Stellen Sie sich vor: Der Arbeitstag hat begonnen – und er fühlt sich so an wie jeder andere auch. Und doch ist auf einmal alles auf den Kopf gestellt. Systeme sind gesperrt und der Zugriff auf Daten nicht mehr möglich. Wichtige Dokumente, Baupläne, Konstruktionssheets: sie alle sind verschlüsselt. Online-Buchungssysteme sind komplett heruntergefahren.
Lange haben Sie sich in Sicherheit gewogen, doch nun war ein Cyberangriff plötzlich doch erfolgreich.
Wie konnte das passieren? Und vor allen Dingen – was tun? Für solche Notfälle bieten wir bei Dell Technologies einen Incident Response & Recovery Service an. Ich bin Teil dieses Teams und möchte Ihnen gerne einen kleinen Einblick geben, was es damit auf sich hat. Gemeinsam mit einer großen Anzahl an Spezialisten kümmern wir uns darum, Kunden in dieser Notlage zu unterstützen und den Normalzustand wieder herzustellen. Da sich das für Außenstehende immer etwas abstrakt anhört, stelle ich Ihnen ein fiktives, aber realistisches Beispiel vor.
Entweder telefonisch über die zentrale Rufnummer 0800-724-3575 oder via E-Mail an Incident.Recovery@dell.com erhalten wir eine Nachricht über den Vorfall. Bei einem international agierenden Konzern hat ein Angriff sämtliche Systeme lahmgelegt. Wir melden uns binnen kürzester Zeit zurück, um einen ersten Eindruck über die Ausgangslage und das Ausmaß des Cyberangriffs zu erhalten. Dabei stehen zunächst die W-Fragen im Fokus:
- Was ist geschehen?
- Wann wurde der Angriff festgestellt?
- Wo wurde der Angriff registriert?
- Wer hat die Entdeckung gemacht?
Phase 1: Von der Diagnose bis zum Start der Operation
Mit diesen Eckdaten kann sich unser Team intern formieren, um schnellstmöglich den Bedarf an Unterstützung zu planen. Dafür bekommt das betroffene Unternehmen für den weiteren Ablauf einen zentralen Vor-Ort-Ansprechpartner zur Seite gestellt. Der technische Lead arbeitet Hand in Hand mit dem Projektmanager und führt ein Team von Datenforensikern und Netzwerkspezialisten an.
Von der Diagnosestellung bis zur Erstellung eines konkreten Angebotes sowie dem Start der Operation vergehen nur wenige Stunden.
Phase 2: Investigation in den Systemen
Dann geht es los mit Nachforschungen: Woher kam der Angriff? Viel zu oft – so auch in unserem Beispiel – haben sich die Hacker über einen schadhaften Link Zugang zu den Systemen des Unternehmens verschafft. Obwohl es abgedroschen erscheinen mag, zählt diese Masche noch immer zu den beliebtesten von Cyberkriminellen. Auch Passwörter, die über lange Zeit nicht gewechselt wurden, sind klassische Einfallstore.
Dann machen sich die Datenforensiker ans Werk, um die Zugänge zu prüfen: Welche Server sind betroffen? Wo sind diese lokalisiert? Je nach Schweregrad der Cyberattacke arbeitet das Team vor Ort beim Kunden, doch meist reicht eine Remote Betreuung.
Alle Systeme werden nach Spuren der Hacker durchforstet und im Fall der Fälle direkt vom Netz genommen und isoliert. Die Daten werden vorher bestmöglich abgesichert und auf einem separaten Backup Server sicher verstaut. In dieser aktiven Phase finden tägliche Update-Meetings mit dem Kunden statt, um die Fortschritte jederzeit aktuell bewerten zu können. Wöchentlich erhält der Kunde darüber hinaus ein Protokoll mit einer transparenten Leistungs- und Kostenübersicht.
Phase 3: Wiederherstellung und „back to normal“
Unser Team steht dem Kunden so lange zur Verfügung, bis er uns wieder nach Hause schickt. Dann sind seine Systeme neu verschlüsselt und besser geschützt als je zuvor.
Phase 4: Resümee
Im Optimalfall läuft der Betrieb des Kunden nun wieder so, als wäre nie etwas gewesen. Der Alltag ist zurück. Zeit zum Aufatmen, aber auch um ein Fazit zu ziehen. Alle Erfahrungen und Erkenntnisse, die das Expertenteam im Zuge des Einsatzes erhalten hat, werden mit dem Kunden in einem Abschlussbericht geteilt, der zudem konkrete Handlungs-Empfehlungen enthält.
Mehr zu Incident Response & Recovery erfahren Sie hier.
