Die Folgen eines Cyberangriffs – was kommt nach dem Wiederanlauf?

PrintMailRate-it

​​​​​​veröffentlicht am 17​. Mai 2024 | Lesedauer ca. 3 Minuten

Die unmittelbaren Folgen eines Cyberangriffs sind den meisten Verantwortlichen bewusst: Je nach Erfolg des Angriffs gibt es einen Datenverlust, Betriebsunterbrechungen und hohe finanzielle Kosten für Forensik und Wiederherstellung des Normalbetriebs. Doch was kommt, wenn die Systeme wieder laufen?


 

Auch wenn im Rahmen des Business Continuity Managements (BCM) und Informationssicherheitsmanagementsystems-Aufbau (ISMS) bereits zahlreiche Maßnahmen zum Schutz vor Cyberangriffen unternommen wurden, lässt sich ein erfolgreicher Angriff leider nicht vollständig ausschließen. Wie schwerwiegend ein Angriff ist, hängt von verschiedenen Faktoren ab, z.B. Erfahrung des Angreifers, vorhandene Sicherung des Netzwerks oder der Systeme und die Zeit bis zur Entdeckung des Angriffs.

 

Zu den ersten Maßnahmen nach der Entdeckung eines Angriffs gehört neben der Trennung der Internetverbindung, der Isolierung der Systeme und der Benachrichtigung des BKA und des BSI auch die Benachrichtigung der Cyberversicherung sowie die Aktivierung der Forensik-Experten, sofern für beides entsprechende Verträge abgeschlossen wurden. Oftmals ist das Forensik-Team auch Teil der Cyberversicherung, sodass keine separate Aktivierung erfolgen muss.

 

Zu diesem Zeitpunkt verliert man als Unternehmen in gewissem Umfang die Kontrolle über seine Systeme und kann nicht mehr frei entscheiden.

 
Erst nach Abschluss der forensischen Maßnahmen kann mit dem Wiederanlauf und Rückkehr in den Normalbetrieb der IT-Umgebung begonnen werden. Bis dahin können mehrere Wochen vergangen sein, denn es ist wichtig zu ermitteln:
  • Welche Schwachstellen wurden ausgenutzt?
  • Auf welche Systeme hatte der Angreifer Zugriff?
  • Was ist dort geschehen?
  • Wie ging der Angreifer vor?
  • Wurden z.B. Datenbanken oder konkrete Daten entwendet oder manipuliert?

Je nach Ausmaß bestehen unterschiedliche Meldepflichten oder Auswirkungen auf die Geschäftstätigkeit. Eine Manipulation am ERP-System (z.B. SAP) kann dazu führen, dass ausführliche Tiefenprüfungen durchgeführt werden müssen, um die Ordnungsmäßigkeit der Buchführung nach dem Cyberangriff sicherstellen zu können.

 
Aber auch wenn keine Manipulation an rechnungslegungsrelevanten Systemen erfolgte: Sofern das System während des Notbetriebs nicht genutzt werden konnte, mussten – abhängig von der Dauer des Notbetriebs – Alternativprozesse zur Sicherstellung des Geschäftsbetriebs aktiviert werden. Hierzu kann beispielsweise die Bezahlung von Rechnungen direkt über das Bankkonto oder die Bestellung ohne Beteiligung der Materialwirtschaft zählen. Diese Vorgänge erfolgen während des Notbetriebs außerhalb der Finanzbuchhaltung. Es ist jedoch erforderlich, dass alle entsprechenden Vorgänge und Transaktionen zwingend zeitnah im System nacherfasst und verbucht werden, sobald das ERP-System wieder zur Verfügung steht. Eine nachvollziehbare Dokumentation mit klaren Anweisungen für alle Mitarbeitenden (Geschäftsfortführungsplan) sind hierfür eine Grundvoraussetzung. Die Mitarbeitenden müssen in den Notfallplänen geschult werden, damit sie genau wissen, was sie konkret zu tun haben und der Geschäftsbetrieb trotz dieser Herausforderung aufrechterhalten werden kann.
 
Sofern es zu einer Manipulation von rechnungslegungsrelevanten Systemen kam, muss genau nachvollzogen werden, welche Stammdaten manipuliert oder welche Geschäftsvorfälle erfasst wurden. Bei einer Manipulation direkt auf der Datenbankebene gibt es meist nur begrenzte Möglichkeiten diese nachzuvollziehen. Ein Abgleich mit dem Stand der letzten Datensicherung vor dem Angriff kann eine effektive Methode dafür sein. Voraussetzung hierfür ist, dass regelmäßige Backups durchgeführt werden. Ebenso kann eine geeignete IT-Notfallvorsorge in Form von sogenannten Audit-Protokollen bei der Aufklärung im Nachhinein helfen, den letzten manipulationsfreien Stand zu ermitteln. Je nachdem wieviel Zeit dazwischen vergangen ist, können die Analysen extrem aufwendig sein.
 
Sofern ein System verschlüsselt wurde und eine Entschlüsselung nicht möglich ist, muss es aus einem Backup wiederhergestellt werden. Dadurch gehen i.d.R. einige Stunden, in manchen Fällen auch Tage, an Daten verloren, sodass verbundene Systeme einen unterschiedlichen Datenstand aufweisen. Es benötigt daher für jede Schnittstelle ein Konzept, wie überprüft werden kann, welche Daten aus dem angebundenen System übergeben wurden und welche Daten im Zielsystem vorhanden sind. Das Delta dazwischen stellt eine Abweichung dar, die behoben werden muss.
 
Der Wirtschaftsprüfer sollte daher frühzeitig informiert und in das Notfallbewältigungsteam aufgenommen werden, damit die Einhaltung der Anforderungen an die Ordnungsmäßigkeit der Buchführung auch bei einem Cybervorfall gewährleistet werden kann. Bei nicht nachvollziehbarer Dokumentation droht ansonsten die Gefahr, dass der Jahresabschluss nicht testiert werden kann.

AUTOREN

Jürgen Schwestka
Tino Schwabe


Aus dem Themenspecial

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Unternehmer-briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu