Free1970 - stock.adobe.com
Incident Response: Die richtige Reaktion auf IT-Vorfälle
Auch mit der besten Prävention wird es nie möglich sein, das Risiko für einen Cyberangriff vollständig zu beseitigen. Wer gut vorbereitet ist; kann im Ernstfall richtig reagieren.
Wenn wichtige Systeme plötzlich streiken und die Security-Sensoren Alarm schlagen, ist höchstwahrscheinlich der Ernstfall eingetreten: Das Unternehmen wurde gehackt. Im ersten Schritt ist es wichtig, so schnell wie möglich die Netzwerkverbindung zu trennen, damit sich der Angriff nicht weiter ausbreiten kann. Was nicht durch Software getrennt werden kann, sollte notfalls physisch durch Ziehen von Kabeln getrennt werden. Server herunterzufahren ist nicht empfehlenswert, da dadurch wichtige Daten verloren gehen, die die Forensiker später brauchen. Außerdem sollten Betroffene sofort ein professionelles Incident-Response-Team zu Hilfe rufen, das den Vorfall untersucht, eindämmt, das Netzwerk überwacht und Systeme sicher wiederherstellt. Es wäre fatal zu glauben: Das schaffen wir auch alleine.
Schnell professionelle Hilfe rufen
Viele Unternehmen unterschätzen die psychische Komponente eines Cyberangriffs. Für Betroffene ist das eine extreme Stresssituation. Wenn plötzlich die Existenz auf dem Spiel steht, fällt es schwer, einen kühlen Kopf zu bewahren. Wichtige Dinge, die man sonst selbstverständlich weiß, sind dann auf einmal vergessen. Auch der Notfallplan in der Schublade funktioniert in der Praxis selten so wie gedacht. Thomas Keck, Gründer und Vorstandsvorsitzender der Elabs AG, erzählt: „Wenn du am Tag eins im völligen Wahn steckst, ist der Druck so hoch, dass du Gefahr läufst, komplett falsche Entscheidungen zu treffen.“ Der Unternehmer war selbst einmal von einer schwerwiegenden Cyberattacke betroffen und schildert im Podcast „how-to-decrypt.txt - Chronologie einer Attacke“, wie sich das anfühlt.
Ruhe bewahren und koordiniert vorgehen
Professionelle Incident Responder haben Erfahrung mit Cybervorfällen und wissen genau, was zu tun ist. Ein koordiniertes Vorgehen ist jetzt entscheidend. Incident Response funktioniert nur, wenn jemand die Führungsrolle übernimmt, Ruhe bewahrt und klare Anweisungen gibt. Ein Experte, der nicht persönlich betroffen ist, schafft das am besten. Außerdem benötigt man genug Personal, um die enorme Arbeitsbelastung zu stemmen.
Eine Incident-Response-Situation erfordert meist einen 24/7-Security-Einsatz über mehrere Tage hinweg. Das ist kräftezehrend und gelingt nur im Schichtbetrieb. Dazu kommt, dass spezialisiertes Know-how in vielen verschiedenen Disziplinen erforderlich ist. Neben der reinen IT-Forensik geht es zum Beispiel auch darum, wie man am besten mit Cyberkriminellen verhandelt. Obwohl oft pauschal empfohlen wird, kein Lösegeld zu zahlen, kann die Kommunikation mit den Erpressern – selbst, wenn eine Zahlung klar ausgeschlossen wird – wichtig sein, um Zeit zu gewinnen oder im Zweifel an mehr Informationen zu gelangen.
Dafür sorgen, dass auch garantiert Hilfe kommt
Wie findet man den richtigen Incident-Response-Dienstleister? Das BSI hat eine Liste mit zertifizierten Anbietern veröffentlicht (siehe auch Was bei einem IT-Sicherheitsvorfall zu tun ist). Wer bei einem Cybervorfall erst anfängt, diese Liste durchzutelefonieren, verliert wertvolle Zeit und muss damit rechnen, dass gerade alle Teams ausgebucht sind. Denn IR-Spezialisten sind stark nachgefragt, und auch sie leiden unter Fachkräftemangel. Daher ist es wichtig, sich bereits im Vorfeld vertraglich zusichern zu lassen, dass im Ernstfall garantiert Hilfe kommt. Unternehmen sollten beim Dienstleister ihrer Wahl einen Incident-Response-Retainer über ein festes Tage-Kontingent buchen und per SLAs (Service Level Agreements) eine verbindliche Reaktionszeit festlegen. Zusätzlich empfiehlt es sich, Kontakte zu zwei bis drei weiteren Incident-Response-Anbietern zu pflegen, die man im Notfall anrufen kann, falls der Vertragspartner unvermutet doch nicht zur Verfügung steht.
Die richtige Datengrundlage schaffen
Professionelle Incident Responder ermitteln, was genau passiert ist, wann es passiert ist und wie es passiert ist. Um den Cybervorfall möglichst schnell einzugrenzen, müssen sie analysieren, welche Systeme betroffen sind. Entscheidend dafür ist die richtige Datengrundlage. Windows-Event-Logs allein reichen nicht aus, da diese wenig vertrauenswürdig sind. Cyberkriminelle manipulieren solche Dateien häufig, um unbemerkt zu bleiben. Für das IR-Team sind Telemetriedaten aus den Security-Systemen essenziell, welche die Aktivitäten an den Endunkten und im Netzwerk überwachen. Diese sollten in einer zentralen XDR- oder SIEM-Plattform zusammenfließen und korreliert werden.
Je aussagekräftiger die Daten, desto schneller und zielgerichteter gelingt es, den Cybervorfall einzudämmen. Indem man den „Patient Zero“ identifiziert und den Verlauf der Attacke nachvollzieht, können Unternehmen außerdem aus Fehlern lernen und Schwachstellen schließen. Auch nachdem die IT-Systeme wiederhergestellt sind, ist es wichtig, die IT-Umgebung 24/7 sauber zu überwachen. Denn es gibt keine hundertprozentige Sicherheit, dass sich der Angreifer nicht doch noch versteckt hält und weiter lateral im Netzwerk vordringt.
Das ganze Unternehmen vorbereiten
Um einen Cybervorfall ohne größeren Schaden zu bewältigen, ist eine sorgfältige Vorbereitung entscheidend. Zur Cyber-Defense-Strategie gehört daher unbedingt ein detaillierter Notfallplan. Dieser sollte nicht nur die Notrufnummer des Incident-Response-Dienstleisters und Anweisungen an die IT-Abteilung umfassen, sondern alle Stakeholder im Unternehmen einbeziehen. Denn Incident Response ist keine reine IT-Angelegenheit. Wer meldet einen Cybervorfall bei der zuständigen Aufsichtsbehörde? Wer verständigt betroffene Kunden und Geschäftspartner? Wer kümmert sich um die Krisenkommunikation? All das sind Aufgaben, die nach einem Cyberangriff koordiniert werden müssen. Unbedingt involviert werden sollten zum Beispiel die Rechtsabteilung, die PR- und Marketing-Abteilung, der Datenschutzbeauftragte und natürlich die Geschäftsleitung.
„Incident Response stärkt die Resilienz eines Unternehmens, einen Cyberangriff möglichst ohne gravierende Auswirkungen zu überstehen und die Geschäftskontinuität zu sichern.“
Robert Wortmann, Trend Micro
Ein Notfallplan legt klare Verantwortlichkeiten fest und definiert Abläufe. So weiß im Ernstfall jeder sofort, welche Aufgaben er übernehmen muss. Hilfreich sind dabei auch Business-Continuity-Pläne, die keinen technischen Hintergrund haben und im Risikomanagement oder der Auftragssteuerung angesiedelt sind.
Den Notfallplan prüfen, aktualisieren und testen
Viele Unternehmen haben zwar bereits einen Notfallplan aufgestellt, dabei aber zu kurz gedacht. Wie ermittelt man zum Beispiel, welcher Backup-Stand noch nicht kompromittiert ist? Wie lange würde es dauern, das Offline-Backup, das auf Tapes im Schrank liegt, wieder einzuspielen? Ist das überhaupt rentabel? Unternehmen sollten in ihrem Notfallplan verschiedene Szenarien durchdenken und dabei Handlungsalternativen definieren: Falls A nicht zutrifft, machen wir B. Dazu gehört auch, einen Kommunikationskanal außerhalb der eigenen IT-Umgebung einzurichten, über den man kommunizieren kann, falls das E-Mail-System nicht mehr funktioniert oder Angreifer mitlesen. Empfehlenswert ist zum Beispiel ein sicherer Messanger-Dienst wie Signal.
Ihren Notfallplan sollten Unternehmen jederzeit griffbereit haben und am besten offline ablegen, sodass er bei einem Cyberangriff nicht verschlüsselt werden kann. Mit ins Paket gehört unbedingt auch ein Netzwerkplan, der einen Überblick über die IT-Umgebung gibt. Dieser sollte in regelmäßigen Abständen aktualisiert werden. So hat man zumindest immer einen groben Lageplan, falls das digitale Asset Management während des Cybervorfalls nicht verfügbar ist. Eine Notfallplanung ist nichts, was man einmal schreibt und dann in den Schrank legt. Sie muss regelmäßig überprüft und gegebenenfalls angepasst werden, wenn sich Anforderungen ändern. Um zu testen, ob der Notfallplan in der Praxis auch funktioniert, bietet sich ein Red Teaming oder Purple Teaming an, das eine Angriffssituation simuliert.
Fazit
Incident Response stärkt die Resilienz eines Unternehmens, einen Cyberangriff möglichst ohne gravierende Auswirkungen zu überstehen und die Geschäftskontinuität zu sichern. Nicht umsonst schreibt die NIS2-Richtlinie entsprechende Maßnahmen für kritische Infrastrukturen sowie wichtige und besonders wichtige Einrichtungen verpflichtend vor. Als Mindeststandards definiert Artikel 21, Absatz 2 unter anderem Incident Handling, Backup-Management, Disaster Recovery und Krisenmanagement. Aber auch Unternehmen, die nicht unter die NIS2-Richtlinie fallen, brauchen angesichts der wachsenden Bedrohungslage eine durchdachte Strategie, um einen Cyberangriff möglichst schnell zu bewältigen.
Über den Autor:
Robert Wortmann ist Principal Security Strategist bei Trend Micro.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.