Die Allianz für Cybersicherheit hat ein 1-seitiges Merkblatt mit den 12 wichtigsten Punkten zur Bewältigung eines Cybersicherheitsvorfalls veröffentlicht. Es richtet sich hauptsächlich an IT-Verantwortliche in kleinen und mittleren Unternehmen, isr aber auch für DV-Koordinierende in den Organisationseinheiten der TU Braunschweig hilfreich.
Bitte informieren Sie bei Cybersicherheitsvorfällen immer den CIO der TU Braunschweig und das Gauß-IT-Zentrum unter informationssicherheit(at)tu-braunschweig.de oder über den IT-Service-Desk unter der Telefonnummer (0531-391-) 55555.
Download des Merkblatts: Top-12-Maßnahmen
Die Bewältigung eines Cyber-Angriffs ist stets individuell und Maßnahmen müssen auf die Gegebenheiten der IT-Infrastruktur vor Ort, die Art des Angriffs und die Zielsetzungen der Organisation angepasst werden. Die in den 12 als Fragen formulierten Punkten implizierten Maßnahmen dienen als Impuls und Hilfestellung bei der individuellen Bewältigung. Das Dokument richtet sich an IT-Verantwortliche und Administratoren, in erster Linie in kleinen und mittelständischen Unternehmen.
Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyber-Angriff oder lediglich um einen technischen Defekt handelt?
Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortlichen kommuniziert?
Wurden System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt?
Wurden betroffene Systeme vom Netzwerk getrennt?
Wurden Internetverbindungen zu den betroffenen Systemen getrennt?
Wurden alle unautorisierten Zugriffe unterbunden?
Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt?
Wurden Maßnahmen unternommen, um das gesamte Maß der Ausbreitung festzustellen?Wurden alle angegriffenen Systeme identifiziert?
Wurden die beim Cyber-Angriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-)Prozessen durch relevante Maßnahmen adressiert und behoben?
Wurden, nach Abstimmung, die Polizei oder relevante Behörden (Datenschutz, Meldepflich-ten, etc.) benachrichtigt?
Wurden die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und ggf. private) Accounts überprüft (z.B. neue Passwörter, 2FA)?
Wird das Netzwerk nach dem Vorfall weiter überwacht, um mögliche erneute Anomalien festzustellen?
Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?