Auf diese Phase zielt Cybernotfall24, die gemeinsame Cyber-Notfall-Allianz von DATA REVERSE, aconitas und Schneider & Wulf. In einem Interview mit dem Fachmagazin CRN hat Jan Bindig, Geschäftsführer von DATA REVERSE, beschrieben, warum der Dienst entstanden ist. Den Ausschlag gab kein einzelner Vorfall, sondern ein wiederkehrendes Muster aus der Praxis. "Wir haben in vielen Fällen gesehen, dass Unternehmen im Ernstfall vor allem Orientierung brauchen", sagt Bindig. Gemeint ist damit weniger eine zusätzliche Auswahl an Optionen als eine zentrale Anlaufstelle mit schneller, belastbarer Einordnung der Lage.
Warum die erste Reaktion über den Schaden entscheidet
Gerade im Mittelstand ist die Reaktion auf einen Vorfall häufig von verständlichem, aber riskantem Aktionismus geprägt. Betroffene Systeme werden hektisch heruntergefahren, Sicherungen ohne Prüfung eingespielt oder kompromittierte Server vorschnell neu aufgesetzt. Jede dieser Reaktionen kann den Vorfall verschärfen. Ein unkontrolliertes Herunterfahren vernichtet flüchtige Spuren im Arbeitsspeicher, die für die spätere Analyse entscheidend sind. Das Rückspielen aus Sicherungen in eine noch kompromittierte Umgebung führt regelmäßig zur erneuten Infektion, weil die eigentliche Ursache, etwa übernommene Zugänge oder hinterlegte Persistenzmechanismen, nicht beseitigt wurde. Und wer Datenträger voreilig überschreibt, verliert unter Umständen Wiederherstellungsoptionen, die zu diesem Zeitpunkt noch bestanden hätten.
Worauf es in den ersten Stunden ankommt
Sinnvoll ist im Ernstfall eine andere Reihenfolge. Betroffene Systeme gehören kontrolliert vom Netz getrennt statt unkoordiniert heruntergefahren, denn so lässt sich eine seitliche Ausbreitung stoppen, ohne flüchtige Spuren im Arbeitsspeicher zu zerstören. Vor jedem weiteren Schritt steht die Sichtung der Lage: Welche Systeme und Datenbestände sind betroffen, welcher Sicherungsstand ist intakt, ab welchem Zeitpunkt muss die Umgebung als kompromittiert gelten? Solange die Systeme unverändert bleiben, sichern die Spezialisten parallel forensisch relevante Daten, denn wer hier zu früh eingreift, vernichtet die Belege, mit denen sich Ursache und Ausmaß später nachvollziehen lassen.
Erst nach dieser Bewertung beginnt die Wiederherstellung, und auch dann mit Vorbehalt. Sicherungen spielt das Team ein, sobald Ursache und Integrität der Backups geklärt sind, weil ein Rückspielen in eine noch kompromittierte Umgebung den Vorfall lediglich wiederholt. Zusammengehalten wird der gesamte Ablauf von einer koordinierenden Anlaufstelle, statt mehrere Beteiligte unabgestimmt eingreifen zu lassen. An diesem Punkt setzt Cybernotfall24 an.
Drei Kompetenzfelder, eine Anlaufstelle
Die Arbeitsteilung der drei Partner ist klar zugeschnitten. DATA REVERSE bringt Datenrettung, forensische Analyse und die Wiederherstellung kompromittierter Speicher- und Backup-Umgebungen ein, dazu eine durchgehende Reaktionsfähigkeit rund um die Uhr. aconitas verantwortet Active-Directory-Schutz, Passwortmanagement, IT-Sicherheitskonzepte und Cyber-Resilienz, also die Identitätsebene, über die sich Angreifer dauerhaft festsetzen. Schneider & Wulf steuert Penetration Testing, Awareness-Trainings, IT-Sicherheitsaudits und Managed Services bei. Reicht das im konkreten Fall nicht aus, lassen sich je nach Lage weitere eingespielte Spezialisten einbinden, ohne dass das betroffene Unternehmen die Anlaufstelle wechseln muss.
Ergänzung statt Verdrängung
Wichtig ist Bindig die Abgrenzung zu bestehenden IT-Dienstleistern. "Wir verstehen uns deshalb nicht als Ersatz für den bestehenden Dienstleister. Im besten Fall arbeiten wir mit ihm zusammen", betont er. Systemhäuser können die Eingreiftruppe im Ernstfall hinzuziehen, um zusätzliche Kompetenz einzubinden, ohne die eigene Kundenbeziehung zu gefährden. Dazu kommt die Unabhängigkeit von Cyberversicherern: Wo deren Hotlines und feste Dienstleisternetzwerke immer auch Regulierung, Kostenprüfung und Deckung im Blick haben, beginnt Cybernotfall24 bei der technischen Frage, was den Schaden jetzt begrenzt, die Handlungsfähigkeit zurückbringt und keine Optionen verbaut.
Adressat ist vor allem der deutsche Mittelstand, der in der Regel über funktionierende IT-Strukturen verfügt, im Ausnahmefall eines Angriffs aber eine spezialisierte und schnelle Anlaufstelle braucht. Bindig fasst den Anspruch im Interview knapp zusammen: "Cybernotfall24 ist die Feuerwehr für Cybernotfälle im deutschen Mittelstand."
DATA REVERSE® mit Sitz in Leipzig ist auf die professionelle Datenrettung von digitalen Speichermedien spezialisiert. Mit über 20 Jahren Erfahrung, TÜV-zertifiziertem Kundenservice und einer Erfolgsquote von über 95 % bietet das Unternehmen zuverlässige und qualitativ hochwertige Lösungen bei Datenverlusten jeglicher Art. Durch umfangreiches Know-how in Reverse Engineering und eine konsequente Datengarantie zählt DATA REVERSE® zu den führenden Anbietern der Branche.
Neben Festplatten, Flash-Speichern und RAID-Systemen werden auch komplexe logische Speicherarchitekturen wie Software Defined Storage erfolgreich wiederhergestellt. Zur optimalen Qualitätssicherung setzt DATA REVERSE® ausschließlich auf individuell entwickelte Softwarelösungen, ein eigenes Reinraumlabor sowie eine interne Forschungs- und Entwicklungsabteilung.
DATA REVERSE® Datenrettung – Bindig Media GmbH
Nonnenstr. 17
04229 Leipzig
Telefon: +49 (341) 39281789
Telefax: +49 (341) 6400583
https://www.datareverse-datenrettung.de
Redaktion
Telefon: +49 (341) 392817-89
E-Mail: presse@datareverse.de
