Wenn ein Cyberangriff Daten verschlüsselt oder Systeme lahmgelegt hat, kommt es auf eine schnelle Wiederherstellung an. Dafür ist eine gute Vorbereitung erforderlich. Externe Dienstleister für Recovery-Services können Unternehmen bei der Vorsorge gezielt helfen und sind in Notfällen schnell vor Ort. – Julian Sachs, Projektmanager für Cybersecurity und Incident Response bei Dell Technologies, erklärt, worauf dabei zu achten ist.
Bei einem erfolgreichen Cyberangriff beginnt für die betroffenen Unternehmen ein Wettlauf mit der Zeit. Sie müssen nicht nur den Angriff eindämmen, sondern die Angreifer auch vollständig aus ihrem Netzwerk entfernen. Wenn bei der Attacke Daten mit Ransomware verschlüsselt wurden oder durch den Angriff Systeme ausgefallen sind, müssen Unternehmen zudem die Anwendungen, die ihre Kerngeschäftsprozesse unterstützen, so schnell wie möglich wieder in den produktiven Betrieb bringen. Ein zu langer Stillstand könnte im Extremfall sogar ihre Existenz gefährden.
Eine gute Vorbereitung zahlt sich aus
Eine gute Vorbereitung ist die Basis jeder erfolgreichen Wiederherstellung. Unternehmen benötigen effektive und getestete Pläne für Incident Recovery. Sie sollten dedizierte Hardware für eine sichere Wiederherstellung vorhalten oder festlegen, welche bestehende Hardware im Ernstfall dafür verwendet wird, und genau definieren, wie der Recovery-Prozess ablaufen soll.
Eine wichtige Rolle spielen auch gut durchdachte Kommunikationspläne. Die Recovery-Teams, die Daten wiederherstellen, sich um das Re-Imaging von Laptops kümmern oder Anwendungen wieder in den Geschäftsbetrieb zurückführen, müssen sich gezielt austauschen können. Das gilt insbesondere bei Firmen, die stark gewachsen sind und sich zu multi-nationalen Unternehmen entwickelt haben.
Zudem sollten sich Unternehmen in der Lage sein, ihr IT-Personal im Notfall kurzfristig aufzustocken. Wenn die Auswirkungen eines Angriffs weitreichend oder sehr komplex sind, ist es für das vorhandene Personal oft schwierig, Systeme schnell wiederherzustellen. In manchen Fällen kann außerdem spezielles Fachwissen für bestimmte IT-Systeme oder Technologien erforderlich sein, über das niemand im Haus verfügt.
Die Erfahrung zeigt, dass sich eine gute Vorbereitung im Ernstfall auszahlt – etwa bei einer schweren Ransomware-Attacke. Unternehmen, die über eine isolierte und unveränderliche Kopie ihrer Daten verfügen, Runbooks besitzen, in denen der Weg zur Recovery ihrer Systeme beschrieben ist, und zusätzliches Infrastruktur-Equipment für die sichere Wiederherstellung vorhalten, können ihre kritischsten Anwendungen deutlich schneller – oft schon nach wenigen Tagen – wieder in Betrieb nehmen. Treffen Unternehmen keine vergleichbaren Vorkehrungen, müssen sie damit rechnen, dass ihre kritischsten Anwendungen erst nach mehreren Wochen wieder produktiv sind.
Recovery Ability Assessments bewerten die Fähigkeiten zur Wiederherstellung
Externe Dienstleister für Recovery-Services können Unternehmen bei der Vorbereitung und Durchführung einer schnellen Wiederherstellung wertvolle Unterstützung leisten. Ihre Experten bewerten in einem Recovery Ability Assessment die Fähigkeiten von Unternehmen zur Wiederherstellung von kritischen Anwendungen, arbeiten heraus, auf welche Schwierigkeiten sie aktuell dabei stoßen würden und sprechen Empfehlungen für Verbesserungen aus.
Wird ein Unternehmen dann doch einmal Opfer eines schwerwiegenden Angriffs, den sein eigenes Security-Team nicht unter Kontrolle bekommt, weil die etablierten Prozesse zur Isolierung und Eindämmung nicht mehr greifen, kann es Hilfe rufen. Das ist meist dann der Fall, wenn eine Ransomware-Attacke nicht nur potenziell alle Daten verschlüsselt, sondern auch bereits die Backups angegriffen hat, oder durch eine Attacke ein signifikanter Teil der IT-Systeme nicht mehr erreichbar ist und Mitarbeiter auf manuelle Prozesse zurückgreifen müssen.
In solchen Fällen können Unternehmen ein erfahrenes Incident-Response-und-Recovery-Team des Dienstleisters anfordern, das innerhalb kürzester Zeit bereit steht. Es bewertet die Situation vor Ort, ermittelt die beste Vorgehensweise, beseitigt die Bedrohung und führt die erforderlichen Wiederherstellungsmaßnahmen durch. Da es bereits mit der Umgebung des Unternehmens vertraut ist, kann es dabei praktisch nahtlos übernehmen und sehr effizient vorgehen.
Quelle: Dell TechnologiesGrundsätzlich können Unternehmen bei einem Cyberangriff auch ad hoc ein Incident-Response-und-Recovery-Team zur Hilfe rufen, ohne zuvor bereits gemeinsam mit dem Dienstleister an der Vorbereitung gearbeitet zu haben. Dann muss sich das Team aber erst mit der vorhandenen Umgebung vertraut machen, wodurch sich die Recovery verzögert. Verfügen Unternehmen im Fall der Fälle dagegen bereits über einen vertrauten Technologie-Partner, ist gewährleistet, dass seine kritischen Anwendungen schnellstmöglich wieder zur Verfügung stehen. Die Minimierung von Ausfallzeiten ist der größte Vorteil einer solchen Partnerschaft, aber bei weitem nicht der einzige. Sie hilft Unternehmen auch beim Abschluss einer Cyber-Versicherung. Diese Versicherungen werden immer kostspieliger, weil die Anzahl und Komplexität von Cyberangriffen kontinuierlich steigt und sich dadurch die Schadenssummen erhöhen. Zudem verschärfen die Assekuranzen ihre Kriterien für den Versicherungsschutz und verlangen robuste Sicherheitsmaßnahmen. Die Zusammenarbeit mit einem Anbieter von Recovery-Services erleichtert es Unternehmen, eine Police abzuschließen und dabei die Prämie im Rahmen zu halten.
Worauf es beim Recovery-Service-Partner ankommt
Damit der Recovery-Service-Dienstleiter seine Aufgabe optimal erfüllen kann, muss er natürlich über hochqualifizierte Experten verfügen. Er sollte aber auch noch einige weitere Schlüsselanforderungen erfüllen. Dazu zählt, dass er weltweit agiert, um Unternehmen an all ihren internationalen Standorten unterstützen zu können. Er sollte außerdem Hotlines bieten, über die er rund um die Welt und rund um die Uhr erreichbar ist.
Zudem ist es erforderlich, dass der Dienstleister herstellerunabhängig agieren kann. Die IT-Landschaften von Unternehmen sind meist heterogen und kombinieren IT-Systeme von unterschiedlichsten Anbietern. Ein herstellerabhängiges Team wäre nicht flexibel genug, ein zielführendes Recovery Ability Assessment durchzuführen und könnte auch eine Wiederherstellung nicht effektiv bewältigen.
Darüber hinaus sollte der Dienstleiter in der Lage sein, kurzfristig zusätzliche Hardware bereitzustellen, etwa um Ersatz für kompromittierte Systeme zu schaffen, Übergangslösungen für die kritischsten Anwendungen einzurichten oder erhöhte Lasten abzufangen, die durch eine Backup-Wiederherstellung entstehen. Um die Recovery deutlich zu beschleunigen, sollte er zudem flexibel zusätzliche personelle Ressourcen hinzuziehen können – wenn erforderlich auch weltweit. Idealerweise hat er dafür Zugang zu einem breit aufgestellten Expertenpool, der die verschiedensten Technologien abdeckt. Recovery-Services von strategischen Technologiepartnern bieten in kritischen Situationen einen deutlich größeren Mehrwert als die spezialisierten Angebote von reinen Backup- oder Storage-Anbietern. Gerade im Krisenfall zahlt sich ein Partner mit breiter Expertise und ganzheitlichen Ansatz aus.
Quelle: Dell Technologies