Reinheimer-Info: Die Notfallkarte im Detail und der 12-Punkte-Plan für den Desaster-Fall
Das BSI hat die Notfallkarte in Kooperation mit Bundeskriminalamt, Charter of Trust, DIHK, eco, der Initiative Wirtschaftsschutz, NIFIS und VOICE entwickelt. „Sie sollte ähnlich wie Anweisungen zur Ersten Hilfe oder für den Fall eines Brandes im Betrieb ausgehängt werden, damit im Angriffsfall alle, die es angeht, wissen, was sie tun müssen. Jede Zeitverzögerung kann den Schaden vergrößern“, so EDV-Fachmann Pascal Reinheimer, Region Rhein-Main.
Auf der Karte finden sich kurze, schnell erfassbare Handlungsanweisungen:
- Welche IT-Notfallrufnummer sollen Mitarbeiter im Ernstfall rufen?
- Welches IT-System ist betroffen?
- Wie haben Sie mit dem IT-System gearbeitet? Was haben Sie beobachtet?
- Wann ist das Ereignis eingetreten?
- Wo befindet sich das betroffene IT-System? (Gebäude, Raum, Arbeitsplatz)
Unter diesem kurzen Fragenkatalog finden sich Verhaltenshinweise. „Natürlich“, so Computer-Dienstleister Pascal Reinheimer, „muss die Arbeit an einem möglicherweise mit Ransom-Ware infizierten IT-System sofort eingestellt werden. Hilfreich für die Analyse des Problems durch einen Systemadministrator ist es auch, wenn Mitarbeiter ihre Beobachtungen genau dokumentieren. Wichtig sind auch genaue Ortsangaben, damit der Admin einschätzen kann, wo die Fehlerquelle genau liegt.“
Die Notfall-Karte kann auf der Webpräsenz der Allianz für Cybersicherheit des BSI downgeloadet werden.
Speziell an Admins und IT-Verantwortliche in KMU richtet die Allianz ihre TOP 12-Maßnahmen nach Cyberangriffen. Es handelt sich dabei um einen Fragenkatalog, der einer Checkliste gleichkommt – beispielsweise:
- „Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyber-Angriff oder lediglich um einen technischen Defekt handelt?“
- „Wurden System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?“
- „Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt?“
- „Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden?“
- „Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt?“