wznutzer 35 Geschrieben 4. März Melden Teilen Geschrieben 4. März (bearbeitet) Guten Tag, nur zur Vorsorge und hoffentlich niemals benötigt, dokumentiere ich, was bei einem IT-Sicherheitsvorfall (Ransomware usw.) getan werden muss. Während ich mir darüber im Klaren bin, was getan werden muss, um z. B. einmal alles neu zu machen, fallen mir zwei Punkte schwer. Analyse, also was das Einfallstor war. Idealerweise beauftragt man einen Dienstleister, aber was sollte der können? Bei AnyDesk wurde offiziell Crowdstrike genannt. Nimmt man einen Dienstleister der z. B. auch Pentesting anbietet? Ist die Nennung solcher Dienstleister hier überhaupt gewollt? Ich habe nun schon von mehreren Firmen die wir kennen gehört, dass diese bei solch einem Vorfall (Ransomware) auch die komplette Hardware ausgetauscht haben. Einen handfesten Grund der sich aus einer Analyse ergeben hat, konnte mir niemand nennen. Eher so: War sowieso mal wieder fällig. Hat der Dienstleister empfohlen. Sicher ist sicher, wer weiß. Gerade die Hardware zu tauschen wäre mir ohne konkreten Grund jetzt nicht eingefallen. Evtl. kann jemand aus Erfahrung berichten, danke. bearbeitet 4. März von wznutzer Schreibfehler Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 4. März Melden Teilen Geschrieben 4. März Theoretisch kann auch HW befallen werden. Es gab wohl schon Maleware, welche sich im Bios eingenistet hat. Außerdem kann ja eine bestimmte Hardware, die man dann austauschen sollte bzw. sauber konfiguriert werden sollte, das Einfallstor gewesen sein. Zitieren Link zu diesem Kommentar
cj_berlin 1.312 Geschrieben 4. März Melden Teilen Geschrieben 4. März Moin, der Grund, warum zum Hardware-Tausch geraten wird, ist UEFI-Persistence. Es gibt einige Proof of Content-Darstellungen und einige wenige tatsächlich durchgeführte Angriffe. Verbreitet ist es nicht, aber ausgeschlossen eben auch nicht. Mit dem Dienstleister seiner Wahl sollte man bereits in Friedenszeiten a. einen Vertrag schließen, der seine Verfügbarkeit bei einem Angriff gewährleistet, und b. im Detail besprechen, wie Daten für die Forensik konserviert werden sollen. Ich kann zwei Firmen nennen, die sehr gut sind, gerne per PM. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 4. März Melden Teilen Geschrieben 4. März Wir haben bei Verdacht grundsätzlich die Festplatte (SSD, m2) ausgebaut, zerstört und durch eine neue ersetzt War der Rechner älter als drei Jahre, Platte raus und weg und den PC zum Recycling gegeben, also einen neuen hingestellt Da wir immer was zum tasuchen da haben(hatten) ist sowas in ein paasr Minuten erledigt (Mittagspasue) Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 4. März Melden Teilen Geschrieben 4. März Hi, zu 1) Das könnte auch ein Thema für eine Cyberversicherung sein. Gruß Jan Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 4. März Melden Teilen Geschrieben 4. März Hab noch was vergessen - natürlcih haben wir (wenn mal Verdacht bestand..) so ein Ding im Labor ohne LAN etc untersucht und meistens nur eine verdächtige Mail bzw. Anhang lokal gefunden Einmal ein Versuch von sozial Phishing, trotzdem die HDD getauscht oder s.o. Einen direkten Angriff gab wir nur einen auf den Exchange selber aber hatten wir bereits vorher Maßnahmen eingeleitet und wir waren nur noch nicht fertig - da hatten wir aber Glück (ganz andere Geschichte...) Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 6. März Autor Melden Teilen Geschrieben 6. März Vielen Dank für den Input und das Angebot die Dienstleister per PN zu nennen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.