ra2 studio - stock.adobe.com
Schritt für Schritt zu einem Incident-Response-Plan
Unternehmen müssen sich auf Sicherheitsvorfälle vorbereiten. Dabei hilft ein Vorfallreaktionsplan. Welche Punkte sollte dieser umfassen und wer sollte dem Notfallteam angehören?
Incident-Management oder auch IT-Störungsmanagement ist die Kunst, nach einem Sicherheitsvorfall aufzuräumen und die Systeme wiederherzustellen. Und ganz gleich, wie man diese Verstöße auch bezeichnen mag – Security-Vorfall, Cyberangriff oder etwas euphemistisch Datenpanne –, man braucht dazu einen Plan und ein Team, das sich der Bewältigung und der Minimierung des Schadens sowie der Wiederherstellungskosten widmet.
Für IT-Verantwortliche gehören Angriffe und Sicherheitsvorfälle fast schon zur täglichen Routine. Und doch gibt es von Zeit zu Zeit Situationen, die sie in Panik versetzen könnten. Wenn alle Alarmglocken läuten: Weiß dann jeder, was zu tun ist? Kennt jeder im Response-Team seine Aufgaben beziehungsweise Verantwortlichkeiten und vor allem den Incident-Response-Plan? Gerade wenn der Druck steigt, ist es wichtig, sich an diesen zu halten, um auf die Bedrohung richtig zu reagieren und sämtliche Gegenmaßnahmen einzuleiten.
Gleichzeitig reicht es natürlich nicht aus, (nur) einen Plan zu haben. Die Sicherheitsteams müssen genauso wie beispielsweise Feuerwehrleute oder Rettungskräfte den Ernstfall trainieren, um in der Situation adäquat zu reagieren. Dies ist seit der Einführung der DSGVO noch wichtiger, denn mit der Identifizierung des Vorfalls fängt die Uhr bereits zu ticken an (und tickende Uhren können an den Nerven zehren): Innerhalb von 72 Stunden muss die entsprechende Datenschutzbehörde informiert und auf den aktuellen Stand gebracht werden.
Die wesentlichen Punkte eines Incident-Response-Plans
Schon vor einigen Jahren hat das SANS Institute, ein genossenschaftlich organisierter und renommierter Anbieter von Cybersicherheitstrainings, ein entsprechendes Handbuch herausgegeben, das nach wie vor der Standard für Incident-Response-Pläne ist. Die aufgeführten sechs Schritte können dabei an die individuellen Anforderungen und Bedürfnisse des jeweiligen Unternehmens angepasst werden.
- Vorbereitung: Ihr Response-Team muss zur gegebenen Zeit wie eine fein abgestimmte Maschine funktionieren – und das erfordert Arbeit. Definieren Sie eine Unternehmens-Sicherheitsrichtlinie: Dazu gehören in der Regel die angemessene Verwendung von Unternehmensdaten, Folgen für Sicherheitsverletzungen und Definitionen darüber, was überhaupt als Sicherheitsvorfall gilt. Erstellen Sie gemeinsam mit dem Team eine Schritt-für-Schritt-Anleitung, wie mit einem Sicherheitsvorfall umgegangen werden soll, einschließlich der Dokumentation von Vorfällen und der internen und externen Kommunikation.
- Identifizierung: Definieren Sie, welche Kriterien das Response-Team aktivieren. Es kann sich um ein bestimmtes Problem handeln, etwa um einen zufällig auf dem Boden gefundenen USB-Stick oder auch eine spezielle Warnung Ihrer eingesetzten Sicherheitslösungen. Beziehen Sie auch Kombinationen von Umständen ein, die auf einen Angriff hindeuten können und somit den Plan auslösen: Zum Beispiel kann ein Alarm bei abnormalem Zugriff in Kombination mit einem Alarm bei einem ungewöhnlichen Upload auf einen Cloud-Speicher in derselben Stunde ein Auslöser für Incident-Response-Maßnahmen sein.
- Eindämmung: Hier sind zwei Arten zu unterscheiden – kurzfristige und langfriste. Eine kurzfristige Eindämmung ist eine sofortige Reaktion, die die Ausbreitung der Bedrohung stoppt, bevor diese weiteren Schaden anrichtet. Sichern Sie alle betroffenen Systeme, um deren aktuellen Zustand für die spätere Forensik zu speichern. Die langfristige Eindämmung beinhaltet die Rückführung aller Systeme in den Ausgangszustand, um einen normalen Geschäftsbetrieb zu ermöglichen, jedoch ohne die Konten und Hintertüren, die den Angriff ermöglichten.
- Eliminierung: Richten Sie einen Prozess zur Wiederherstellung aller betroffenen Systeme ein. Ein guter Ausgangspunkt ist es, alle am Vorfall beteiligten Systeme zu rekonstruieren und Spuren des Sicherheitsvorfalls zu entfernen. Diese Schritte sollten die Besonderheiten der eingesetzten Spiegelungslösungen und der von Ihrem Unternehmen validierten Images enthalten. Aktualisieren Sie schließlich Ihre Verteidigungssysteme, um zu verhindern, dass sich die gleiche Art von Sicherheitsvorfällen wiederholt.
- Wiederherstellung: Bestimmen Sie, wie Sie alle Systeme wieder in die Vollproduktion bringen können, nachdem Sie sich vergewissert haben, dass sie sauber und frei von jeglichen Schädlingen sind, die zu einem neuen Sicherheitsvorfall führen könnten.
- Lehren ziehen: Überprüfen Sie die Dokumentation des Vorfalls mit dem Response-Team für Schulungszwecke. Aktualisieren und verfeinern Sie Ihren IR-Plan auf der Grundlage von Feedback und festgestellten Mängeln. Vergessen Sie nicht, dass IT-Sicherheit ein andauernder Prozess ist, der nur durch ständige Verbesserung erfolgreich gestaltet werden kann.
„Überprüfen Sie die Dokumentation des Vorfalls mit dem Response-Team für Schulungszwecke. Aktualisieren und verfeinern Sie Ihren IR-Plan auf der Grundlage von Feedback und festgestellten Mängeln.“
Thomas Ehrlich, Varonis
Woraus sollte ein Incident-Response-Team bestehen?
Bei allen Maßnahmen kommt es wesentlich auf die Qualität und die Zusammenstellung Ihres Incident-Response-Teams an. Bei den Mitgliedern kann es sich um Vollzeit-Sicherheitsfachkräfte handeln, aber auch um Spezialisten, die im Unternehmen in erster Linie eine andere Rolle innehaben. Das Team sollte dabei unter anderem aus folgenden Positionen bestehen:
- Der Incident-Response-Manager leitet das Team und überwacht die Ausführung des IR-Plans.
- Sicherheitsanalysten bilden so etwas wie die Bodentruppen, welche für die Neutralisierung der Bedrohung und die Eindämmung eines aktiven Sicherheitsvorfalls verantwortlich sind.
- Ein Team aus Bedrohungsforschern ist für die Bereitstellung von Informationen und Recherchen verantwortlich, um dem Sicherheitsvorfall einen Kontext hinzuzufügen. Sie suchen oft nach anderen Vorfällen und analysieren Protokolle nach anderen Hinweisen auf den Vorfall.
Neben diesen Fachleuten ist es sinnvoll, auch andere Personen aus dem Unternehmen mit ins Boot zu holen. Immerhin betreffen schwere Sicherheitsvorfälle nicht nur die IT, sondern das gesamte Unternehmen.
- Aus diesem Grund sollte das Management über alle wesentlichen Schritte informiert werden. Zudem muss es sicherstellen, dass das IR-Team über ausreichend Ressourcen verfügt.
- Die Personalabteilung sollte insbesondere in den Fällen einbezogen werden, wenn Mitarbeiter (wissentlich oder unwissentlich) am Angriff beteiligt sind beziehungsweise Mitarbeiterdaten kompromittiert wurden.
- Compliance und Regulierung sind ein integraler Bestandteil der Datensicherheit, daher sollte die Rechtsabteilung unbedingt einbezogen werden, möglicherweise sogar als Teil des Vollzeitteams. Einige Unternehmen verfügen über hauptamtliche Compliance-Beauftragte, die für diese Rolle prädestiniert sind.
- Da es sich bei einem größeren Datenschutzverstoß durchaus um eine ernstzunehmende Krise handelt, kann eine offene, strategische Öffentlichkeitsarbeit für die Krisenkommunikation hilfreich sein. Dies gilt insbesondere nach der Einführung der DSGVO, die eine Meldung dieser Verstöße vorschreibt.
Und nach dem Sicherheitsvorfall?
Wenn sich der Staub gelegt hat und der Angriff so weit wie möglich abgewehrt wurde (auch weil sich das IR-Team an seinen Plan gehalten hat), ist es dennoch nicht die Zeit für Selbstzufriedenheit beziehungsweise sich zurückzulehnen. Machen Sie eine Bestandsaufnahme und rüsten Sie sich für die nächste Attacke. Denn diese kommt bestimmt.
Führen Sie erneut Schwachstellen- und Risikobewertungen durch und schließen Sie mögliche neue Sicherheitslücken. Hinterfragen Sie Ihren IR-Plan: Hat er sich bewährt? An welchen Stellen muss man nachjustieren? Verfügten wir früh genug über wesentliche Informationen und waren wir in der Lage, den Angriff forensisch nachzubilden? Reichen also unsere eingesetzten Lösungen aus oder müssen wir technologisch „nachrüsten“. Denn eins ist klar: Auch Cyberkriminelle werden immer professioneller und (aus ihrer Sicht) besser.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!