Ein unvorhersehbares Ereignis mit weitreichenden Folgen
Im Jahr 2023 traf ein verheerender Cyberangriff die Südwestfalen-IT (SIT), einen IT-Dienstleister, der über 100 Kommunen in Nordrhein-Westfalen unterstützt. Dieser Vorfall – gekennzeichnet durch die Kompromittierung von IT-Systemen – führte zu einem beispiellosen Ausfall von kommunalen Diensten. Viele Bürger standen vor verschlossenen Amtstüren. Besonders besorgniserregend war, dass die Hacker-Gruppe Akira Passwörter erriet, ohne dass eine Zwei-Faktor-Authentifizierung (2FA) vorhanden war. Ein weiterer bedenklicher Umstand ist, dass laut der IHK-Digitalisierungsumfrage 2022 nur 40 % der befragten Unternehmen über einen IT-Notfallplan verfügen. Die Leichtigkeit, mit der Unternehmen oder Institutionen überwältigt werden können, und die anschließende Unsicherheit über das richtige Vorgehen sind keine vertrauenserweckenden Aussichten.
Die Auswirkungen des Angriffs
Der Angriff auf die Südwestfalen-IT legte wichtige öffentliche Dienste wie Bürgerbüros, Passstellen und Zulassungsstellen lahm. Viele Kommunen waren gezwungen, zu traditionellen Methoden wie Papier und Stift zurückzukehren. Die Unsicherheit über den Stand der Datensicherungen und die Möglichkeit, dass auch Backups kompromittiert waren, fügte weitere Komplexität hinzu. Die SIT hat nun zahlreiche Optimierungen eingeleitet. Die Frage ist aber, was können die Kommunen nun tun? Gibt es 100 % Sicherheit? Nein. Neue Sicherheitssysteme sind gleichzeitig auch neue Herausforderungen für Hacker. Zwar konnten einige Dienstleistungen in den betroffenen Kommunen ohne IT-Unterstützung fortgeführt werden, andere mussten komplett eingestellt werden.
Entscheidend ist die Frage, ob ein Notfallplan existiert und wie aktuell und effektiv er ist. In einer Zeit, in der IT-Mitarbeiter lediglich ausgedruckte Notfallpläne in der Schublade aufbewahren, sollte niemand mehr zu diesen veralteten Methoden zurückkehren wollen. IT-Notfälle durchdringen heute nahezu die gesamte Organisation. Um im schlimmsten Fall handlungsfähig zu sein, bieten sich integrierte Managementsysteme an, um die Auswirkungen des Angriffs zu bewältigen bzw. erst einmal zu verstehen.
Wie wäre es mit einem Managementsystem und Notfallplan abgelaufen?
Managementsysteme wie GRASP sind keine Cybersecurity-Systeme, helfen Unternehmen jedoch dabei, schnell und effizient auf Cyberangriffe zu reagieren. GRC- und IRM-Lösungen wie GRASP nehmen Risikobewertungen vor und helfen bei der Berichterstattung und Kommunikation. Die wahre Stärke liegt allerdings im Notfallmanagement (Incident Management). Incident Management in Unternehmen zielt darauf ab, im Falle eines Angriffs jedem Beteiligten strukturiert mitzuteilen, was bis wann von wem zu tun ist. Im Idealfall kann so der Normalbetrieb wiederhergestellt und die Geschäftsausfälle minimiert werden. Durch die Klassifizierung und Priorisierung von Vorfällen und den Einsatz standardisierter Prozesse wird die Reaktionsfähigkeit und Effizienz im Umgang mit IT-Problemen verbessert. GRASP dokumentiert alle Schritte sicher und entspricht wichtigen Sicherheitsstandards. Durch diese organisierte und automatisierte Vorgehensweise wird die Sicherheit verbessert und die negativen Folgen von Cyberangriffen können deutlich verringert werden.
Fazit
Der Cyberangriff auf die Südwestfalen-IT ist ein deutliches Beispiel dafür, wie verwundbar digitale Infrastrukturen sein können. Er zeigt die Notwendigkeit für Kommunen, in robuste Sicherheitssysteme und Notfallplanungen zu investieren. Ein integriertes Managementsystem wie GRASP kann dabei eine entscheidende Rolle spielen.
Fordern Sie jetzt eine Demo von GRASP an:
Was ist im Falle des Falles zu tun?
1. Information und Geschwindigkeit sind jetzt enorm wichtig!
2. Möglichkeiten einen Vorfall zu melden müssen gegeben sein (Persönlich, Mail, Teams, Telefon, IT Ticket, IMS – Vorfallsmanagement)
3. Einbindung des Informationssicherheitsbeauftragten
4. Information an alle Beteiligten und Betroffenen
5. Das Management informieren
6. Information an alle Mitarbeiter, ggf. Lieferanten, Behörden?
Notfallmanagement mit GRASP im Falle eines Cyberangriffs
Phase 1: Analyse
Bei einem Cyberangriff wird zuerst der Schaden identifiziert, dann die betroffenen Systeme isoliert, um eine Ausbreitung zu verhindern. Gleichzeitig informiert man die Belegschaft, damit alle angemessen reagieren können. Dies hilft, den Schaden zu begrenzen und schnell zu handeln.
Phase 2: Überbrückung
Im nächsten Schritt können betroffene Systeme, wie zB das für Bestellannahmen, abgeschaltet und Bestellungen manuell aufgenommen werden. Gleichzeitig ermöglicht eine Sandbox – ein isoliertes Testumfeld – die sichere Analyse verdächtiger Aktivitäten, ohne das Hauptsystem zu beeinträchtigen.
Phase 3: Reparatur
In der nächsten Phase ist es wichtig, Schutzmaßnahmen zu überprüfen und Sicherheitslücken zu schließen. Schadsoftware muss vollständig eliminiert werden. Anschließend wird das System wiederhergestellt, um den normalen Betrieb sicherzustellen. Diese Schritte sind entscheidend, um die Sicherheit zu gewährleisten und zukünftige Angriffe zu verhindern.
Phase 4: Wiederanlauf
Nach einem Cyberangriff beginnt die Wiederherstellung mit einem Test, um zu prüfen, ob die Systeme und Server wieder korrekt funktionieren. Dabei wird der Status Quo erfasst. Nach erfolgreichen Tests wird das System wieder in Betrieb genommen. Parallel dazu ist die Mitarbeitersensibilisierung wichtig, um das Bewusstsein für Sicherheitsrisiken zu schärfen und zukünftige Vorfälle zu vermeiden.
Phase 5: Nachbearbeitung
In der nächsten Phase sollten manuelle Belege, die während der Systemausfallzeit entstanden sind, ins System nacherfasst werden. „Status Quo sichern“ bezieht sich auf die Sicherstellung der aktuellen Systemzustände, was durch eine umfassende Dokumentation und das Anlegen von Backups erreicht wird. Dies bedeutet, dass alle relevanten Daten und Konfigurationen gesichert werden, um im Falle weiterer Probleme auf einen bekannten und stabilen Zustand zurückgreifen zu können.
Phase 6: Berichterstattung
Abschließend ist es wichtig, alle Betroffenen umfassend zu informieren. Weiterhin sollten alle ergriffenen Maßnahmen sorgfältig archiviert werden. Neue Maßnahmen, wie zum Beispiel aktualisierte Mitarbeiterrichtlinien, sollten konsequent verfolgt und protokolliert werden, um deren Umsetzung und Effektivität zu gewährleisten und die Sicherheitslage kontinuierlich zu verbessern – und sie im Falle des nächsten Sicherheitsvorfalls wieder einsetzen zu können.
