admin
December 31, 2021
Sehr geehrte Damen und Herren,
Seit vielen Jahren arbeite ich auch in der Notfallbetreuung und habe entsprechende Erfahrung sammeln dürfen. Jeder Virenbefall ist anderes, da auch die Kunden und deren Netzwerke anders sind.
Aber eines ist immer gleich: Je besser ein Kunde vorbereitet ist, desto geringer ist der Schaden, die Schadensdauer und die Kosten.
Die folgenden Punkte sollten Ihnen helfen, meine Erfahrungen in Ihren Notfallplan zu betrachten.
Und wenn nur ein Punkt helfen sollten, Ihr Netzwerk schneller wieder am laufen zu haben, so sollte es das “lesen” wert sein.
Erkennen eines Virus kann am einfachsten sein, wenn dieser sich selber am Bildschirm meldet. Das ist nicht immer so.
Virenmeldung am Bildschirm: Handlungsweisen an die Mitarbeiter im Vorfeld:
Wenn eine Meldung am Bildschirm kommen sollte, kann diese echt oder gefaked sein. Für die Mitarbeiter:
Ohne eine Virenwarnung:
Keine eindeutige Meldung, “nur” Fehler unterschiedlichster Art,
Der Service geht von da, aber nicht von da, asynchrone Meldungen, Fehler aus den verschiedensten Bereichen und verschiedensten Kommunikationen.
Fehlermeldung die Sinnfrei zu scheinen sein, aber zunehmend sind.
Das Notfallmeldeverfahren sollte im Vorfeld integriert und getestet sein.
Die Notrufnummer muss einfach zu merken sein.
Das darf nicht die gleiche Nummer wie der Support oder die “normale” IT sein
Nummern wie *99 oder ähnliche, einfach zu merken und am besten per Aufkleber auf den Geräten.
Die Kommunikation ist extrem wichtig, jede Verzögerung bedeutet einen Anstieg der Schäden und der Reparaturdauer.
Informationsketten starten
Info an IT Leitung
Info an alle IT Mitarbeiter. Vorsicht Mail könnte den Virus weiter verbreiten oder schon gar nicht mehr funktionieren, ggf. Lautsprecherdurchsagen durch das Gebäude oder die Gebäude
Info an andere Abteilungen, Außenstellen, Netzwerke, Provider
Presseabteilung, Öffentlichkeitsarbeit
Ggf. GF / Vorstand oder besser später, wenn der Schaden bekannt und die Wiederanlaufzeit berechnet ist.
Das funktioniert nur, wenn dieser Prozess individuell erarbeitet und vorbereitet wurde.
Notfallteam sollte zeitnah zusammen kommen können
Vielleicht geht das noch Online, aber eher nicht mehr oder nicht mehr lange
Dokumentation auf Papier führen
Meldeverfahren beinhaltet zeitnahe Bestätigungen, Rückrufe oder SMS Kommunikation haben sich als stabil erwiesen.
Ggf. müssen Behörden (KRITIS) informiert werden.
Externe Hilfe informieren
Schadensbegrenzung / Eingrenzen des Virus /Virusverbreitung intern und extern unterbinden.
Schnellstes Handeln ist extrem wichtig:
Lieber einmal alles gezogen und wieder gestartet als ein Riesenschaden.
Eine Reparatur dauert schnell mehrere Tage, eine “grundloses wieder anfahren nur Stunden”.
Alle Informationen zentral sammeln, protokollieren und auswerten. Festhalten und weiterführen für Testszenario und Wiederanlauf.
Wichtig leider auch: Feststellen, wenn möglich, ob die Dateien auch versendet wurden.
Nachdem die Teams zusammengestellt sind, fängt ein Team an, mit
Da der Virus zugeschlagen hat, ist der aktuelle Virenscanner leider nicht in der Lage dieses Virus abzuwehren.
Vielleicht reicht ein einfaches Update, aber das wäre auch schwach.
Einige Virenscanner reagieren bei unbekannten Viren sehr unglücklich.
So hat einer einmal die Dateien fälschlicherweise als infiziert erkannt und die Dateien:
System.exe, Windows.exe etc. in die Quarantäne geschoben.
Der Schaden durch den Virenscanner war entsprechend hoch, da die Systeme nicht mehr gebootet haben (USB Reparatur weltweit).
Es sollten mehrere Reparaturmöglichkeiten in Betracht gezogen werden.
Am schönsten wäre es, wenn das System durch 802.1x in die Quarantäne geschoben würde, neue AV Signatur, reboot und nach einem Test wieder in das Netzwerk zurückgeschoben werden könnte.
Ja, schön, sehr schön, dann bräuchten Sie hier nicht weiter lesen.
Die meisten Viren kommen via Mail und oder Office Dokumente in das Netzwerk.
Also brauchen Sie ein “mini” System ohne Mail und ohne Office.
Das “mini” System sollte Netzwerk haben, damit AV und OS upgedaten werden können.
Installieren Sie nur Applikation die im mini Betrieb funktionieren müssen.
Weniger ist mehr, Sie können die System später nachinstallieren.
Dafür braucht es selbstverständlich einfache Installations-Software, vorbereitet auf mini Einsatz.
Sinnvoll ist es vorwiegend die reparierten Geräte in ein temporären VLAN: “Ich_bin_mir_nicht_sicher” aber zum Testen sollten es schon gehen Netz im Vorfeld zu erstellen.
Es besteht immer die Gefahr, dass reparierte Systeme wieder befallen werden können. Das nervt ziemlich.
Die Applikation, die das Eintrittstor für den Virus war, muss nicht (sollte auch nicht) im ersten Schritt wieder installiert werden.
Ein “mini” Betrieb, der im Vorfeld definiert wurde, sollte für einige Stunden Zeit bringen können.
Der Betrieb kann im Wesentlichen weiter arbeiten und die Reparatur kann weiter geführt werden.
Welche Phasen wie lange dauern dürfen, sollte im Vorfeld abgeklärt worden sein.
Die Dauer der einzelnen Phasen ist abhängig:
Möglicherweise ist eine Neuinstallation der Geräte nicht nötig, wäre aber sauberer.
Wenn “mini” oder “Default” Testsysteme laufen, kommt das Testteam.
Die Tests müssen im Vorfeld vorbereitet worden sein und aktuell sein.
In dieser engen Zeitspanne können nicht Tests erfunden werden. Die wichtigsten Funktionen der “mini” Applikationen sollten bekannt und testbar sein.
Ein Wiederanlaufverfahren legt fest:
Welche Systeme werden in welcher Reihenfolge (Abhängigkeiten) wieder ans Netz genommen.
Ein sehr wichtiger Vorbereitungspunkt, der oft unterschätzt wird.
Was lief gut, was geht besser?
Die Nachbereitung ist die Vorbereitung für den nächsten Virus.
Mein letzter Fehler in einem Noteinsatz:
Ich habe bei der Teambildung auch die Ruhephasen der Mitarbeiter definiert aber nicht kontrolliert.
Jeder IT Mitarbeiter ist durchaus in der Lage 16 Stunden zu arbeiten und mit 8 Stunden Ruhepause wieder relativ frisch ans Werk zu gehen. Nicht auf Dauer, aber ein paar Tage halten wir das aus.
Leider habe ich die Arbeitszeiten der Teammitglieder nicht kontrolliert. Am zweiten Tag, gegen späten Nachmittag, nach circa 30-34 Stunden durchgehender Tätigkeit waren die Teams sehr “müde” und kein Team war mehr mit dem Minimum vertreten.
Die Teams brauchen neben Kaffee, Bier, Essen auch Ruhe, Erfolge und Motivation.
Es macht sich immer gut, wenn die GF mit einem Abendessen oder ähnlichem vorbei schaut.
Gut war, dass wir Nachts um drei Uhr durch den Betrieb laufen mussten und alle Rechner per USB mit neuem Antivirus-SW rebooten mussten. Das macht wach ;-).
Wie immer: Wenn Sie Kommentare, Fragen oder Anregungen haben: feel free and call or send mail to peter(add)pka.de
Kontaktieren Sie uns unter