Nach der Cyberattacke auf die Geschäftsstelle der Gewerbeverbände St.Gallen (KW 25) zieht Geschäftsführer Felix Keller (Bild) in der «Netzwoche» eine Zwischenbilanz. «Wir rechnen mit einer Schadenssumme zwischen 35'000 und 45'000 Franken.» Und dies seien nur die Kosten für die Wiederherstellung der Daten und für das Neuaufsetzen der Server. Zusätzlich zu Buche schlagen die Massnahmen, die man zur Erhöhung der Sicherheit angestellt habe, um solche Vorfälle künftig zu verhindern.
Was hat die Geschäftsstelle aus dem Hack gelernt? «Ich habe eine Checkliste gemacht», so Keller zur «Netzwoche». Die Liste erhebe keinen Anspruch auf Vollständigkeit und entspreche ausschliesslich der Sichtweise der Geschäftsleitung, nicht derjenigen von IT-Experten.
Auf der Liste stehen einige Sofortmassnahmen und Handlungsanweisungen an Geschäftsleitungsmitglieder sowie EDV-Verantwortliche. Hier ein Auszug:
Sofortmassnahmen
- PC und Server vom Netz nehmen. Stecker raus!
- Information Polizei und Staatsanwaltschaft (im Kanton St.Gallen: Cyber Crime Unit)
- Information EDV-Verantwortlicher respektive EDV-Firma
- Information Mitarbeiter
- Information Verwaltungsrat
- Englischkompetenz für Kommunikation mit allfälligen Erpressern
- Festlegung E-Mail-Adresse für Kommunikation mit Erpressern (kein Rückschluss auf das betroffene Geschäft, keine Namen und Firmenbezeichnungen im Mailverkehr verwenden)
Tätigkeiten Geschäftsleitung
- Regelung Kommunikation nach Innen und Aussen (Sprachregelung Telefonauskünfte, weitere Anfragen, periodische Information Verwaltungsrat und Mitarbeitende beispielsweise via Whatsapp)
- Kompetenzregelung: Wer entscheidet über welche Massnahmen? Wer verhandelt bis zu welchem Preis mit den Erpressern?
- Zeitplanung: Wie lange dauert es, bis das Netz wieder online ist?- Information Kunden, Geschäftspartner, Medien. Achtung: Medien werden durch allfällige Kunden/Geschäftspartner informiert
- Kommunikation: immer offen, transparent und umfassend
- EDV-Massnahmen beschliessen (inkl. Sicherheitscheck aller Geräte mit Serverzugriff)
Tätigkeiten EDV-Verantwortlicher / externe EDV-Firma
- Kommunikation zwischen allen Geräten und Internet trennen
- Erkennung der Ausbreitung: Welche PCs, Server, Mobile-Geräte etc. sind betroffen?
- Passwortwechsel für alle Systeme und User
- Server, Clients und alle betroffenen Systeme neu aufsetzen
- Datensicherung, Datenwiederherstellung
Tätigkeiten danach
- Audit durch externe Firma
- Regelmässige Schulung der Mitarbeiter und Phishing-Tests
- Alle Systeme periodisch komplett prüfen (auch Mobile)
- Stetige Aktualisierung aller Systeme (auch Firmware von Druckern, Scannern, Kopierern)
- Konzept erstellen: Welche Daten sind geschäftskritisch? Wie können die Geschäftsdaten am besten wiederhergestellt werden?