War-Room

Wenn ihr Netzwerk, Active Directory o.ä. kompromittiert sind, dann befinden Sie sich in einem Art "Informationskrieg" mit unbekantem Gegner. Um die Gegenwehr zu koordinieren, ist eine effektive Kommunikation zwischen allen beteiligten "Streitkräften" erforderlich. Statt Heer, Marine, Luftwaffe sprechen wir dann natürlich von Windows-, Unix-, Netzwerk/Firewall-, Hardware-, Juristen/Datenschutz- und Geschäftsführer-Gruppen.

1: a room where battles are planned that is equipped with maps, computers, etc.
2: a room where people meet and exchange plans, ideas, information, etc., in an active way
https://www.britannica.com/dictionary/war-room

Auch wenn Sie aktuell nicht betroffen sind können Sie schon Vorarbeiten für den Fall eines Falles leisten.

Diese Seite ist nie fertig und mit jedem Einsatz lernen wir alle dazu.

GAU - größter anzunehmender Unfall

Es muss nicht immer der eine "größte anzunehmende Unfall" sein. Manchmal reichen auch Teilstörungen die dennoch an die Substanz eines Unternehmens gehen können. Und sie sollten theoretisch auch einmal durchspielen, wie sie reagieren und sich vorbereiten können. Aus meiner "Windows/Microsoft-Sichtweise" ist ein sehr großer Störfall gegeben, wenn z.B. ein Softwarefehler, Bedienfehler oder auch ein Angreifer das Active Directory unbrauchbar macht. Vielleicht ist es "nur" kompromittiert und ein noch unbekannte Angreifer hat privilegierte Berechtigungen oder ihre Daten wurden schon verschlüsselt oder es passiert gerade. Wir gehen also davon aus, dass Sie eine "Notabschaltung" durchgesetzt haben bei alle Server entweder heruntergefahren, ausgeschaltet oder zumindest isoliert wurden. Dazu zählen auch die externen Verbindungen über Firewalls und Router. Es ist also sehr leise in ihrem Rechenzentrum geworden aber das hält nur kurz an.

Und nun überlegen wir einmal, wo die Fachleute nun gemeinsam den Wiederanlauf planen. Das wird vermutlich nicht an ihrem Arbeitsplatz sein, denn ohne Netzwerk und Verzeichnisdienste wird auch ihr Desktop, ihre VoIP-Telefonanlage nicht funktionieren, wenn Sie denn überhaupt noch die Türschließanlage überwinden können. 

Raum und Kommunikation

Das ist der Moment, wo sie über einen Raum nachdenken sollten, in dem Sie schnell wieder arbeits.fähig werden. Das kann eigentlich jeder Raum sein, aber wenn Sie den Ort entsprechend präparieren wollen, dann sollten Sie schon einen bestimmten Raum vorsehen.

Prüfpunkt Erledigt

Raumlocation

Es ist erschreckend, wie viele IT-Abteilungen neben dem Serverraum im Kellergeschoß platziert werden. Ohne Internet werden Sie dort aber auch keinen UMTS/LTE/5G-Empfang haben, den Sie zur Kommunikation brauchen. Vielleicht sollte der Raum doch besser in einer "freundlichen" Umgebung mit Tageslicht sein, in den aber auch externe Personen problemlos Zugang haben können.

Raumzugang

Es klingt vielleicht suspekt aber stellen Sie sicher, dass die Personen wissen, welcher Raum es ist und wie sie dort hinkommen. RFID-Leser funktioniere vielleicht nicht, mehr, wenn das Netzwerk gestört ist.

Denken Sie auch an den Wachschutz, der vielleicht auch spät abends noch Besucher hereinlassen muss. Er sollte gerade nicht die Alarmanlage überall scharf machen und es ist unglücklich, wenn der Spezialist an der Pforte nicht reinkommen, weil der Werkschutz gerade seine Runde über das Werksgelände dreht. Das ist alles schon passiert.

Catering / Pausenbereich

Mit dem Raum alleine ist es nicht getan. Sehr schnell sind einige Stunden vergangen, in der Mitarbeiter und Dienstleister konzentriert arbeiten. Denken Sie aber daran, dass Menschen auch Pausen brauchen. Das kann ein Spaziergang um den Block sein oder auch einfach nur ein Raumwechsel weg von dem Telefongebimmel, Tastaturklappern und dauernden Gesprächen.

Wenn der Ausfall, wie so oft, an Karfreitag, Heiligabend, 1. Mail oder einem Freitag erfolgt, dann sollte Wasser und "Brainfood" nicht ihr Problem sein. Räume beim Vorstand sind meist besser "versorgt" als die Teambesprechungsräume.

Etwas Ruhe mit der Gelegenheit etwas zu Trinken und zu Essen sind kein Luxus. Vielleicht sind es nur ein paar Müsliriegel oder Pizzataschen, die notfalls auch ein Taxifahrer besorgen kann.

Kommunikation

Haben Sie sich überlegt, wie sie aktuelle Malwarescanner, Tools o.ä. herunterladen wollen, wenn ihr Netzwerk und ihre Firewall "offline" ist oder wie externe Hilfe Sie z.B. per Teamviewer unterstützen soll? Was hindert Sie daran, einen "ConsumerDSL"-Anschluss vorbei an ihrer Firewall oder Telefontechnik in diesen Raum legen zu lassen. Er kann im Regelbetrieb einfach in Labore u.a. weitergeleitet werden, um Testszenarien wie VPN, Homeoffice etc. nachzustellen aber im Moment eines GAU wird er unbezahlbar. Insbesondere, wenn Sie noch zwei analoge Telefone und einen kleinen WLAN-AccessPoint bereitstellen können. Vielleicht können Sie ja mit ihrem TK-Provider hier eine Vereinbarung treffen, eingehende Anruf auf diese Nummern umzuleiten.

Ausstattung

Wir leben in einer digitalen Welt aber die ist vielleicht gerade nicht da. Aber selbst wenn, sind Whiteboards oder auch nur Klebezettel an Wand, Fenster und Tischen als analoges Kanban-Board oder Flipchats sehr hilfreich. Denken Sie vielleicht auch daran, einen Drucker mit lokaler Anschlussmöglichkeit per USB vorzuhalten. Manchmal ist die klassische "Liste" der Server zum Abhaken am effektivsten.

Transport

Irgendwann ist aber auch die maximale Arbeitszeit überschritten, die Mitarbeiter in der Firma verbinden sollten. Vermutlich wird niemand nach 12 Stunden sprichwörtlich den Hammer fallen lassen aber wenn jemand bis spät in die Nacht dabei war, dann sollte er nicht mehr selbst nach Hause fahren. Das Unfallrisiko ist einfach zu hoch, da zum einen der Kopf nicht frei ist und mit dem Wegfall der Anspannung die Müdigkeit zuschlägt.

Aufeinander achten

Bei der Lösung dieser Probleme sind es letztlich die Menschen und deren Wissen und nicht die Computer mit Software, die den aktiven Part übernehmen. Jeder Mensch geht anders mit Ausnahmesituationen um. Rechnen Sie vielleicht auch damit, dass jemand der Belastung nicht standhält und einen medizinischen Notfall erleidet. Achten Sie aufeinander.

Die Liste ist nicht vollständig. Vielleicht spielen Sie das "Was wäre wenn" einfach mal mit ihren Kollegen durch. Dazu gehört auch ein Probelauf. Geben Sie ihrem Administrator doch einmal die Aufgabe ein Domain Controller auf einem neuen leeren Server wieder herzustellen und jedes mal, wenn er wie selbstverständlich für eine Aktion einen Zugriff auf ein Active Directory benötigt, möge er bitte beschrieben, was er tun würde  wenn das nun nicht möglich ist. Lesen Sie einfach mal die Seite DC Backup/Restore.

Dokumentation und Listen

Kommen wir wieder zurück zur Technik. Stellen Sie sich einfach mal vor, dass Sie mittlerweile alle Domaincontroller verloren oder heruntergefahren haben oder der vorhandene Dateiserver verschlüsselt wurden oder das Active Directory nicht mehr vertrauenswürdig ist. Es gibt Dinge, die sie ganz schnell tun sollten, z.B. Außenverbindungen zu Kunden und Lieferanten kappen und die dortigen Administratoren informieren. Was was gibt es dann noch? Auf was haben Sie dann noch Zugriff?

Ich wäre manchmal schon froh, wenn etwas mehr Dokumentation erstellt wird, als ich im täglichen Betrieb sehe. Für den Notfall ist es aber wichtig, dass die Dokumentation auch in diesem Fall verfügbar ist. Lagern Sie immer eine Kopie auf einem Speicher, der vielleicht extern liegt. Das kann ein OneDrive, ein NAS, ein Azure DevOps- oder GitHub-Repository sein, indem eine Versionierung ein Löschen oder überschreiben verhindert. Wenn Sie so einen Speicher haben, dann müssen Sie natürlich im Notfall auch den Zugriff darauf möglich machen. Bei externen Diensten brauchen Sie "Internet", womit wir wieder beim Kapitel "Kommunikation" sind. Aber sie müssen auch überlegen, welche Dokumentationen dort abgelegt werden müssen. Es mag trivial klingen aber schauen Sie sich selbst im Spiegel an und fragen Sie sich:

Prüfpunkt Erledigt

Notfalllisten

Wenn Sie diese Seite durchgelesen haben, dann werden Sie vielleicht erste Checklisten anlegen, was wann zu tun ist. Diese Listen müssen Sie im Zugriff haben.

Kontaktdaten

Das können in der ersten Stufe die Geschäftsführung, Juristen, Datenschutzbeauftragte, Cyber-Versicherung, Administratoren aber auch Dienstleister sein. Irgendwann später werden Sie aber auch Abteilungsleiter und eventuell jeden einzelnen Mitarbeiter anrufen müssen, um z.B. ein neues Startkennwort zu übermitteln. Manchmal reicht auch eine SMS mit dem Hinweis, dass eine Meldung auf der Homepage hinterlegt ist. Denken Sie daran: Mail dürfte auch nicht mehr funktionieren.

Eskalation in beide Richtungen

Auch die Information über Dienstleister und deren Zugänge ist wichtig, um diese einzubinden. Denken Sie auch an Kunden, die mit ihnen per VPN oder WAN verbunden sind. Selbst wenn Sie die Verbindungen umgehend gekappt haben, kann der Angreifer schon weiter gewandert sein

Server und IP-Adressen

Sie glauben gar nicht, wie viele Administratoren sich auf ihre DNS-Dienste verlassen, die dann leider nicht mehr da sind. Es sind ja nicht nur Server sondern vielleicht auch Storage-Systeme u.a. deren Adressen Sie für direkte Zugriffe kennen müssen

Netzwerkpläne, Subnetze, DHCP-Einstellungen, VLANs

Kaum eine Firma hat heute noch "ein Subnetz", sondern betreiben viele Netzwerke, teils per VLAN auf dem Kabel separiert. Ich hoffe ihre Listen und Patch-Bezeichnungen sind aktuell, damit sie die richtigen Server und Verbindungen kappen.
Testfrage: Wüssten Sie auf Anhieb, welches Kabel sie ziehen müssen, um die externe Verbindung zum Internet oder auch zu Partnern zu kappen?

Zugangsdaten

Wenn sie schlau sind, dann haben Sie für jedes System nicht nur die "Domainzugänge" sondern auch lokale Zugangsdaten, die ohne Active Directory, Radius, LDAP o.ä. funktionieren.

Bitlocker-Schlüssel

Schön, wenn Sie alle Server verschlüsselt haben. Wenn Sie nun aber "offline" mit einer Software die Server auf Malware prüfen und ggfls. sichern oder reparieren wollen, dann brauchen Sie die Bitlocker-Keys. Das eigentliche Betriebssystem ist vielleicht nicht mehr bootfähig oder nicht vertrauenswürdig. Wer seine Schlüssel ins Active Directory "sichern" lässt, ist gut damit beraten, diese Werte zyklisch zu exportieren und im AD vielleicht zu entfernen. Siehe auch Get-BitlockerReport

LAPS-Kennworte

Gleiches gilt für die "Lokalen Admin-Kennworte", die sie so einfach per LAPS regelmäßig ändern lassen können und im AD hinterlegen. Besser wäre es, diese Daten zu exportieren und einem Angreifer dann nicht über das AD bereit zu stellen.

Zugang für die externe Webseite

Irgendwann müssen Sie Kunden, Mitarbeiter und die Öffentlichkeit informieren. Natürlich muss so eine Meldung mit dem Juristen abgestimmt sein, aber unbemerkt bleibt ihr Aussetzer sicher nicht. Gerade große Firmen hosten ihre Webseiten sogar selbst. Das sehe ich kritisch, da mit dem Kappen der Verbindung auch die Seite offline ist. Zumindest sollten Sie eine vorbereitet Seite haben, dass eine kleine Änderung eines DNS-Eintrags die Information der Kunden, Lieferanten und Mitarbeiter erlaubt.

Status-Seite für Mitarbeiter

Wenn Mailserver, die Kommunikation zum Mobilgeräte und Telefon nicht mehr funktionieren, und ein Ausweichen auf Facebook, Instagram, Whatapp etc. natürlich nicht ratsam ist, dann könnte eine exten unabhängig gehostete Statusseite von Vorteil sein, die Sie schon im Regelbetrieb auch mit der ein oder anderen Information für Mitarbeiter aktuell halten und in diesem Fehlerfall zur unidirektionalen Kommunikation nutzen können.

 

Ich führe die Liste gerne weiter. Ich bin aber sicher, dass ich sicher noch nicht alle Aspekte beschrieben habe. Jede Firma ist hier auch Individuell. Für das erste bin ich froh, dass Sie vielleicht sich nun einmal Gedanken über dieses leider allzu realistische Szenario machen.

Weitere Links