3 Wichtige Sofortmaßnahmen, die du ergreifen musst, wenn Euer IT-Dienstleister gehackt wurde

3 Wichtige Sofortmaßnahmen, die Du ergreifen musst, wenn Euer IT-Dienstleister gehackt wurde

Einleitung

In unserer heutigen digitalen Welt seid ihr als Unternehmen oft auf IT-Dienstleister angewiesen. Sie unterstützen euch mit wertvollen Services wie das Management eures Netzwerks und der IT-Systeme, dem Monitoring und der Konzeption von neuen Systemumgebungen. In fast allen Fällen hat der IT-Dienstleister administrativen Zugriff in euer Netzwerk. Trotz der vielen Vorteile, die diese Zusammenarbeit bietet, sind IT-Dienstleister auch ein potentielles Ziel für Cyber-Angriffe. 

Ein Hack bei eurem IT-Dienstleister kann verheerende Folgen haben, nicht nur für den Dienstleister selbst, sondern auch für euer Unternehmen, das auf dessen Services angewiesen ist. Die Folgen eines solchen Angriffs können von Datenverlusten über finanzielle Schäden bis hin zu Reputationsschäden reichen. Daher ist es von entscheidender Bedeutung, dass Du weißt, wie Du im Falle eines Hacks reagieren solltest, um mögliche Schäden zu minimieren. 

In diesem Artikel möchten wir dir drei wichtige Sofortmaßnahmen vorstellen, die Du ergreifen musst, wenn euer IT-Dienstleister gehackt wurde. Durch die Umsetzung dieser Maßnahmen kannst Du dazu beitragen, das Risiko weiterer Schäden zu reduzieren und die Sicherheit euerer geschäftlichen Daten und Systeme wiederherzustellen. 

Sofortmaßnahme 1: Accounts des Dienstleisters zurücksetzen

Wenn Du erfährst, dass euer IT-Dienstleister gehackt wurde, ist es entscheidend, schnell zu handeln, um mögliche Schäden zu begrenzen. Die erste Sofortmaßnahme, die Du ergreifen solltest, ist das Zurücksetzen aller betroffenen Accounts des Dienstleisters, die Zugriff auf euere Systeme und Daten haben. 

a. Identifizierung betroffener Accounts: Mache dir zunächst einen Überblick über alle Accounts, die von eurem IT-Dienstleister genutzt werden, um auf euere Systeme zuzugreifen. Dazu zählen etwa E-Mail-Accounts, Cloud-Speicher und Administratorenzugänge. Nutze hierfür die Dokumentation in deinen Betriebshandbüchern und Sicherheitskonzepten. 

b. Anforderung der Rücksetzung von Passwörtern und Zugangsdaten: Fordere den IT-Dienstleister auf, umgehend alle Passwörter und Zugangsdaten der betroffenen Accounts zurückzusetzen. Stelle sicher, dass dabei starke, einzigartige Passwörter verwendet werden, um den Schutz vor zukünftigen Angriffen zu erhöhen. 

c. Überprüfung und Aktualisierung von Berechtigungen: Nutze diesen Zeitpunkt, um die Berechtigungen der betroffenen Accounts zu überprüfen und gegebenenfalls anzupassen. Stelle sicher, dass jeder Account nur die notwendigen Zugriffsrechte hat, um seine Aufgaben zu erfüllen, und schränke den Zugang zu sensiblen Daten auf das absolut notwendige Minimum ein. 

Sofortmaßnahme 2: Protokolldateien nach auffälligen Ereignissen durchsuchen und im Blick behalten

Um mögliche Schäden durch den Hack eueres IT-Dienstleisters besser einschätzen und verhindern zu können, ist es wichtig, Protokolldateien euerer Systeme genau zu untersuchen und kontinuierlich zu überwachen. 

a. Sammeln und Analysieren von Protokolldateien: Beginne damit, alle verfügbaren Protokolldateien euerer Systeme anzuschauen. Dazu zählen unter anderem Server-Logs, Firewall-Logs und Anwendungslogs. Analysiere die gesammelten Daten auf verdächtige Aktivitäten, die auf einen unbefugten Zugriff hindeuten könnten. 

b. Identifizierung verdächtiger Aktivitäten und Muster: Achte bei der Durchsicht der Protokolldateien besonders auf auffällige Muster oder Aktivitäten, die auf einen Angriff oder unbefugten Zugriff schließen lassen. Beispiele dafür sind ungewöhnliche Anmeldeversuche, Zugriffe zu unüblichen Zeiten oder auf sensible Daten, sowie unerklärliche Änderungen an Systemeinstellungen. 

c. Kontinuierliches Monitoring zur Früherkennung weiterer Anomalien: Nachdem Du die ersten auffälligen Ereignisse identifiziert hast, ist es entscheidend, die Protokolldateien weiterhin im Blick zu behalten, um frühzeitig auf eventuelle neue Angriffsversuche oder verdächtige Aktivitäten reagieren zu können. Nutze gegebenenfalls automatisierte Tools und Alarme, um dich bei der Überwachung zu unterstützen und effektiv auf potenzielle Bedrohungen zu reagieren. 

Sofortmaßnahme 3: Informationen beim Dienstleister einholen

Nachdem Du die ersten beiden Sofortmaßnahmen umgesetzt hast, ist es wichtig, dich aktiv mit eurem IT-Dienstleister auszutauschen, um weitere Informationen zum Hergang des Hacks und möglichen Auswirkungen auf euer Unternehmen zu erhalten. 

a. Kommunikation mit dem IT-Dienstleister über den Vorfall: Nimm umgehend Kontakt mit eurem IT-Dienstleister auf und informiere dich über die Details des Hacks. Frage nach, welche Systeme oder Dienste betroffen sind und wie der Angriff erkannt wurde. 

b. Anfordern detaillierter Informationen zum Hergang und Ausmaß des Hacks: Bitte den IT-Dienstleister um detaillierte Informationen bezüglich des Hacks, etwa wie die Angreifer Zugang erlangt haben und welche Sicherheitslücken sie möglicherweise ausgenutzt haben. Frage auch nach, ob und inwieweit euer Unternehmen von dem Vorfall betroffen ist und welche Maßnahmen der IT-Dienstleister bereits ergriffen hat, um den Schaden einzudämmen. Lass Dir insbesondere Auskunft darüber geben, ob Daten eures Unternehmens betroffen sind. Handelt es sich hierbei um personenbezogene Daten, muss umgehend eine Meldung an die Datenschutzaufsichtsbehörde erfolgen (https://www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html). Daher nimm unmittelbar Kontakt zu Eurem Datenschutzbeauftragten auf. 

c. Einholen von Empfehlungen für weitere Sicherheitsmaßnahmen: Erkundige dich bei eurem IT-Dienstleister nach Empfehlungen für zusätzliche Sicherheitsmaßnahmen, die Du ergreifen kannst, um euer Unternehmen vor weiteren Angriffen zu schützen. 

Fazit 

In der heutigen, immer stärker vernetzten Welt ist es unerlässlich, sich der Risiken bewusst zu sein, die mit der Zusammenarbeit mit IT-Dienstleistern einhergehen. Ein Cyber-Angriff auf eueren IT-Dienstleister kann schwerwiegende Folgen für euer Unternehmen haben, und es ist entscheidend, schnell und effektiv zu handeln, um weiteren Schaden abzuwenden. 

Die im Artikel vorgestellten Sofortmaßnahmen – das Zurücksetzen der Accounts des Dienstleisters, das Durchsuchen und Überwachen von Protokolldateien, sowie das Einholen von Informationen beim IT-Dienstleister – sind essenzielle Schritte, um in einer solchen Situation die Kontrolle zu bewahren und die Sicherheit euerer Systeme und Daten wiederherzustellen. 

Schnelles Handeln in Kombination mit einer guten Kommunikation und Zusammenarbeit, sowohl mit eurem IT-Dienstleister als auch innerhalb eueres Unternehmens, ist der Schlüssel um die Auswirkungen eines Hacks zu minimieren und langfristig die Sicherheit euerer geschäftlichen Prozesse zu gewährleisten. Es ist wichtig, aus solchen Ereignissen zu lernen und euere Sicherheitsmaßnahmen kontinuierlich zu überprüfen und anzupassen, um euer Unternehmen bestmöglich vor zukünftigen Cyber-Angriffen zu schützen. 

Nachtrag: Für IT-Dienstleister 

Als IT-Dienstleister hast Du eine besondere Bedeutung für die Sicherheit euerer Kundedaten und Systeme übernommen. Daher ist im Falle eines Cyberangriffs euere Kommunikation von herausragender Bedeutung und euer Vorgehen ein Anhaltspunkt für die Reife euerer Organisation. Für dich als IT-Dienstleister ist es unerlässlich, transparent und offen mit eueren Kunden über derartige Vorfälle zu sprechen. Das Verschweigen eines Hacks oder das Zögern, den Vorfall zu kommunizieren, ist keine Option und bringt, bei Bekanntwerden, sehr schlechte Presse und Du büßt euere Reputation ein. Eine offene und transparente Kommunikation stärkt das Vertrauen in die Zusammenarbeit und fördert ein partnerschaftliches Verhältnis, das beiden Seiten zugutekommt. 

Die Einhaltung von gesetzlichen Vorschriften und Branchenstandards, wie zum Beispiel der EU-Datenschutzgrundverordnung (DSGVO), ist ebenfalls von entscheidender Bedeutung. Als IT-Dienstleister musst Du sicherstellen, dass die Anforderungen bezüglich Meldung und Dokumentation von Sicherheitsvorfällen erfüllt werden können, um mögliche Sanktionen und Reputationsverluste zu vermeiden.

Teile diesen Artikel:

Über Generation Secure

Generation Secure kann auf eine 20-jährige Erfahrung in der Beratung und Umsetzung von Sicherheitskonzepten für den Mittelstand zurückgreifen.

Wir haben es uns zur Aufgabe gemacht, das Leben der Informationssicherheitsbeauftragten von Unternehmen so einfach wie möglich zu machen.