wznutzer 37 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 (bearbeitet) Guten Tag, nur zur Vorsorge und hoffentlich niemals benötigt, dokumentiere ich, was bei einem IT-Sicherheitsvorfall (Ransomware usw.) getan werden muss. Während ich mir darüber im Klaren bin, was getan werden muss, um z. B. einmal alles neu zu machen, fallen mir zwei Punkte schwer. Analyse, also was das Einfallstor war. Idealerweise beauftragt man einen Dienstleister, aber was sollte der können? Bei AnyDesk wurde offiziell Crowdstrike genannt. Nimmt man einen Dienstleister der z. B. auch Pentesting anbietet? Ist die Nennung solcher Dienstleister hier überhaupt gewollt? Ich habe nun schon von mehreren Firmen die wir kennen gehört, dass diese bei solch einem Vorfall (Ransomware) auch die komplette Hardware ausgetauscht haben. Einen handfesten Grund der sich aus einer Analyse ergeben hat, konnte mir niemand nennen. Eher so: War sowieso mal wieder fällig. Hat der Dienstleister empfohlen. Sicher ist sicher, wer weiß. Gerade die Hardware zu tauschen wäre mir ohne konkreten Grund jetzt nicht eingefallen. Evtl. kann jemand aus Erfahrung berichten, danke. bearbeitet 4. März 2024 von wznutzer Schreibfehler
Dukel 468 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 Theoretisch kann auch HW befallen werden. Es gab wohl schon Maleware, welche sich im Bios eingenistet hat. Außerdem kann ja eine bestimmte Hardware, die man dann austauschen sollte bzw. sauber konfiguriert werden sollte, das Einfallstor gewesen sein.
cj_berlin 1.508 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 Moin, der Grund, warum zum Hardware-Tausch geraten wird, ist UEFI-Persistence. Es gibt einige Proof of Content-Darstellungen und einige wenige tatsächlich durchgeführte Angriffe. Verbreitet ist es nicht, aber ausgeschlossen eben auch nicht. Mit dem Dienstleister seiner Wahl sollte man bereits in Friedenszeiten a. einen Vertrag schließen, der seine Verfügbarkeit bei einem Angriff gewährleistet, und b. im Detail besprechen, wie Daten für die Forensik konserviert werden sollen. Ich kann zwei Firmen nennen, die sehr gut sind, gerne per PM.
Nobbyaushb 1.580 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 Wir haben bei Verdacht grundsätzlich die Festplatte (SSD, m2) ausgebaut, zerstört und durch eine neue ersetzt War der Rechner älter als drei Jahre, Platte raus und weg und den PC zum Recycling gegeben, also einen neuen hingestellt Da wir immer was zum tasuchen da haben(hatten) ist sowas in ein paasr Minuten erledigt (Mittagspasue)
testperson 1.858 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 Hi, zu 1) Das könnte auch ein Thema für eine Cyberversicherung sein. Gruß Jan
Nobbyaushb 1.580 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 Hab noch was vergessen - natürlcih haben wir (wenn mal Verdacht bestand..) so ein Ding im Labor ohne LAN etc untersucht und meistens nur eine verdächtige Mail bzw. Anhang lokal gefunden Einmal ein Versuch von sozial Phishing, trotzdem die HDD getauscht oder s.o. Einen direkten Angriff gab wir nur einen auf den Exchange selber aber hatten wir bereits vorher Maßnahmen eingeleitet und wir waren nur noch nicht fertig - da hatten wir aber Glück (ganz andere Geschichte...)
wznutzer 37 Geschrieben 6. März 2024 Autor Melden Geschrieben 6. März 2024 Vielen Dank für den Input und das Angebot die Dienstleister per PN zu nennen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden