Photobank - Fotolia

Was macht einen guten Vorfallreaktionsplan aus?

Ein Vorfallreaktionsplan, auch Incident Response Plan (IRP) genannt, ist nur dann gut, wenn er auch getestet wird.

Eine aktuelle Umfrage des Ponemon Institute hat ergeben, dass die Mehrheit der Geschäftsführer und Sicherheitsverantwortlichen angibt, inzwischen einen Vorfallreaktionsplan in ihren Unternehmen etabliert zu haben. Allerdings glauben nur 34 Prozent von ihnen, dass ihre entsprechenden Vorkehrungen auch wirklich wirksam sind. Wenn ein paar der folgenden Punkte berücksichtigt werden, kann das das Vertrauen in den Incident Response Plan steigern.

Vorfallreaktionspläne müssen sich an eine ganze Reihe von verschiedensten Vorschriften halten. In jedem Fall ist es eine gute Idee, auf die irgendwann unvermeidliche Datenschutzverletzung entsprechend vorbereitet zu sein. Damit ein Vorfallreaktionsplan auch wirkungsvoll ist, sollte er folgende Eigenschaften mitbringen:

  • sich an Industriestandards halten, beispielsweise NIST 800-61 Rev 2;
  • reale Störfallszenarien beinhalten;
  • riskiobasiert sein, die größten Risiken sollten jährlich überprüft werden;
  • umfassend sein und die Auswirkungen auf die unterschiedlichsten Abteilungen wie Geschäftsführung, IT, Öffentlichkeitsarbeit und Rechtsabteilung berücksichtigen;
  • beinhalten, welche öffentlichen Stellen und Behörden zu benachrichtigen sind;
  • die jeweiligen Testergebnisse sollten an die Geschäftsführung übermittelt werden, um deren Bewusstsein für die Problematik zu steigern und entsprechend Unterstützung zu bekommen;
  • die Pflege des Plans sollte einem bestimmtem Team obliegen – dem Incident Response Team. Dies kann verhindern, dass die Auswirkungen von Sicherheitsvorfällen unterschätzt werden und
  • die Geschäftsleitung in die Übungen miteinbeziehen. Dies unterstützt die Bedeutung eines derartigen Planes.

Incident Response Plan testen

Das Testen des Planes ist von elementarer Bedeutung. Unternehmen sollten nicht bis zu einem tatsächlichen Vorfall damit warten, um herauszufinden, ob der Incident Response Plan auch wirklich funktioniert.

Laut dem Verizon Data Breach Investigations Report aus dem Jahr 2015 waren in 60 Prozent der Fälle die Angreifer in der Lage, innerhalb weniger Minuten in die IT von Unternehmen einzudringen. 40 Prozent dieser Angreifer konzentrierten sich auf Zugangsdaten beziehungsweise Anmeldeinformationen. Mit folgenden exemplarischen Szenarien kann man den eigenen Plan immer wieder testen:

  • Vorfall 1: Diebstahl durch Mitarbeiter. Vertrauliche Informationen werden durch Mitarbeiter, die ihre Position und Autorität missbrauchen, gestohlen. Diese erlangen dadurch finanzielle oder andere materielle Vorteile, entweder direkt oder indirekt.
  • Vorfall 2: Es werden Kundenkreditkarten gestohlen, ohne dass Mitarbeiter daran beteiligt sind. Die Sicherheit des Unternehmen wurde durch externe Quellen verletzt, ob die Daten exportiert wurden ist nicht bekannt.
  • Vorfall 3: DDoS-Attacken. Durch Distributed-Denial-of-Service-Attacken ist der Zugriff auf Kundendaten massiv gestört.
  • Vorfall 4: Gestohlene Benutzer-/Passwortdaten. Es sind Anmeldeinformationen des Unternehmens, sprich Benutzerkennungen und Passwörter, durch den Einsatz von Trojanern gestohlen worden.

Je häufiger man einen Vorfallreaktionsplan testet, überarbeitet und anpasst, umso größer wird im Ernstfall das Vertrauen in denselben sein. Die Geschäftsführung wird so eher davon überzeugt sein, das das Unternehmen gut auf einen Störfall vorbereitet ist, und eventuelle Risiken so weit wie möglich abfedern kann. Das Testen dieser Vorfälle und des Incidents Response Plans mag zeitaufwendig und teuer sein, aber Unternehmen können es sich kaum leisten, es nicht zu tun.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management