An die Passwort-Sicherheit gedacht – Disaster Recovery und Business Continuity Management

Unvorhergesehene Ereignisse wie Hochwasser, Brände oder Stromausfälle können Geschäftsprozesse empfindlich stören oder schlimmstenfalls komplett zum Stillstand bringen. Seit Jahren steigt zudem die Bedrohung durch Cyberangriffe – und wird dies wohl auch in Zukunft weiter tun. Als Konsequenz verstärken die Unternehmen ihre Cybersecurity-Maßnahmen. Aber manchmal passiert es eben doch: Ein unbedachter Klick eines Mitarbeiters genügt, und eine Cyberattacke hat Erfolg.

Jetzt schlägt die Stunde des Business Continuity Managements. Um im Ernstfall die Schäden so gering wie möglich zu halten, sollte etwa im Vorfeld klar festgelegt worden sein, welche Maßnahmen ergriffen werden, wer wofür verantwortlich ist, wie kommuniziert wird und welche externe Unterstützung angefordert werden kann. In diesem Beitrag erfahren Sie, was Business Continuity-Management und Disaster Recovery bedeuten, warum Sie dabei auch die Gefahr von Folgeangriffen im Blick haben sollten und welche Rolle Passwörter und Zugangsdaten Ihrer Benutzer dabei spielen.

Was ist Business Continuity Management?

Business Continuity Management (BCM, deutsch: Betriebliches Kontinuitätsmanagement, BKM) bedeutet Vorbereitung auf und organisiertes Handeln im Krisenfall. Vorrangiges Ziel ist es, die Schäden im Fall einer Unterbrechung des Betriebs so gering wie möglich zu halten. Insbesondere kritische Geschäftsprozesse sollen aufrechterhalten bzw. möglichst schnell und umfassend wieder hergestellt werden.

Von großer Bedeutung ist dabei die IT-Notfallplanung. Um aber Risiken bereits im Vorfeld zu reduzieren, gehören auch Planungen zum proaktiven Schutz der IT-Infrastruktur dazu. Das Business Continuity Management insgesamt umfasst mehrere Schritte. Dabei werden zunächst mögliche Bedrohungen identifiziert und die Geschäftsprozesse genau analysiert. Auf dieser Basis werden dann Notfallpläne erstellt und schließlich Notfallübungen durchgeführt.

Analyse der Geschäftsprozesse

Die Analyse der Geschäftsprozesse umfasst eine genaue Betrachtung der Zusammenhänge und Schnittstellen. Dabei werden geschäftskritische Prozesse identifiziert sowie mögliche direkte und indirekte Folgeschäden ermittelt (Business-Impact-Analyse). Ausgehend von der Kritikalität der jeweiligen Prozesse werden maximal tolerierbare Ausfallzeiten, Wiederherstellungszeiten und Wiederherstellungspunkte festgelegt.

Erstellung eines Notfallplans

Auf Basis der Ergebnisse der Geschäftsprozess-Analyse werden Maßnahmen zur Aufrechterhaltung der identifizierten Prozesse festgelegt. Ein solcher Notfallplan kann u. a. technische Maßnahmen im Vorfeld enthalten wie die Bereitstellung von Ersatzhardware und Datensicherungen, um einen sogenannte Single Point of Failure zu vermeiden. Für den Eintritt einer Krisensituation formuliert er strukturierte Handlungsanweisungen, definiert Verantwortlichkeiten und legt ggf. fest, wann und wo externe Unterstützung einbezogen werden kann.

Tests und Notfallübungen

Mit ausgiebigen Tests werden die Maßnahmen der Notfallpläne geprüft und ggf. Lücken und Schwachstellen aufgespürt. Notfallübungen dienen dazu, Abläufe im Ernstfall so sicher und schnell wie möglich zu machen und beispielsweise sicherzustellen, dass Disaster-Recovery-Maßnahmen wie die Wiederherstellung von Daten-Backups und IT-Services gelingt.

Disaster Recovery und Passwort-Sicherheit

Als zentraler Bestandteil des Business Continuity Managements befasst sich Disaster Recovery mit der Wiederherstellung von Daten und IT-Services (Netzwerk, Server, Daten etc.) sowie dem Ersatz von Hardware nach Eintritt einer Störung. Die entsprechenden Schritte werden in einem Disaster-Recovery-Plan (DRP) festgelegt, der neben konkreten Schritten auch Verantwortlichkeiten und Meldewege umfasst. Die Maßnahmen orientieren sich dabei vor allem an zwei Fragen: Wie viel Zeit darf maximal bis zur Wiederherstellung der Geschäftsprozesse vergehen (Recovery Time Objective, RTO)? Und wie viel Datenverlust kann hingenommen werden (Recovery Point Objective, RPO)?

Zusätzliche Herausforderung bei Cyberangriffen

Im Falle eines erfolgreichen Cyberangriffs stehen Unternehmen zudem vor einer zusätzlichen Herausforderung. Denn eine Wiederherstellung von Daten und IT-Services ist nur dann ein Erfolg, wenn die Angreifer aus dem System entfernt wurden und ihnen eine weitere Infiltrierung unmöglich ist. Das ist umso wichtiger, als Hackergruppen immer häufiger auf zweifache Angriffe (sog. Double Extortion Ransomware) setzen, bei denen in einem ersten Schritt eine Verschlüsselungssoftware (Ransomware) installiert wird, um Lösegeld für die Entsperrung zu verlangen. In einem zweiten Schritt stehlen die Angreifer dann sensible Daten, die im Darknet verkauft oder für weitere Erpressungen genutzt werden können.

Passwortdiebstahl ermöglicht Folgeangriffe

Ist die Infiltration beispielsweise über das Active Directory (AD) erfolgt, konnten sich die Hacker vor dem eigentlichen Angriff möglicherweise durch das System bewegen und hatten durch Privilege Escalation (Rechteausweitung) Zugriff auf weitere Benutzerkonten, insbesondere solche mit mehr Rechten – und damit auch Zugriff auf weitere Daten. Möglicherweise konnten sie bei ihrem Angriff aber auch Passwörter und Login-Daten erbeuten, die für einen Folgeangriff genutzt werden können. Die Gefahr solcher Folgeangriffe wird allerdings immer noch unterschätzt. Entsprechend häufig werden Maßnahmen zu deren Verhinderung vernachlässigt oder zu spät eingeleitet. Es reicht nicht aus, Systeme neu zu installieren, um Backdoors und andere Kompromittierungen zu entfernen. Ein effektives Disaster Recovery sollte auch Passwörter und Zugangsdaten der Benutzer einbeziehen.

Essenziell: Zurücksetzen von Passwörtern und Login-Daten

Erbeutete Passwörter und Login-Daten sind offene Einfallstore für weitere Angriffe. Eine wichtige Disaster-Recovery-Maßnahme ist daher das schnelle Sperren aller Benutzerkonten und Zurücksetzen von Login-Daten. Die Betonung liegt dabei auf alle Benutzerkonten, denn auch gering privilegierte Konten können Hacker als Startpunkt für Rechteausweitung nutzen, um sich z. B. sukzessive durch das AD zu bewegen.

Allerdings geschieht das Zurücksetzen der Passwörter in der Regel über den IT-Helpdesk, der nach einem Cyberangriff in der Regel schon am Limit arbeitet und sich so als Flaschenhals erweist. Ein weiteres Problem für den Helpdesk ist zudem, den jeweiligen Inhaber des Benutzerkontos sicher zu authentifizieren. Nicht erst in Zeiten von Deepfakes ist es Hackern ein Leichtes, sich am Telefon als Kontoinhaber auszugeben; auch beim ersten Angriff erbeutete Informationen können dabei hilfreich sein. Der Disaster-Recovery-Plan sollte daher entsprechende Kapazitäten des Helpdesk ebenso vorsehen wie Möglichkeiten einer sicheren Authentifizierung der Inhaber der gesperrten Konten.

Self-Service Password-Reset

Um die Belastung von Helpdesk und IT so gering wie möglich zu halten, bietet es sich an, Systeme zu nutzen, die es den Benutzern ermöglichen, ihre Passwörter selbstständig zurückzusetzen. Mit Specops uReset etwa können Benutzer ihr Passwort per Browser, Handy oder direkt vom Windows-Login Screen aus zurücksetzen – auch ohne mit dem Unternehmensnetzwerk verbunden zu sein.

Die sichere Authentifizierung kann dabei über eine Vielzahl von Identitätsanbietern erfolgen (z. B. Duo Security, Okta Verify, MS Authenticator) und/oder über verschiedene biometrische Optionen. Zusätzlich bietet Specops uReset leistungsfähige Sicherheitsfeatures wie Geo-Blocking und die Blockade kompromittierter Passwörter.

Regelmäßige Passwort-Audits

Nach dem Angriff ist vor dem Angriff. Daher sollte die regelmäßige Überprüfung von Schwachstellen im Zusammenhang mit Passwörtern integraler Bestandteil jedes Disaster-Recovery-Plans sein. Eine schnelle Möglichkeit, Passwort-Audits durchzuführen, bieten Tools wie der Specops Password Auditor. Die kostenlose Software scannt das Active Directory und identifiziert passwortrelevante Schwachstellen. Nach dem Scan werden die Informationen in einem ausführlichen Bericht dargestellt, der als PDF-Datei exportiert werden kann.

Fazit

Um Folgeangriffe zu verhindern, müssen nach einem erfolgreichen Cyberangriff sämtliche Passwörter und Zugangsdaten aller Benutzerkonten zurückgesetzt werden. Um dabei die Belastung des Helpdesks so gering wie möglich zu halten und eine sichere Authentifizierung der Konto-Benutzer zu ermöglichen, sind Systeme zum selbstständigen Zurücksetzen von Passwörtern wie Specops uReset das Mittel der Wahl.