Disaster Recovery Plan

Schnelle Rückkehr zur Normalität

Von Hartmut Schumacher · 2023

Erfolgreiche Cyberangriffe können Unternehmen für längere Zeit lahmlegen und Datenverluste sowie Produktionsunterbrechungen verursachen. Dank gründlicher Vorbereitungen auf den Fall der Fälle lassen sich die negativen Auswirkungen jedoch abmildern.

Das Wiederherstellen der Daten nach einer Cyberattacke muss beherrscht werden
Das Wiederherstellen der Daten nach einer Cyberattacke muss beherrscht werden. Foto: iStock / olm26250

Egal, wie gut die Vorsichtsmaßnahmen sind: IT-Sicherheitsvorfälle lassen sich nicht komplett vermeiden. Kommt es doch zum Ernstfall und Cyberkriminellen gelingt der Zugriff auf das Unternehmensnetzwerk, gehen oft Daten verloren oder werden zerstört. Aber auch durch Ereignisse wie Brände, Überschwemmungen und Vandalismus können Datenverluste entstehen.

Das Wichtigste in solchen Fällen: erstens das Wiederherstellen der Daten – „Disaster Recovery“ – und zweitens, dafür zu sorgen, dass die Unternehmensvorgänge möglichst schnell wieder wie gewohnt ablaufen – „Business-Continuity“. 

Denn nur wenn das Geschäft möglichst unbeschadet weiterläuft, werden Unterbrechungen in der Produktion und damit Einnahmenverluste gering gehalten.

Sicherungskopien – aber richtig

Entscheidend ist es also, dass Unternehmen für den Fall einer erfolgreichen Cyberattacke gewappnet sind. Dazu gehört vor allem das Anfertigen von Sicherungskopien und Back-ups aller wichtigen Daten. Das klingt banal, jedoch gilt es, etliche Regeln einzuhalten, wenn man sich nicht in falscher Sicherheit wiegen möchte: Beispielsweise müssen Sicherungskopien in regelmäßigen Abständen erstellt werden. Und zwar in mehrfacher Ausführung. Die unterschiedlichen Exemplare werden auf verschiedenen Speichermedien abgelegt. Eines dieser Medien sollte sich außerhalb des Firmengeländes befinden.Die Mitarbeitenden sollten das Wiederherstellen der Daten regelmäßig testen. Und nicht zuletzt müssen die Speichermedien der Sicherungskopien vom Unternehmensnetz getrennt werden, damit bei Ransomware-Angriffen die Schadsoftware keinen Zugriff auf diese Kopien hat, sie also nicht verschlüsseln kann.

Ist eine bösartige Software schon längere Zeit unerkannt im System aktiv gewesen, so kann es sein, dass die Sicherungskopien zeitlich nicht weit genug zurückreichen, dass also keine nicht infizierte Kopie existiert. In einem solchen Fall ist ein zeitaufwendiges Neuaufsetzen des kompletten Systems nötig.

Auf externe Hilfe setzen

Je besser die Unternehmensmitar-beitenden den Angriff dokumentieren, desto einfacher ist es, ihn später zu analysieren. Auf diese Weise lässt sich die Schwachstelle, die den Angriff ermöglicht hat, identifizieren und beheben. Bei massiven Vorfällen wie Ransomware-Angriffen kann die IT-Abteilung eines kleineren Unternehmens schnell an ihre Grenzen stoßen. Sinnvoll ist es dann, so schnell wie möglich einen IT-Dienstleister zu Hilfe zu holen.

Lösegeld zahlen?

Wurden Geschäftsdaten durch einen Ransomware-Angriff verschlüsselt, sind einer aktuellen Studie des Marktforschungsunternehmens IDC zufolge 52 Prozent der deutschen Unternehmen bereit, ein Lösegeld zu zahlen. Der wichtigste Grund: Sie erhoffen sich durch die Zahlung, das Problem schneller zu beseitigen als über die Wiederherstellung mit Back-ups. Das Bundesamt für Sicherheit in der Informationstechnik allerdings rät grundsätzlich davon ab, einer Lösegeldforderung nachzukommen – unter anderem, weil in der Regel keine Garantie bestehe, dass die Angreifer den Schlüssel tatsächlich herausgeben. Zudem verstärkt jede erfolgte Lösegeldzahlung die Motivation der Kriminellen.

Angriff melden

Kam es durch den Cyberangriff zu einer Verletzung des Schutzes personenbezogener Daten – wurden also beispielsweise Kundendaten entwendet –, so haben Unternehmen nach der Datenschutz-Grundverordnung die Verpflichtung, den Vorfall an die zuständige Datenschutzaufsichtsbehörde zu melden. Darüber hinaus können – je nach abgeschlossenen Verträgen – Informationspflichten gegenüber Geschäftspartnern und Versicherungen bestehen. Eine Strafanzeige lässt sich am einfachsten über die bundesweit eingerichtete Zentrale Ansprechstelle Cybercrime (ZAC) des Bundeskriminalamts und der Landeskriminalämter erledigen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)