BSI empfiehlt Schutzmaßnahmen
1. Die Verfügbarkeit und Erreichbarkeit des notwendigen Personals (eigenes Personal sowie Mitarbeitende von Dienstleistern) sollten für Präventions- und Reaktionsmaßnahmen geprüft und sichergestellt werden.
2. Notfallpläne prüfen, eine Schadensbewältigung sollte wegen möglicher Kapazitätsengpässe im Ernstfall auch ohne externe Dienstleister möglich sein.
3. Systeme auf aktuellen PatchStand bringen und Einspielen von Notfall-Patches vorbereiten.
4. Härtung aller Systeme mit Zugriffsmöglichkeit von außen. Alle Logins sollten über eine MultiFaktor-Authentifizierung (MFA) geschützt werden.
5. Härtung von Admin-Systemen: Admin-Systeme dürfen nur für administrative Aufgaben und nicht für das „Tagesgeschäft“(persönliche E-Mails, Internet-Recherche etc.) genutzt werden.
6. Erschwerung von Lateral Movement ins Netz und innerhalb des internen Netzwerks. Es gilt, die Vertrauensbeziehungen zwischen diesen Systemen zu minimieren und verschiedene Accounts mit verschiedenen Passwörtern in den jeweiligen Netzen zu nutzen. Außerdem sollte die Detektion verstärkt werden, um Angriffe schnellstmöglich zu entdecken.
7. Backups erstellen und prüfen: Von allen Systemen sollten aktuelle und sichere Backups existieren. Eine Kopie der Backups sollte offline gelagert werden.
8. Recovery vorbereiten und testen: Die Wiederherstellung insbesondere von relevanten Systemen sollte getestet werden.
9. Erhöhung der Funktionsfähigkeit von IT-Betrieb, SOC und CERT bei Lageverschärfung: Sollte es zu einer Verschärfung der Bedrohungslage kommen, sollten alle betroffenen Bereiche in eine erhöhte Funktionsbereitschaft wechseln.