War-Room

Wenn ihr Netzwerk, Active Directory o.ä. kompromittiert sind, dann befinden Sie sich in einem Art "Informationskrieg" mit Gegner. Um die Gegenwehr zu koordinieren, ist eine effektive Kommunikation zwischen allen beteiligten "Streitkräften" erforderlich. Statt Heer, Marine, Luftwaffe sprechen wir dann natürlich von Windows, Unix, Netzwerk/Firewall, Hardware, Juristen/Datenschutz, Geschäftsführer-Gruppen. Selbst zu Corona-Zeiten haben betroffene Firmen in der Situation einen War-Room eingerichtet.

1: a room where battles are planned that is equipped with maps, computers, etc.
2: a room where people meet and exchange plans, ideas, information, etc., in an active way
https://www.britannica.com/dictionary/war-room

Auch wenn Sie aktuell nicht betroffen sind können Sie schon Vorarbeiten für den Fall eines Falles leisten.

Diese Seite ist nie fertig und mit jedem Einsatz lernen wir alle dazu.

Raum und Kommunikation

Es mag komisch klingen aber sie sollten einen halbwegs ordentlich eingerichteten Raum vorsehen, in dem das Team halbwegs ungestört arbeiten kann. Das kann eigentlich jeder Raum sein, aber wenn Sie den Ort entsprechend präparieren wollen, dann sollten Sie schon einen bestimmten Raum vorsehen.

Stellen Sie sich den GAU vor, dass ihr Active Directory heruntergefahren und die externen Netzwerkverbindungen unterbrochen wurden. Dann sollten Sie in dem Raum einen halbwegs tauglichen Mobilfunkempfang haben, was gegen einen Keller spricht. Für Recherchen aber auch den Download von Updates, Virenscannerpatterns etc. sollten Sie überlegen, ob dieser Raum vielleicht einen "Consumer-DSL-Anschluss bekommt oder sie eine dedizierte Netzwerkdose zu ihrer Firewall legen, die dann nur noch dieses Netzwerk per NAT nach extern kommunizieren lässt.

Denken Sie auch daran, dass mehrere Personen viele Stunden dort verbringen werden und vielleicht alle anderen Mitarbeiter der Firma für einige Tage "zuhause" sind. Sorgen Sie für ein kleines Büromateriallager mit Papier, Whiteboard, Flipcharts etc.

Wenn Sie ihr komplettes Hausnetzwerk heruntergefahren haben, um eine Verbreitung zu unterbinden, dann wäre ein Switch mit einigen Patchkabeln in dem Raum samt Accesspoint eine gute Basis, damit Sie arbeitsfähig sind. Wenn Sie einen "Internetzugriff" über einen DSL-Router oder als "Nebenweg" über ihre Firewall haben, dann könnte auch SIP-Telefone nützlich sein, die einen Cloud-Service nutzen. Vielleicht können Sie ja mit ihrem TK-Provider hier eine Vereinbarung treffen, alle Anruf umzuleiten.

Denken Sie vielleicht auch daran, einen Drucker vorzuhalten. Manchmal ist die klassische "Liste" der Server zum Abhaken am effektivsten. Es könnte ja sein, dass die gerade gar kein Netzwerk haben und Collaboration ist dann knifflig.

Umgebung

Mit dem Raum alleine ist es nicht getan. Sehr schnell sind einige Stunden vergangen, in der Mitarbeiter und Dienstleister konzentriert arbeiten. Denken Sie aber daran, dass Menschen auch Pausen brauchen. Das kann ein Spaziergang um den Block sein oder auch einfach nur ein Raumwechsel weg von dem Telefongebimmel, Tastaturklappern und dauernden Gesprächen. Etwas Ruhe mit der Gelegenheit etwas zu Trinken und zu Essen sind kein Luxus. Vielleicht sind es nur ein paar Müsliriegel, die notfalls auch ein Taxi besorgen kann.

Irgendwann ist aber auch die maximale Arbeitszeit überschritten, die Mitarbeiter in der Firma verbinden sollten. Vermutlich wird niemand nach 12 Stunden sprichwörtlich den Hammer fallen lassen aber wenn jemand dann bis spät in die Nacht dabei war, dann sollte er nicht mehr selbst nach Hause fahren. Das Unfallrisiko ist einfach zu hoch. Bei der Lösung dieser Probleme sind es letztlich die Menschen und deren Wissen und nicht die Computer mit Software, die den aktiven Part übernehmen. Rechnen Sie vielleicht auch damit, dass jemand der Belastung nicht standhält und einen medizinischen Notfall erleidet. Achten Sie aufeinander.

Denken Sie auch an den Wachschutz, der vielleicht auch spät abends noch Besucher hereinlassen muss. Er sollte gerade nicht die Alarmanlage überall scharf machen und es ist unglücklich, wenn der Spezialist an der Pforte nicht reinkommen, weil der Werkschutz gerade seine Runde über das Werksgelände dreht. Das ist alles schon passiert.

Dokumentation und Listen

Kommen wir wieder zurück zur Technik. Stellen Sie sich einfach mal vor, dass Sie mittlerweile alle Domaincontroller verloren oder heruntergefahren haben oder der vorhandene Dateiserver verschlüsselt wurde. Auf was haben Sie dann noch Zugriff? Ich wäre manchmal schon froh, wenn etwas mehr Dokumentation erstellt wird, als ich im täglichen Betrieb sehe. Für den Notfall ist es aber wichtig, dass die Dokumentation auch in diesem Fall verfügbar ist. Lagern Sie immer eine Kopie auf einem Speicher, der vielleicht extern liegt. Das kann ein OneDrive, ein NAS, ein Azure DevOps- oder GitHub-Repository sein, indem eine Versionierung ein Löschen oder überschreiben verhindert.

Wenn Sie so einen Speicher haben, dann müssen Sie natürlich im Notfall auch den Zugriff darauf möglich machen. Bei externen Diensten brauchen Sie "Internet", womit wir wieder beim Kapitel "Kommunikation" sind. Aber sie müssen auch überlegen, welche Dokumentationen dort abgelegt werden müssen. Es mag trivial klingen aber schauen Sie sich selbst im Spiegel an und fragen Sie sich

  • Notfall-Listen
    Wenn Sie diese Seite durchgelesen haben, dann werden Sie vielleicht erste Checklisten anlegen, was wann zu tun ist. Diese Listen müssen Sie im Zugriff haben.
  • Kontaktdaten
    Das können in der ersten Stufe die Geschäftsführung, Juristen, Datenschutzbeauftragte, Cyber-Versicherung, Administratoren aber auch Dienstleister sein. Irgendwann später werden Sie aber auch Abteilungsleiter und eventuell jeden einzelnen Mitarbeiter anrufen müssen, um z.B. ein neues Startkennwort zu übermitteln. Manchmal reicht auch eine SMS mit dem Hinweis, dass eine Meldung auf der Homepage hinterlegt ist. Denken Sie daran: Mail dürfte auch nicht mehr funktionieren.
  • Eskalation in beide Richtungen
    Auch die Information über Dienstleister und deren Zugänge ist wichtig, um diese einzubinden. Denken Sie auch an Kunden, die mit ihnen per VPN oder WAN verbunden sind. Selbst wenn Sie die Verbindungen umgehend gekappt haben, kann der Angreifer schon weiter gewandert sein
  • Server und IP-Adressen
    Sie glauben gar nicht, wie viele Administratoren sich auf ihre DNS-Dienste verlassen, die dann leider nicht mehr da sind. Es sind ja nicht nur Server sondern vielleicht auch Storage-Systeme u.a. deren Adressen Sie für direkte Zugriffe kennen müssen
  • Netzwerkpläne, Subnetze, DHCP-Einstellungen, VLANs
    Kaum eine Firma hat heute noch "ein Subnetz", sondern betreiben viele Netzwerke, teils per VLAN auf dem Kabel separiert. Ich hoffe ihre Listen und Patchbezeichnungen sind aktuell, damit sie die richtigen Server und Verbindungen kappen.
    Testfrage: Wüssten Sie auf Anhieb, welches Kabel sie ziehen müssen, um die externe Verbindung zum Internet oder auch zu Partnern zu kappen?
  • Zugangsdaten
    Wenn sie schlau sind, dann haben Sie für jedes System nicht nur die "Domainzugänge" sondern auch lokale Zugangsdaten, die ohne Active Directory, Radius, LDAP o.ä. funktionieren.
  • Bitlocker-Schlüssel
    Schön, wenn Sie alle Server verschlüsselt haben. Wenn Sie nun aber "offline" mit einer Software die Server auf Malware prüfen und ggfls. sichern oder reparieren wollen, dann brauchen Sie die Bitlocker-Keys. Das eigentliche Betriebssystem ist vielleicht nicht mehr bootfähig oder nicht vertrauenswürdig. Wer seine Schlüssel ins Active Directory "sichern" lässt, ist gut damit beraten, diese Werte zyklisch zu exportieren und im AD vielleicht zu entfernen. Siehe auch Get-BitlockerReport
  • LAPS-Kennworte
    Gleiches gilt für die "Lokalen Admin-Kennworte", die sie so einfach per LAPS regelmäßig ändern lassen können und im AD hinterlegen. Besser wäre es, diese Daten zu exportieren und einem Angreifer dann nicht über das AD bereit zu stellen.
  • Zugang für die externe Webseite
    Irgendwann müssen Sie Kunden, Mitarbeiter und die Öffentlichkeit informieren. Natürlich muss so eine Meldung mit dem Juristen abgestimmt sein, aber unbemerkt bleibt ihr Aussetzer sicher nicht.

 

 

Ich führe die Liste gerne weiter. Ich bin aber sicher, dass ich sicher noch nicht alle Aspekte beschrieben habe. Jede Firma ist hier auch Individuell. Für das erste bin ich froh, dass Sie vielleicht sich nun einmal Gedanken über dieses leider allzu realistische Szenario machen.

Weitere Links