Incident-Response-Planung
Bereit für den Ernstfall
Nach einer Cybersicherheitspanne stellen Unternehmen oft fest, dass ein Incident-Response-Plan vor vielen Kosten, Problemen und Betriebsunterbrechungen geschützt hätte. Die Erstellung eines solchen Plans ist aber nicht ganz trivial: Er muss für die individuellen Strukturen eines Unternehmens und dessen Bedürfnisse maßgeschneidert sein. Der folgende Guide unterstützt Unternehmen bei der Aufstellung ihres individuellen Incident-Response-Plans, damit sie im Bedarfsfall bestmöglich auf Vorfälle reagieren können.
1. Die wichtigsten Stakeholder bestimmen: Für die Vorbereitung auf einen potenziellen Sicherheitsvorfall ist nicht allein das Sicherheitsteam im Unternehmen verantwortlich. Tatsächlich wird sich ein Cybervorfall mit hoher Wahrscheinlichkeit auf fast jede Abteilung auswirken. Um die Reaktionsmaßnahmen effektiv zu koordinieren, muss das Incident-Response-Team zunächst festlegen, wer beteiligt werden soll. Häufig ziehen solche Teams Vertreter der Geschäftsleitung sowie der Sicherheits-, IT-, Rechts- und PR-Abteilungen hinzu. Das Team sollte die Entscheidung, wer an der Planung mitwirkt, bereits im Vorfeld treffen und sichere Kommunikationskanäle einrichten, um eine schnelle Reaktion zu gewährleisten.
2. Kritische Ressourcen identifizieren: Um die Schutzstrategie zu erarbeiten und im Ernstfall das Ausmaß und die Folgen eines Angriffs bestimmen zu können, muss das Incident-Response-Team ermitteln, welche Ressourcen, Systeme und Prozesse für das Unternehmen die höchste Priorität haben. Sobald diese klar definiert sind, kann sich das Team bei einem Angriff gezielt darauf konzentrieren und Unterbrechungen des laufenden Geschäftsbetriebs auf ein Minimum reduzieren.
3. Ernstfall durchspielen: Theorieübungen sorgen dafür, dass Incident-Response-Teams im Ernstfall koordinierter und effektiver reagieren können. Zusätzlich sollte ein Unternehmen weitreichendere Übungen durchführen, um Reaktionsmaßnahmen auf eine Vielzahl möglicher Vorfälle durchzuspielen. Jedes dieser Szenarien kann Stakeholder einbeziehen, die über das unmittelbare technische Team hinausgehen. Das Unternehmen sollte im Voraus festlegen, wer bei der Erkennung eines Angriffs zu informieren ist, auch wenn die Security-Organisation den Angriff erfolgreich abgewehrt hat.
Zu den häufigsten Szenarien bei der Reaktion auf Vorfälle gehören die nachfolgenden. Security-Software erkennt einen aktiven Angreifer im Netzwerk: In einem solchen Fall ist entscheidend, dass das Incident-Response-Team ermittelt, wie ein Angreifer die Umgebung infiltrieren konnte, welche Tools und Techniken er verwendet hat, welche Ressourcen er anvisierte und ob er Persistenz etablieren konnte. Diese Informationen helfen dem Team, die richtige Vorgehensweise zu bestimmen und den Angriff zu neutralisieren. Zwar sollte es den Angreifer so schnell wie möglich aus der Umgebung entfernen, aber einige Sicherheitsteams entscheiden sich dafür, den Angreifer zunächst zu beobachten, um wichtige Informationen über seine Ziele und seine Methoden zu sammeln.
Datenpanne: Wird eine Datenpanne festgestellt, ermittelt das Team, was der Angreifer exfiltriert hat und wie. Aus diesen Informationen ergibt sich die angemessene Reaktion, einschließlich der Vorgehensweisen zur Einhaltung von gesetzlichen und Compliance-Vorschriften. Diese können gegebenenfalls eine Benachrichtigung von Kunden oder die Einbeziehung von Rechts- oder Strafverfolgungsbehörden vorsehen.
Ransomware-Angriff: Wenn Angreifer kritische Daten und Systeme verschlüsseln, muss das Team nach einem Plan vorgehen, um die betroffenen Ressourcen so schnell wie möglich wiederherzustellen. Dazu sollte ein Prozess zur Wiederherstellung von Systemen aus Backups gehören. Zudem sollte es sicherzustellen, dass der Angriff nicht erneut erfolgen kann, sobald das Unternehmen wieder online ist. Dazu sollte das Team untersuchen, ob es den Zugriff des Angreifers wirklich gekappt hat. Auch gilt es, eine unternehmensweite Entscheidung darüber treffen, ob das Unternehmen in Extremsituationen bereit wäre, ein Lösegeld zu zahlen – und wenn ja, in welcher Höhe.
Kompromittierung eines Systems mit hoher Priorität: Sollte ein System mit hoher Priorität kompromittiert sein, ist das Unternehmen möglicherweise nicht in der Lage, seinen Geschäftsbetrieb wie gewohnt aufrechtzuerhalten. Zusätzlich zu allen Schritten, die es im Rahmen eines Incident-Response-Plans festgelegt hat, sollte das Unternehmen auch die Erstellung eines Business-Recovery-Plans in Betracht ziehen, um Unterbrechungen des Geschäftsbetriebs im Ernstfall auf ein Minimum zu reduzieren.
- Bereit für den Ernstfall
- Definierte Abwehrmaßnahmen
Lesen Sie mehr zum Thema
