Notfallübung und Notfalltest
Notfallübungen und Notfalltests lassen Ihre IT durch das Feuer gehen – natürlich nur simuliert.
Möglicherweise haben Sie bereits einen detaillierten Notfallplan aufgestellt (am besten nach BSI-Standard 100-4 oder 200-4), vielleicht haben Sie zumindest Meldewege etabliert.
Aber grau ist alle Theorie, denn ein ausgearbeiteter Notfallplan kann sich im Ernstfall als völlig ungeeignet erweisen, doch eine Notfallübung oder ein Notfalltest zeigt Schwächen rechtzeitig auf.
Notfallübungen und Notfalltests
Im Rahmen einer Notfallübung werden die organisatorischen Rahmenbedingungen geprüft. Wird der Notfall als solcher erkannt? Können Meldewege eingehalten werden? Kann der Notfall rasch und besonnen behandelt und beendet werden?
Bei einem Notfalltest hingegen geht es um die technische Durchführung. Können Backups problemlos wiederhergestellt werden? Wird rechtzeitig auf den anderen Standort umgeschaltet? Laufen Systeme nach einem Ausfall wieder an?
Ein Beispiel
Damit Sie sich vorstellen können, wie eine Notfallübung abläuft, hier ein Beispiel:
Für ein mittelständisches Industrieunternehmen führt die syret GmbH eine Notfallübung mit Vor- und Nachbereitung durch.
Erfassung der Infrastruktur und Planung des Szenarios für die Notfallübung
Im ersten Schritt erfassen wir die vorhandene Infrastruktur. Dazu gehen wir durch die schriftliche Dokumentation und fragen Unklarheiten, fehlende Angaben und undokumentierte Änderungen in einem persönlichen Gespräch ab.
Anschliessend planen wir unser Szenario und entscheiden uns für folgende Situation: Ein Mitarbeiter im Vertrieb erhält am Samstagnachmittag eine verdächtige E-Mail mit einem Link, der zu diesem Zeitpunkt auf eine harmlose Webseite führt, weswegen die E-Mail nicht durch den Spamfilter abgefangen wird. Nach dem Wochenende liest er Montag früh seine E-Mails und klickt auf den Link, der nun ein Word-Dokument mit einem Verschlüsselungstrojaner enthält. Er öffnet die Datei und deaktiviert den geschützten Modus, woraufhin sämtliche Dateien, auf die er Zugriff hat, verschlüsselt werden und ein in Bitcoin zu bezahlendes Lösegeld in der Höhe von 5.000 USD verlangt wird.
Dieses Szenario wird dem mittelständischen Industrieunternehmen nicht vorher mitgeteilt, sondern stellt sich erst im Rahmen der eigentlichen Notfallübung heraus.
Die eigentliche Notfallübung
Am Tag der eigentlichen Notfallübung begeben wir uns in einen Besprechungsraum vor Ort. Anwesend sind ein Moderator und ein Protokollführer für die syret GmbH sowie der IT-Leiter, seine Stellvertreterin und zwei weitere IT-Mitarbeiter des Industrieunternehmens. Der Moderator gibt das Szenario bekannt: Eine Mitarbeiterin aus dem Einkauf meldet sich beim Support, Word weigert sich, ein wichtiges Dokument zu öffnen und behauptet, es sei beschädigt.
Während ein IT-Mitarbeiter der Frage nachgeht, erfolgen im Minutentakt weitere Anfragen: Das CRM-Tool startet nicht mehr. Zugangsdaten werden als falsch abgelehnt. Es können keine E-Mails mehr versendet werden.
Erst nach einer Stunde stellt sich die Ursache heraus. Der Vertriebsmitarbeiter dachte nicht daran, die Lösegeldforderung unmittelbar an die IT-Abteilung weiterzugeben oder seinen Rechner vom Netzwerk zu trennen. Nachdem nun der infizierte Arbeitsplatzrechner gefunden wurde, kann er vom Netzwerk getrennt und neu eingerichtet werden.
Kurz bevor der Rechner nach erfolgter Neuinstallation wieder in das Netzwerk aufgenommen werden soll, werden Neuinfektionen von anderen Rechnern gemeldet. Im Rahmen der Fehlersuche meldete sich nämlich ein Benutzer mit Administratorenrechten auf dem infizierten Rechner an, woraufhin die Malware diese Zugangsdaten nutzte, um sich bei anderen Rechnern anzumelden und diese ebenfalls zu infizieren.
Erst nach vollständiger Bereinigung erfolgt eine Wiederherstellung aus Backups. Dabei stellt sich heraus, dass zu einer Wiederherstellung vom Nebenstandort ein Passwort notwendig ist, das nur eine Führungskraft kennt, die sich gerade im Urlaub befindet. Erst nach drei Stunden kann sie erreicht und das Passwort durchgegeben werden.
Die notwendigen Interaktionen mit Personen ausserhalb des Raums werden durch den Moderator übernommen, der Protokollführer protokolliert den Verlauf, denn das Protokoll dient als Basis für die Nachbesprechung.
Nachbesprechung der Notfallübung
Im Rahmen der Nachbesprechung regen wir an, Mitarbeiter zu schulen, im Falle von Auffälligkeiten unmittelbar ihren Rechner vom Netzwerk zu trennen und die IT-Abteilung zu verständigen. Spätestens bevor sich ein Administrator auf einem möglicherweise infizierten Rechner anmeldet, soll das Gerät vom Netzwerk getrennt werden. Außerdem soll das zur Wiederherstellung vom Nebenstandort benötigte Passwort weiteren Mitarbeitern bekanntgegeben werden, um auch bei Urlaub oder Krankheit der Führungskraft handlungsfähig zu bleiben.
Natürlich stellen wir das Protokoll der Notfallübung und unsere Handlungsvorschläge auch als schriftlichen Bericht zur Verfügung.