Der Ransomware-Angriff auf Colonial Pipeline hat auf erschreckende Weise vor Augen geführt, dass Unternehmen, die wichtige Infrastrukturen und Dienstleistungen für die Öffentlichkeit bereitstellen, leicht zum Ziel werden können. Ransomware-Betreiber haben es schon lange auf Branchen wie Energie, Gesundheitswesen, Bildungswesen und Behörden abgesehen. Der Vorfall machte deutlich, wie anfällig Unternehmen in diesen und anderen Sektoren für Ransomware-Angriffe sind, die nicht nur ihren Betrieb lahmlegen, sondern auch negative Auswirkungen auf die Bürger haben können.
Die Vorbereitung auf einen unvermeidlichen Cyberangriff sollte gerade für öffentliche Einrichtungen wie staatliche und kommunale Behörden oberste Priorität haben, da diese Bedrohung bestehen bleibt. Ransomware-Betreiber waren während der COVID-19-Pandemie besonders aktiv und konnten mit ihren Angriffen lukrative Gewinne erzielen. Laut dem 2021 Ransomware Threat Report von Palo Alto Networks Unit 42 sind die durchschnittlichen Lösegeldzahlungen von Unternehmen in den USA, Kanada und Europa von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar im Jahr 2020 gestiegen. Das entspricht einem Anstieg von 171 Prozent im Vergleich zum Vorjahr.
Auswirkungen eines Angriffs auf den Geschäftsbetrieb
Die Ausarbeitung eines umsetzbaren Incident-Response-Plans, also Notfallplans für einen Ransomware-Angriff ist unverzichtbar. Hierbei müssen staatliche und lokale Behörden berücksichtigen, welche Auswirkungen es auf die Gesellschaft hätte, wenn das System oder der Dienst, den sie bereitstellen, für einen längeren Zeitraum nicht verfügbar wäre. Dazu müssen sich die Behörden fragen: „Was ist die Aufgabe der Regierung?“ Höchstwahrscheinlich ist die Antwort nicht die IT, weshalb die IT allein keinen Plan für die Reaktion auf einen Vorfall entwickeln kann. Die IT-Abteilung muss eng mit dem Unternehmen zusammenarbeiten, um andere wichtige Fragen zu beantworten:
- Welche verschiedenen Abteilungen werden von unserer Organisation unterstützt (z. B. Versorgungsunternehmen, Notdienste, Transportsysteme)?
- Welche Abhängigkeiten bestehen zwischen ihnen?
- Wie hoch ist ihre Risikotoleranz?
- Wie hoch ist ihre Toleranz für Ausfallzeiten?
- Wer ist der „Hauptverantwortliche“ für jede dieser Abteilungen?
Die Bestimmung des „Wer“ für die Reaktion auf einen Vorfall ist ein Muss, sogar innerhalb der staatlichen oder lokalen Regierungsorganisation selbst. Dies fällt unter den Prozess der Definition der Rollen und Verantwortlichkeiten für die Reaktion auf Vorfälle:
- Festlegung des IT-Kernteams für die Reaktion auf Vorfälle und der vertrauenswürdigen Drittanbieter, die zur Unterstützung herangezogen werden können.
- Festlegung, wer ausserhalb der IT-Abteilung entscheidungsbefugt ist, um den Status eines Sicherheitsvorfalls zu kommunizieren.
- Identifizierung anderer externer Parteien, die einbezogen werden müssen, einschliesslich Cyberversicherungsanbieter, externer Anwälte und Öffentlichkeitsarbeitsteams.
Erstellung einer Charta, bevor die Krise eintritt
Bevor ein Staat oder eine Kommune Rollen und Zuständigkeiten für die Reaktion auf einen Vorfall festlegen kann, muss sie eine Charta erstellen, die alles in Bewegung setzt und als Grundlage für den Aufbau einer wirksamen Reaktion dient. Dies muss in einem frühen Stadium des Prozesses geschehen, um die Zustimmung und das Engagement der Führungsebene für die Entwicklung des Betriebskontinuitätsplans (Continuity of Operations Plan, COOP) selbst zu gewinnen. Die IT-Abteilung erstellt in Zusammenarbeit mit den Abteilungen die Charta zur Einrichtung eines formellen Notfallteams, in der unter anderem der Auftrag und die Ziele des Teams festgelegt werden. Zusätzlich zur Charta sollte ein effektives Incident-Response-Team mit einer Reihe von Befugnissen ausgestattet sein, die von den Führungskräften unterzeichnet werden. So lassen sich die Ressourcen und die Zusammenarbeit, die zur Erfüllung der Aufgabe erforderlich sind, aufeinander abstimmen. Anschliessend sollten die IT-Abteilung und die Fachabteilungen festlegen, wie das Unternehmen auf bestimmte Arten von Vorfällen (z. B. Ransomware, DDoS, Datenschutzverletzungen) reagieren soll. Welche Arten von Angriffen sind besonders besorgniserregend und könnten die Arbeit der Regierung beeinträchtigen? Ab welchem Punkt wird ein Angriff als so schwerwiegend angesehen, dass andere, wie etwa Aufsichtsbehörden, das FBI und Bürger, benachrichtigt werden müssen? Schulungen und Tests sind ebenfalls wichtige Bestandteile eines wirksamen Reaktionsplans für Zwischenfälle. Dazu gehört die Durchführung von Tabletop-Übungen für den öffentlichen Sektor, die Vorfälle wie Ransomware-Angriffe simulieren, mit denen diese Organisationen in der aktuellen Bedrohungslandschaft am ehesten konfrontiert werden. Neben der Stärkung des Sicherheitsbewusstseins der Mitarbeiter sollten die Unternehmenseigentümer über die Risiken für ihre jeweiligen Abteilungen aufgeklärt werden und ihre Rolle bei der Reaktion auf Vorfälle verstehen.
Eine gut geplante Reaktion ist der Weg zur Resilienz
Es ist von entscheidender Bedeutung, dass die Regierung auf einen unvermeidlichen Cyberangriff vorbereitet ist. Dieser ist keine Frage des „ob“, sondern des „wann“. Der Regierungssektor ist ein Hauptziel für Ransomware-Betreiber, die Störungen verursachen und davon profitieren wollen. Mehrere Ransomware-Varianten, die im jüngsten Bericht von Unit 42 erörtert wurden, sind dafür bekannt, dass sie auf Regierungseinrichtungen abzielen. Die Betreiber einer Variante, Doppelpaymer, zählen staatliche und lokale Behörden zu ihren Opfern. Ihre Lösegeldforderungen sind ebenfalls relativ hoch. Zwar kann eine Cyberversicherung zur Deckung von Ransomware-Zahlungen beitragen, doch erwarten dafür viele Versicherer jetzt von ihren Kunden, dass sie Massnahmen zum Schutz vor dieser bekannten Bedrohung ergreifen. Sie wollen sicher sein, dass ein praktikabler Plan zur Reaktion auf einen Vorfall existiert. Wie bei einem feuerfesten Gebäude können diese Pläne und Kontrollen dazu beitragen, Schäden und Verluste zu verringern und gleichzeitig eine schnellere Wiederherstellung zu gewährleisten, selbst wenn ein Brand unvermeidlich bleibt.