Cyber-Attacke? Hackerangriff? Was tun?
Die folgenden Hinweise haben rein empfehlenden Charakter, für die keinerlei Haftung übernommen werden kann:
​1. Bewahren Sie Ruhe.
2. Wenn Sie eine Cyber-Versicherung haben: Informieren Sie umgehend telefonisch Ihren Cyber-Incident-Dienstleister, den der Versicherer Ihnen zur Verfügung stellt (in der Regel in der Police genannt).
3. Der möglichst vorhandene Notfallplan dient als Leitfaden für das weitere Vorgehen.
4. Informieren Sie Ihren Krisenstab, falls vorhanden, sowie die Geschäftsführung.
5. Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorkonto) auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet (bzw. nur nach Abstimmung mit Experten)!
6. Versuchen Sie, ein Bild Ihrer Lage zu erstellen. Eine nachvollziehbare Dokumentation des Vorfalls ist essenziell:
â–ª ggf. Kopie der schadenverursachenden E-Mail
â–ª vorhandene Logdateien
â–ª Screenshots
â–ª Was ist passiert?
â–ª Identifikation betroffener Systeme (Desktop-Systeme, Laptop-/Notebook, Systeme, Mobiltelefone, welche Server, Betriebssysteme, Wechselmedien, Datenbanken, …)
â–ª mögliche Ursache: höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, vorsätzliche Handlungen, …
â–ª Ist ein IT-Ausfall existenzbedrohend oder stört den Geschäftsbetrieb erheblich?
â–ª Ist ein schwerwiegender Hackerangriff erfolgt?
â–ª Ist ein schwerwiegender IT-basierter Betrugs-/Erpressungsfall aufgetreten?
â–ª Ist bekannt, ob vertrauliche Daten abgeflossen sind?
â–ª Sind Reputationsschäden durch Negativnachrichten zu erwarten?
â–ª Woran haben Sie gearbeitet, als das Problem auftrat?
â–ª Welche Programme waren geöffnet, welche Dokumente?
7. Dinge, die Sie zunächst tun sollten:
â–ª Systeme im aktuellen Zustand belassen (nicht abschalten, um nicht ggf. Spuren zu verwischen, Systeme ggf. vom Netzwerk nach außen trennen dazu das Netzwerkkabel „ziehen“. Gerät nicht herunterfahren oder ausschalten!)
â–ª Systeme nicht weiter nutzen
8. Dinge, die Sie zunächst nicht tun sollten
â–ª Systeme ausschalten/bereinigen
â–ª Zahlungen leisten
â–ª Auf Erpresser reagieren (Im Fall einer bereits erfolgten Verschlüsselung sollten Sie grundsätzlich nicht auf die Erpressung eingehen und kein Lösegeld bezahlen; Abstimmung erst mit den Experten)
â–ª Forderungen erfüllen
â–ª Presse informieren
â–ª Beweise vernichten
9. Informationen, die Sie für eine Meldung beim Incident-Response-Dienstleister benötigen:
â–ª Name des betroffenen Unternehmens
â–ª Nummer Ihrer Cyber-Versicherungspolice
â–ª Erreichbarkeit der verantwortlichen Personen (mobil, Festnetz, E-Mail)
â–ª Möglichst genaue Schilderung des Vorfalls
10. Senden Sie nur eine „we care“-Botschaft. Nichts zu sagen ist keine empfehlenswerte Option.
11. Die Beantwortung der folgenden Fragestellungen könnte für eine erste Bewertung wichtig sein:
a) Was ist nach Ihrem Kenntnisstand wann vorgefallen und was sind die derzeit offensichtlichen Auswirkungen?
b) Welche IT-Systeme/Einheiten sind betroffen oder könnten betroffen sein?
c) Sind eventuell Daten (insb. Personenbezogene Daten) entwendet worden oder könnten entwendet worden sein?
d) Sind bereits Informationen über den Cyber-Vorfall und/oder die Auswirkungen an Dritte gelangt oder übermittelt worden? Wenn ja, welche sind das und an wen sind sie gelangt?
e) Haben Sie oder ein von Ihnen eingebundener IT-Dienstleister bereits Maßnahmenergriffen? Wenn ja, welche Maßnahmen sind das?
Wenn Sie keinen Cyber-Versicherungsschutz haben:
Binden Sie umgehend externe und interne Experten ein, u.a.
â–ª Forensiker
â–ª Ihrer Rechtsberatung bzw. Fachanwälte für IT- und Datenschutz-Recht
â–ª …
Beachten Sie Meldefristen
Stimmen Sie Maßnahmen mit Ihrem Datenschutzbeauftragten ab
Klären Sie die grundsätzlichen Fragen der Kommunikation (Wer kommuniziert was wann an wen?)
Wollen oder sollten Sie Anzeige erstatten?
Klären Sie für einen kurzfristigen Notbetrieb die notwendigen Voraussetzungen (Technik, Ressourcen, etc.)
Polizei
Bei einem Angriff auf IT-Systeme werden in der Regel mehrere Straftaten begangen, insbesondere solche nach §§ 202a, 202b, 202c, 303a und 303b StGB. Grundsätzlich wird empfohlen, für alle Cyber-Angriffe bei der Polizei Strafanzeige zu erstatten. Für betroffene Unternehmen hat das Bundeskriminalamt bzw. haben die zuständigen Landeskriminalämter spezialisierte Anlaufstellen (Zentrale Ansprechstelle Cybercrime, ZACs) eingerichtet, die Opfern von Cyber-Straftaten beratend zur Seite stehen und bei einer Anzeige unterstützen.