgeworfen werden, Probleme vertuschen zu wollen.  

7. Umgang mit Lösegeldforderungen 

Tatsächlich haben Hacker heutzutage nur wenig mit dem Filmklischee des Teenagers im Kapuzenpullover gemeinsam. Viel eher sind sie moderne Wirtschaftskriminelle und mit ihrem Hacking auf Profit aus. Lösegeld ist häufig ein Teil davon. Sicherheitsbehörden wie die Kantonspolizei raten eigentlich immer von der Zahlung ab, da es keine Garantie dafür gibt, im Anschluss wirklich die verschlüsselten Daten zurückzuerhalten. Dennoch ist es ratsam, wenn Sie Opfer eines Hackers sind, die Kantonspolizei beizuziehen und professionellen Rat sowie Unterstützung einzuholen. Auch eine Anzeige kann ratsam sein, wie in Punkt 5 erwähnt.  

Ein weiterer Ansprechpartner zu diesem Thema ist Ihre Versicherung. Cyber-Risiken können nur teilweise versichert werden, dennoch gibt es eine einige Cyber Security Versicherungen mit diversen Leistungsspektren – darunter auch Cyberdiebstahl/ -betrug und Lösegeldforderungen. Achten Sie bereits bei Abschluss der Versicherung darauf, ob Lösegelder bei Erpressungen bezahlt werden und ziehen Sie Ihren Ansprechpartner im akuten Falle zurate. 

Fazit 

Wurden Sie Opfer eines Hackerangriffs, gilt es vor allem, schnell zu handeln, wichtige Informationen zu sammeln und Sicherheitslücken sofort zu schliessen. Treten Sie mit Experten in Kontakt und folgen Sie einer klaren Priorisierung, wenn Ihr Unternehmen oder Ihre Webseite gehackt wurden. 

Um all dies zu verhindern, ist es wichtig, Ihre Geräte, Software, Computer und E-Mail-Konten bereits im Vorhinein vor Hackern und Cyberattacken zu schützen. Achten Sie firmenweit auf sichere Passwörter, regelmässige Backups und halten Sie Ihre Systeme durch die zeitnahe Installation von Updates stets aktuell. Der grösste Risikofaktor ist leider immer der Mensch – durch sogenanntes Social Engineering wird eine Person selbst gehackt und beispielsweise so ihr Passwort herausgefunden. Eine Aufklärung aller Mitarbeitenden in der Firma über mögliche Risiken ist daher unerlässlich, auch wenn der Mehrheit sicher bereits bewusst ist, dass man nicht jeder Datei in seinem E-Mail Account trauen darf und das Internet und selbst Google voller Tücken sind.  

In unserem Cyber Security Awareness Training vermitteln wir grundlegendes Wissen über aktuelle und folgenreiche Risiken. Sie wollen Ihr Unternehmen darin schulen, wie Sie Ihre Daten bestmöglich schützen – von der Technik bis hin zur Vermeidung menschlicher Fehler? Dann freuen wir uns, Sie mit unserer langjährigen Expertise beraten zu dürfen!