War-Room
Wenn ihr Netzwerk, Active Directory o.ä. kompromittiert sind, dann befinden Sie sich in einem Art "Informationskrieg" mit unbekantem Gegner. Um die Gegenwehr zu koordinieren, ist eine effektive Kommunikation zwischen allen beteiligten "Streitkräften" erforderlich. Statt Heer, Marine, Luftwaffe sprechen wir dann natürlich von Windows-, Unix-, Netzwerk/Firewall-, Hardware-, Juristen/Datenschutz- und Geschäftsführer-Gruppen.
1: a room where battles are planned that is equipped with
maps, computers, etc.
2: a room where people meet and exchange plans, ideas, information, etc., in an
active way
https://www.britannica.com/dictionary/war-room
Auch wenn Sie aktuell nicht betroffen sind können Sie schon Vorarbeiten für den Fall eines Falles leisten.
Diese Seite ist nie fertig und mit jedem Einsatz lernen wir alle dazu.
GAU - größter anzunehmender Unfall
Es muss nicht immer der eine "größte anzunehmende Unfall" sein. Manchmal reichen auch Teilstörungen die dennoch an die Substanz eines Unternehmens gehen können. Und sie sollten theoretisch auch einmal durchspielen, wie sie reagieren und sich vorbereiten können. Aus meiner "Windows/Microsoft-Sichtweise" ist ein sehr großer Störfall gegeben, wenn z.B. ein Softwarefehler, Bedienfehler oder auch ein Angreifer das Active Directory unbrauchbar macht. Vielleicht ist es "nur" kompromittiert und ein noch unbekannte Angreifer hat privilegierte Berechtigungen oder ihre Daten wurden schon verschlüsselt oder es passiert gerade. Wir gehen also davon aus, dass Sie eine "Notabschaltung" durchgesetzt haben bei alle Server entweder heruntergefahren, ausgeschaltet oder zumindest isoliert wurden. Dazu zählen auch die externen Verbindungen über Firewalls und Router. Es ist also sehr leise in ihrem Rechenzentrum geworden aber das hält nur kurz an.
Und nun überlegen wir einmal, wo die Fachleute nun gemeinsam den Wiederanlauf planen. Das wird vermutlich nicht an ihrem Arbeitsplatz sein, denn ohne Netzwerk und Verzeichnisdienste wird auch ihr Desktop, ihre VoIP-Telefonanlage nicht funktionieren, wenn Sie denn überhaupt noch die Türschließanlage überwinden können.
Raum und Kommunikation
Das ist der Moment, wo sie über einen Raum nachdenken sollten, in dem Sie schnell wieder arbeits.fähig werden. Das kann eigentlich jeder Raum sein, aber wenn Sie den Ort entsprechend präparieren wollen, dann sollten Sie schon einen bestimmten Raum vorsehen.
| Prüfpunkt | Erledigt |
|---|---|
RaumlocationEs ist erschreckend, wie viele IT-Abteilungen neben dem Serverraum im Kellergeschoß platziert werden. Ohne Internet werden Sie dort aber auch keinen UMTS/LTE/5G-Empfang haben, den Sie zur Kommunikation brauchen. Vielleicht sollte der Raum doch besser in einer "freundlichen" Umgebung mit Tageslicht sein, in den aber auch externe Personen problemlos Zugang haben können. |
 |
RaumzugangEs klingt vielleicht suspekt aber stellen Sie sicher, dass die Personen wissen, welcher Raum es ist und wie sie dort hinkommen. RFID-Leser funktioniere vielleicht nicht, mehr, wenn das Netzwerk gestört ist. Denken Sie auch an den Wachschutz, der vielleicht auch spät abends noch Besucher hereinlassen muss. Er sollte gerade nicht die Alarmanlage überall scharf machen und es ist unglücklich, wenn der Spezialist an der Pforte nicht reinkommen, weil der Werkschutz gerade seine Runde über das Werksgelände dreht. Das ist alles schon passiert. |
|
Catering / PausenbereichMit dem Raum alleine ist es nicht getan. Sehr schnell sind einige Stunden vergangen, in der Mitarbeiter und Dienstleister konzentriert arbeiten. Denken Sie aber daran, dass Menschen auch Pausen brauchen. Das kann ein Spaziergang um den Block sein oder auch einfach nur ein Raumwechsel weg von dem Telefongebimmel, Tastaturklappern und dauernden Gesprächen. Wenn der Ausfall, wie so oft, an Karfreitag, Heiligabend, 1. Mail oder einem Freitag erfolgt, dann sollte Wasser und "Brainfood" nicht ihr Problem sein. Räume beim Vorstand sind meist besser "versorgt" als die Teambesprechungsräume. Etwas Ruhe mit der Gelegenheit etwas zu Trinken und zu Essen sind kein Luxus. Vielleicht sind es nur ein paar Müsliriegel oder Pizzataschen, die notfalls auch ein Taxifahrer besorgen kann. |
|
KommunikationHaben Sie sich überlegt, wie sie aktuelle Malwarescanner, Tools o.ä. herunterladen wollen, wenn ihr Netzwerk und ihre Firewall "offline" ist oder wie externe Hilfe Sie z.B. per Teamviewer unterstützen soll? Was hindert Sie daran, einen "ConsumerDSL"-Anschluss vorbei an ihrer Firewall oder Telefontechnik in diesen Raum legen zu lassen. Er kann im Regelbetrieb einfach in Labore u.a. weitergeleitet werden, um Testszenarien wie VPN, Homeoffice etc. nachzustellen aber im Moment eines GAU wird er unbezahlbar. Insbesondere, wenn Sie noch zwei analoge Telefone und einen kleinen WLAN-AccessPoint bereitstellen können. Vielleicht können Sie ja mit ihrem TK-Provider hier eine Vereinbarung treffen, eingehende Anruf auf diese Nummern umzuleiten. |
|
AusstattungWir leben in einer digitalen Welt aber die ist vielleicht gerade nicht da. Aber selbst wenn, sind Whiteboards oder auch nur Klebezettel an Wand, Fenster und Tischen als analoges Kanban-Board oder Flipchats sehr hilfreich. Denken Sie vielleicht auch daran, einen Drucker mit lokaler Anschlussmöglichkeit per USB vorzuhalten. Manchmal ist die klassische "Liste" der Server zum Abhaken am effektivsten. |
|
TransportIrgendwann ist aber auch die maximale Arbeitszeit überschritten, die Mitarbeiter in der Firma verbinden sollten. Vermutlich wird niemand nach 12 Stunden sprichwörtlich den Hammer fallen lassen aber wenn jemand bis spät in die Nacht dabei war, dann sollte er nicht mehr selbst nach Hause fahren. Das Unfallrisiko ist einfach zu hoch, da zum einen der Kopf nicht frei ist und mit dem Wegfall der Anspannung die Müdigkeit zuschlägt. |
|
Aufeinander achtenBei der Lösung dieser Probleme sind es letztlich die Menschen und deren Wissen und nicht die Computer mit Software, die den aktiven Part übernehmen. Jeder Mensch geht anders mit Ausnahmesituationen um. Rechnen Sie vielleicht auch damit, dass jemand der Belastung nicht standhält und einen medizinischen Notfall erleidet. Achten Sie aufeinander. |
|
Die Liste ist nicht vollständig. Vielleicht spielen Sie das "Was wäre wenn" einfach mal mit ihren Kollegen durch. Dazu gehört auch ein Probelauf. Geben Sie ihrem Administrator doch einmal die Aufgabe ein Domain Controller auf einem neuen leeren Server wieder herzustellen und jedes mal, wenn er wie selbstverständlich für eine Aktion einen Zugriff auf ein Active Directory benötigt, möge er bitte beschrieben, was er tun würde wenn das nun nicht möglich ist. Lesen Sie einfach mal die Seite DC Backup/Restore.
Dokumentation und Listen
Kommen wir wieder zurück zur Technik. Stellen Sie sich einfach mal vor, dass Sie mittlerweile alle Domaincontroller verloren oder heruntergefahren haben oder der vorhandene Dateiserver verschlüsselt wurden oder das Active Directory nicht mehr vertrauenswürdig ist. Es gibt Dinge, die sie ganz schnell tun sollten, z.B. Außenverbindungen zu Kunden und Lieferanten kappen und die dortigen Administratoren informieren. Was was gibt es dann noch? Auf was haben Sie dann noch Zugriff?
Ich wäre manchmal schon froh, wenn etwas mehr Dokumentation erstellt wird, als ich im täglichen Betrieb sehe. Für den Notfall ist es aber wichtig, dass die Dokumentation auch in diesem Fall verfügbar ist. Lagern Sie immer eine Kopie auf einem Speicher, der vielleicht extern liegt. Das kann ein OneDrive, ein NAS, ein Azure DevOps- oder GitHub-Repository sein, indem eine Versionierung ein Löschen oder überschreiben verhindert. Wenn Sie so einen Speicher haben, dann müssen Sie natürlich im Notfall auch den Zugriff darauf möglich machen. Bei externen Diensten brauchen Sie "Internet", womit wir wieder beim Kapitel "Kommunikation" sind. Aber sie müssen auch überlegen, welche Dokumentationen dort abgelegt werden müssen. Es mag trivial klingen aber schauen Sie sich selbst im Spiegel an und fragen Sie sich:
| Prüfpunkt | Erledigt |
|---|---|
NotfalllistenWenn Sie diese Seite durchgelesen haben, dann werden Sie vielleicht erste Checklisten anlegen, was wann zu tun ist. Diese Listen müssen Sie im Zugriff haben. |
|
KontaktdatenDas können in der ersten Stufe die Geschäftsführung, Juristen, Datenschutzbeauftragte, Cyber-Versicherung, Administratoren aber auch Dienstleister sein. Irgendwann später werden Sie aber auch Abteilungsleiter und eventuell jeden einzelnen Mitarbeiter anrufen müssen, um z.B. ein neues Startkennwort zu übermitteln. Manchmal reicht auch eine SMS mit dem Hinweis, dass eine Meldung auf der Homepage hinterlegt ist. Denken Sie daran: Mail dürfte auch nicht mehr funktionieren. |
|
Eskalation in beide RichtungenAuch die Information über Dienstleister und deren Zugänge ist wichtig, um diese einzubinden. Denken Sie auch an Kunden, die mit ihnen per VPN oder WAN verbunden sind. Selbst wenn Sie die Verbindungen umgehend gekappt haben, kann der Angreifer schon weiter gewandert sein |
|
Server und IP-AdressenSie glauben gar nicht, wie viele Administratoren sich auf ihre DNS-Dienste verlassen, die dann leider nicht mehr da sind. Es sind ja nicht nur Server sondern vielleicht auch Storage-Systeme u.a. deren Adressen Sie für direkte Zugriffe kennen müssen |
|
Netzwerkpläne, Subnetze, DHCP-Einstellungen, VLANsKaum eine Firma hat heute noch "ein
Subnetz", sondern betreiben viele Netzwerke,
teils per VLAN auf dem Kabel separiert. Ich
hoffe ihre Listen und Patch-Bezeichnungen
sind aktuell, damit sie die richtigen Server
und Verbindungen kappen. |
|
ZugangsdatenWenn sie schlau sind, dann haben Sie für jedes System nicht nur die "Domainzugänge" sondern auch lokale Zugangsdaten, die ohne Active Directory, Radius, LDAP o.ä. funktionieren. |
|
Bitlocker-SchlüsselSchön, wenn Sie alle Server verschlüsselt haben. Wenn Sie nun aber "offline" mit einer Software die Server auf Malware prüfen und ggfls. sichern oder reparieren wollen, dann brauchen Sie die Bitlocker-Keys. Das eigentliche Betriebssystem ist vielleicht nicht mehr bootfähig oder nicht vertrauenswürdig. Wer seine Schlüssel ins Active Directory "sichern" lässt, ist gut damit beraten, diese Werte zyklisch zu exportieren und im AD vielleicht zu entfernen. Siehe auch Get-BitlockerReport |
|
LAPS-KennworteGleiches gilt für die "Lokalen Admin-Kennworte", die sie so einfach per LAPS regelmäßig ändern lassen können und im AD hinterlegen. Besser wäre es, diese Daten zu exportieren und einem Angreifer dann nicht über das AD bereit zu stellen. |
|
Zugang für die externe WebseiteIrgendwann müssen Sie Kunden, Mitarbeiter und die Öffentlichkeit informieren. Natürlich muss so eine Meldung mit dem Juristen abgestimmt sein, aber unbemerkt bleibt ihr Aussetzer sicher nicht. Gerade große Firmen hosten ihre Webseiten sogar selbst. Das sehe ich kritisch, da mit dem Kappen der Verbindung auch die Seite offline ist. Zumindest sollten Sie eine vorbereitet Seite haben, dass eine kleine Änderung eines DNS-Eintrags die Information der Kunden, Lieferanten und Mitarbeiter erlaubt. |
|
Status-Seite für MitarbeiterWenn Mailserver, die Kommunikation zum Mobilgeräte und Telefon nicht mehr funktionieren, und ein Ausweichen auf Facebook, Instagram, Whatapp etc. natürlich nicht ratsam ist, dann könnte eine exten unabhängig gehostete Statusseite von Vorteil sein, die Sie schon im Regelbetrieb auch mit der ein oder anderen Information für Mitarbeiter aktuell halten und in diesem Fehlerfall zur unidirektionalen Kommunikation nutzen können. |
|
Ich führe die Liste gerne weiter. Ich bin aber sicher, dass ich sicher noch nicht alle Aspekte beschrieben habe. Jede Firma ist hier auch Individuell. Für das erste bin ich froh, dass Sie vielleicht sich nun einmal Gedanken über dieses leider allzu realistische Szenario machen.
Weitere Links
- Firmen werden gehackt
- DC Backup/Restore
- Notfallkennwort
- Password Safe
- PS Keyvault
- Ransomware - Fiktive Story
- Checkliste Security
- Endpoint Security - Bitlocker
- Get-BitlockerReport
- LAPS - Local Admin Password Solution
-
BSI - Fortschrittliche Angriffe – dynamische
Entwicklung
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Fortschrittliche-Angriffe/Fortschrittliche-Angriffe_node.html
