Vor – während – nach einem Cyberangriff: Wie am besten reagieren?

Zu den Erfahrungen mit den Folgen des Cyberangriffs seit April beantwortete Mattis Neiling als Datenschutzbeauftragter Fragen in einem Panel der 4. Jahrestagung Cybersecurity am 28.10.2021. Er stellte dabei einige auch aus Sicht des Datenschutzes wichtige Punkte in den Vordergrund, die in diesem Beitrag näher ausgeführt werden:

  • Bewährt haben sich Notfallpläne, die für die beteiligten Mitarbeiter*innen klare Handlungsstrategien aufzeigen.
  • Die umgehende Konstitution eines Krisenstabs ist sinnvoll für ein geordnetes Vorgehen, das alle Belange bedenkt
  • Die Wiederinbetriebnahme der Dienste berücksichtigt die IT-forensische Analyse, erfolgt umsichtig und mit Verbesserungen der Sicherheitsarchitektur

Antworten auf einige Fragen werden im Anschluss daran dargestellt, u.a. eine Chronologie der Ereignisse in Folge des Cyberangriffs seit Ende April.

Notfallpläne

Im Rahmen eines IT-Sicherheitskonzept werden vorab Anleitungen für Krisensituationen erstellt, die beschreiben, welche Abläufe in beispielhaften Szenarien von welchen Funktionsträgern (Rollen) umgesetzt werden (Insbesondere: Was, Wer und Wann; über das „Warum“ sollte während einer Krise nicht lange diskutiert werden müssen und das „Wie“ sollte klar sein). Sinnvollerweise sollten diese Notfallpläne im Vorfeld „durchgespielt“ werden, damit sie im Notfall funktionieren.

Wichtig ist, dass die Verantwortlichkeiten klar sind, d.h. wer welche Entscheidungskompetenz hat. Z.B. sollte nicht in jedem Fall die Unternehmensleitung einbezogen werden müssen. 24/7-Verfügbarkeit sollte mit bedacht werden, damit Entscheidungen und nötige Schritte schnellstmöglich erfolgen können.

Notfall Management ist Bestandteil des BSI Grundschutzes (BSI-Standard 100-4), es kann anhand von Leitfäden in drei Stufen ausgebaut werden.

Ein Notfallplan für einen Befall mit Schadsoftware sollte u.a. folgende Sofortmaßnahmen enthalten:

  • (Betroffene) Systeme vom Internet trennen
  • (Betroffene) Systeme herunterfahren/abschalten
  • weitere Systeme „auf Verdacht“ abschalten
  • Leitung informieren
  • Krisenstab einberufen

Im Anschluss sollte eine IT-forensische Analyse erfolgen, um Klarheit über den Zeitpunkt und den Umfang der betroffenen Systeme zu bekommen. Die als nicht betroffen identifizierten Systeme können anschließend wieder in Betrieb genommen werden. Sofern die Qualifikation In-House nicht vorhanden sein sollte, kann externer Sachverstand eingeholt werden, das BSI führt bspw. eine Liste qualifizierter Advanced Persistent Threat (APT) Response Dienstleister.

Krisenstab

Es empfiehlt sich eine sofortige Konstitution im Notfall, weitere Schritte werden hier entschieden. Neben den Verantwortlichen der IT und fachlich versierten Mitarbeiter*innen sollte die Leitung, der Datenschutz, Betriebs- bzw. Personalrat sowie die Öffentlichkeitsarbeit beteiligt sein. Der Krisenstab verschafft sich ein Lagebild, legt die Entscheidungswege fest und koordiniert das weitere Vorgehen.

Typische Aufgaben des Krisenstabs sind:
  • Koordination des weiteren Vorgehens, z.B.
    • forensische Analyse
    • Entscheidung, ob Verhandlungen mit Erpressern akzeptabel sind (für öffentliche Einrichtungen sollte es verneint werden)
    • Aufrechterhaltung eines Notbetriebs
    • Beauftragung externer Dienstleister, z.B. für IT-Forensik und temporären E-Mail-Dienst
    • Hilfestellung für Mitarbeiter*innen geben, wie sie mit der Situation umgehen sollen
    • Anzeige bei der Polizei, Unterstützung der Strafermittlungsbehörde(n)
    • Meldung des Datenschutzvorfalls an die Aufsichtsbehörde vornehmen (innerhalb 72 Stunden), Nachmeldungen bei neuen Erkenntnissen
  • Auswertung des ermittelten Stands von Daten-Backups und System-Recoveries, um auf diese später zurückgreifen zu können (Diese Systeme sollten nicht betroffen sein!)
  • Kommunikation über den Vorfall, sowohl für Mitarbeiter*innen als auch für die Öffentlichkeit, Beantwortung von Anfragen
  • Laufende Auswertung der IT-forensischen Analyse, daraus abgeleitet Festlegung weiterer Schritte
  • Bereitstellung von Ressourcen, bspw. zusätzliches Personal
  • Erstellung eines Plans für die Wiederinbetriebnahme mit Priorisierung einzelner Systeme

Wiederinbetriebnahme

Basierend auf der Analyse der IT-Forensiker können einzelne Systeme wieder in Betrieb genommen werden, wobei möglicherweise ältere Backup-Stände eingespielt werden müssen. Dabei muss sichergestellt werden, dass diese Systeme nicht infiziert sind und weitere Systeme erneut befallen werden. Ggf. ist ein Vorgehen erforderlich, bei dem die Systeme isoliert wiederhergestellt werden und IT-forensisch geprüft werden müssen, bevor sie wieder „ans Netz“ gehen.

Empfehlenswert ist zudem, die Sicherheitsmaßnahmen zu überprüfen und Verbesserungen gleich vorzunehmen, bspw. eine Segmentierung der Netze.

Sofern Zugangsdaten „Credentials“ erbeutet wurden, sind alle Passwörter zurückzusetzen.

Bei der Wiederinbetriebnahme der Systeme gibt es mehrere Alternativen, wie vorgegangen werden kann:

  1. Zunächst können alle nachweislich nicht betroffenen Systeme wieder in Betrieb genommen werden.
  2. Für betroffene Systeme kann ein Recovery-Zustand vor dem Angriff mit der Schadsoftware eingespielt werden.
    Alternativ können die betroffenen Systeme bereinigt werden – sofern noch keine Verschlüsselung auf ihnen gestartet wurde. Die Bereinigung sollte gründlich sein.
  3. Der sicherste Weg ist ein vollständiges Neuaufsetzen aller betroffenen Systeme. Dieses ist allerdings ein langwieriger Prozess, der viel Zeit und Personalkapazitäten erfordert.
  4. Daten werden aus den jeweils letztverfügbaren „sauberen“ Stand der Backups wiederhergestellt.

Fragen zum Cyberangriff an der TU

Chronologie: Wie lief es an der TU ab?

Wir geben einige Ereignisse wieder.

  • 26.4.2021: Beginn des Angriffs auf zentrale Windows-Systeme
  • bis 30.4.2021: Rechteeskalation unter Ausnutzung von Schwachstellen
  • 30.4.2021: Start der Verschlüsselung diverser Windows-Systeme
  • 30.4.2021: Abschaltung aller Windows Systeme
  • 2.5.2021: Konstitution des Krisenstabs (erste Entscheidungen: transparente Kommunikation des Vorfalls, Beauftragung von IT-Forensikern)
  • 19.5.2021: Information an TU-Mitglieder
    „(…) Ermöglicht wurde dies durch die Ausnutzung einer Sicherheitslücke in Kombination mit mehreren verketteten Schwachstellen in der IT-Infrastruktur und IT-Organisation. Über diesen Angriffspfad hat der Hacker administrative Rechte im zentralen Active Directory der TU Berlin erlangt und damit die zentrale Windows-Umgebung kompromittiert. (…)“
  • 21.5. und 25.5.2021: Infoveranstaltungen für Beschäftigte und Student*innen mit insgesamt rund 1.850 Teilnehmer*innen
  • 24.5.2021: im Darknet wurden einige wenige Dateien veröffentlicht
  • 10.6.2021: im Darknet wurden 5.483 Dateien veröffentlicht
  • Die von den Datenleaks Betroffenen wurden sukzessive benachrichtigt
Welche Auswirkungen gab es?
  • Starke Beeinträchtigung des Universitätsbetriebs (temporär keine Kommunikation, Abschaltung vieler IT-Dienste)
  • Dank Home-Office konnten viele Mitarbeiter*innen von Zuhause arbeiten, wenn auch stark eingeschränkt, da der Zugriff auf viele Ressourcen fehlte
  • Glücklicherweise konnten einige Dienste, wie Telefonanlage, zentrale Lernplattform und die Videokonferenztools weiter genutzt werden, so dass insbesondere der Lehrbetrieb aufrecht gehalten werden konnte
Wie wurde der Betrieb wiederaufgenommen?
Welche Konsequenzen und Verbesserungen gibt es?

An der TU wurden u.a. folgende Maßnahmen umgesetzt:

  • Die Passwortrichtlinie wurde überarbeitet.
  • Die Sicherheitsarchitektur für die Windows-Netzwerke wurde verbessert.
  • An der TU waren bereits Zwei-Faktor-Authentifizierungen (2FA) im Einsatz: Sowohl Papier-/SMS-TAN als auch App-basierte Lösungen mit One-Time-Password (OTP). Seit der Wiederinbetriebnahme wird 2FA jetzt für weitere Dienste eingesetzt.

Als notwendig erachtet wird eine Schärfung des Bewusstseins der TU-Mitglieder für Fragen der IT-Sicherheit und des Datenschutzes, die Awareness soll mit gezielten Informationsangeboten und Schulungen erhöht werden. MIME-Zertifikate sollen künftig für E-Mail flächendeckend genutzt werden. Außerdem gibt es Überlegungen, bei einigen serverbasierten Diensten von Windows auf Linux zu wechseln.

Weitere Informationen

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Ein Gedanke zu „Vor – während – nach einem Cyberangriff: Wie am besten reagieren?“

  1. Ein organisiertes Notfallmanagement muss zwingend in grösseren Einrichtungen oder Unternehmen vorhanden sein. Mindestens ein Protokoll sollte dem Krisenmanagement vorliegen, damit kein Chaos entsteht. Das wird vermutlich eh entstehen, aber ohne eingeübte Notfallübungen kann man es im Zaum halten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert