Notruf Netz: Hilfe für gehackte Unternehmen
Tatort inspizieren, erste Hilfe leisten, Beweise sichern: Das Incident Response Team der Deutschen Telekom ist zur Stelle, wenn Unternehmen Opfer digitaler Verbrechen werden.
„Sie wurden gehackt. Zahlen Sie 25 Bitcoin oder Ihre Daten sind für immer verloren.“ Cyberattacken auf Unternehmen sind Alltag, Ransomware-Angriffe stellen eine besonders perfide Form dar. Mittels Schadsoftware verschlüsseln Kriminelle Firmendaten und erpressen Lösegeld für deren Freigabe. Bedeutet: Die IT und oft das gesamte Geschäft liegen lahm. Was tun in der Not?
Bei einem Verdacht, dass Dritte in die IT-Systeme eingebrochen sein könnten, leistet das Incident Response Team der Deutschen Telekom Soforthilfe. Die Spezialisten und Spezialistinnen betreuen Kunden im gesamten deutschsprachigen Raum. Sie sind sehr vielseitig und flexibel, denn ihr Tätigkeitsfeld geht über das eines IT-Forensikers hinaus.
Polizei fürs Digitale
Der erste Schritt der Helfenden besteht im Notfall häufig darin, den Zugang zum Internet zu kappen, um die Kommunikation mit den Angreifern zu stoppen. „Wenn wir gerufen werden, befindet sich der Angriff meist schon in einem späten Stadium. Sinnbildlich: Das Haus brennt, die Kinder sind entführt, das Eigentum ist geklaut“, erklärt Malte Fiedler, Leiter Incident Response.
Schritt für Schritt machen sich die Cybersecurity-Profis ans Werk: Sie widmen sich der Forensik, analysieren digitale Fuß- und Fingerabdrücke, rekonstruieren den Einbruch und Angriff, unterstützen bei der Beseitigung von Schadsoftware und der Wiederherstellung des Betriebs. „Im Prinzip sind wir auf das spezialisiert, was auch die Polizei an einem Tatort tun würde – abriegeln, Beweise sichern, Befragungen anstellen, ein Täterprofil erstellen und letztlich Ratschläge geben.“
Im Krisenfall zählt Vorbereitung
Hundertprozentigen Schutz vor Cyberangriffen gibt es nicht, weiß Malte Fiedler. Doch nicht selten hat die Technik Alarm geschlagen – schlecht geschultes oder überlastetes Personal die Warnungen allerdings missachtet. Das größte Hindernis bei der Arbeit der IT-Fachleute ist aber in der Regel eine ungenügende Vorbereitung der Unternehmen. Notfallpläne?Krisenübungen? Bei vielen Betroffenen Fehlanzeige.
Malte Fiedler und sein Team helfen, Krisenübungen zu organisieren, simulieren auf Kundenwunsch Angriffe. „Es ist wichtig, für den Ernstfall gewappnet zu sein. Wie erkenne ich einen Angriff? Wie reagiere ich? Wen muss ich einbinden? Im Idealfall existiert im Unternehmen ein Notfallhandbuch, das die nötigen Antworten liefert.“
Reaktionsfähig zu sein, könne beispielsweise auch heißen, dass man Log-Daten in ausreichender Menge vorliegen hat, so dass sich herausfinden lässt, was in den Tagen und Wochen vor dem Angriff passiert ist. Die gute Vorbereitung zahlt sich aus, denn die Schäden von Cyber-Attacken liegen schnell im sechsstelligen Bereich bis hin zu zweistelligen Millionenbeträgen.
Vor Ort, von überall und im Labor
Je nach Schwere des Sicherheitsvorfalls oder der Komplexität der Ausgangslage arbeiten die IT-Profis der Telekom remote oder direkt vor Ort bei der Kundschaft. Die forensische Analyse, wie das Untersuchen von Server-Kopien auf Anomalien, erfolgt in eigenen Laboren. Dort widmet sich das Team auch zeitlich unkritischen Aufträgen. „Das kann zum Beispiel sein, dass uns ein Kunde oder eine Kundin einen Laptop zugeschickt und uns bittet, diesen auf Schadsoftware oder Manipulation hin zu untersuchen“, sagt Malte Fiedler. Eins ist sicher: Der Bedarf wächst und somit wird auch das Incident Response Team der Telekom Security weiterwachsen.
