Es ist etwa ein Jahr her. Da wurde ganz in meiner Nähe der Landkreis Anhalt-Bitterfeld von einer Cyber-Attacke erwischt.
Ein Jahr danach beklagt sich der amtieren Landrat öffentlich darüber, dass wohl nicht genug Unterstützung zur Verfügung stehe und somit auch heute noch Folgen spürbar sind. Nachzulesen hier: externer Link HEISE. Nun mag man wohlwollend berücksichtigen, dass er damals noch nicht offiziell im Amt war. Sein Vorgänger, quasi ein paar Tage nach dem Vorfall, ihm die Klinke einer „ausgeknockten“ Verwaltung in die Hand gab.
An diesem Beispiel klebt ein sehr fader Beigeschmack aus Sicht in der Behebung/Unterstützung nicht involvierter IT-Dienstleister. Denn im Umfeld (Dessau-Halle-Leipzig) gab und gibt es genug professionelle Firmen, welche sowohl unterstützen können als auch Erfahrung mit derartigen Situationen haben. Die Entscheidung der Unterstützung sollte dann auch sehr schnell getroffen werden. Und dies schien, verglichen mit Auftraggebern aus der Privatwirtschaft, einfach zu lange nach dem Befall ein Schlingerkurs gewesen zu sein. Ohne in die genauen Details zu gehen, ist man geneigt anzumerken, dass gelinde gesagt manches im Argen lag. Und dies sind durchaus für die Eskalation der Gesamtlage und deren weitreichende Folgen ein nicht unerheblicher Faktor.
Es sind/waren Dinge wie IT-Notfallhandbuch, Maßnahmenplan oder schlicht die fachliche und vollständige IT-Dokumentation. Aber auch technische Sachen die zur Compliance Durchsetzung- Steuerung und Überwachung aus heutige Sicht dringend notwendig sind.
Was die Ursachen sind mag ich nicht zu überschauen, kann dies aber aus der Erfahrung mit vielen VERGLEICHBAREN Kunden beurteilen. Und da lautet mein Fazit: da sind andere deutlich besser aufgestellt. Ein Schlingerkurs und Druck von oben sind der falsche Weg.
Als Resümee kann man, auch aus dem Wissen anderer Fälle heraus sagen: eine IT-Abteilung ist nur so handlungsfähig wie deren Werkzeuge. Es ist tatsächlich nicht die Frage „ob“ man zu den Betroffenen zählt, nein das „wann“ ist die große Unbekannte in der Matrix!
Definitiv, und dieses berichten ALLE Kunden, welche von Cyber-Attacken und CRYPTO-Trojanern befallen waren, helfen folgende Dinge:
- IT-Doku (am besten automatisiert) mit folgenden Key-Fakt’s:
- Bestandslisten
- Wiederanlaufplan
- Backupbeschreibung
- Netzwerkpläne
- IT-Notfallhandbuch
- Übersichten
Stellen sie sich doch einmal folgende Fragen:
- Wussten sie eigentlich, dass eine Cyber-Versicherung die Existenz eine IT-Notfallhandbuches voraussetzt?
- Merke: wenn nicht nutzbar oder vorhanden = kein Versicherungsschutz!
- Wussten sie, dass eine Schadenersatzverhandlung vor Gericht zuerst immer nach dem funktionierenden, dokumentierten und nutzbaren Backup fragt?
- MERKE: in dem Moment, wenn neue Daten entstehen, muss das Backup spätestens laufen!
- Wie lange dauert es, einen virtualisierten Backupserver wiederherzustellen, wenn dessen virtuelle Festplatten auf dem verschlüsselten Datenspeicher liegen?
- MERKE:
- der sicherste Backupserver ist (auch 2022) Hardware, wenn OnPremise-Infrastruktur!
- Ein Backupserver in der Domäne ist ein zu kalkulierendes Risiko!
- Ein explizites Backup-Storage über ein eigenes Netzwerk kann Risiken erheblich mindern.
- Wenn sie aus dem „Ground Zero Szenario“ heraus alles neu machen müssen:
- Haben sie die Werkzeuge dafür zur Verfügung
- MERKE:
- 10 Rechner manuell neu aufsetzen mag ja gehen, was aber bei 100ten?
- Haben sie den nötigen Manpower?
- MERKE:
- Unterstützung im Notfall kann auch von außen kommen, jedoch sollten sie so gut Vorbereitet sein, die führende Rolle beim Wiederherstellen zu übernehmen.
- Wenn sie betroffen sind:
- Kennen sie die gesetzlichen Regelungen (z.B. Selbstanzeige Datenschutz)?
- MERKE:
- Eine interne IT kann nicht alles Wissen und dies muss sie auch nicht! Umso wichtiger sich fachlichen externen Rat zu holen!
- Wie gut sind sie vorbereitet:
- Haben sie an alle notwendige Notfallausrüstung gedacht?
- MERKE: das suchen eines einfachen Kabels in einer Krisensituation kann zur Verschlimmerung der Lage führen! Was aber bei Passwörtern, Zugängen?
- Wenn ein Replacement erfolgt:
- Haben sie ihre Config’s gesichert, wenn ja wo und kommen sie dahin?
- MERKE:
- Alles was länger als 5min suchen dauert ist zu lange!
- Wenn ein komplett neues Gerät (z.B. Firewall) kommt: haben sie die Firewallregeln sauber dokumentiert?
- Merke:
- Wenn man GLEICH sauberdokumentiert, während man ein CHANGE vornimmt, spart man Zeit!
- Wenn externe Helfer im Notfall eingreifen müssen:
- Finden sich diese zurecht, weil sie gut dokumentiert sind?
- Schafft sich die eigenen IT-Abteilung eventuell selbst ab, weil Servicedienstleister deren Aufgabe übernehmen (werden)?
- Merke:
- MERKE:
- Haben sie ihre Config’s gesichert, wenn ja wo und kommen sie dahin?
- Haben sie an alle notwendige Notfallausrüstung gedacht?
- MERKE:
- Kennen sie die gesetzlichen Regelungen (z.B. Selbstanzeige Datenschutz)?
- MERKE:
- MERKE:
- Haben sie die Werkzeuge dafür zur Verfügung
- MERKE:
Die Techniker mögen mir jetzt verzeihen, aber ich möchte mal in das Gewissen reden.
Eine Frage, welche ich Kunden in Workshops immer wieder stelle, wenn Administratoren das „Jammerlied von keiner Zeit für Doku“ singen:
„Wenn sie ihr Auto waschen fahren saugen sie doch sicher auch gleich mit innen aus und fahren nicht separat zum Saugen noch einmal los.“
Soll heißen, dass die 2min Dokuarbeit nach einer Anpassung nicht so tragisch sind wie irgendwann später. Warum dies so ist: man muss sich erst einmal wieder hineindenken! Warum nicht gleich „linker Desktop das Change, Rechter Desktop in die Doku übertragen (da gibt es auch die Copy-Paste-Funktion)“.
Wer hier mehr zum Thema wissen mag, kann mich gern kontaktieren!
Einfach per eMail an: frank.oehlschlaegel@it-halle.de schreiben!
Kleiner Spoiler zum Schluss: natürlich hab ich für das ganze Thema Docusnap passend im Schubkasten 😉.
Danke für’s Teilen und weitersagen!