Free1970 - stock.adobe.com
Wie sich Firmen bei Sicherheitsvorfällen verhalten sollten
Identitätsbasierte Angriffe sind eine Herausforderung, die alle Branchen und Organisationen betrifft. Im Falle eines Falles müssen Unternehmen die richtigen Schritte einleiten.
Hat ein Unternehmen einen Sicherheitsvorfall entdeckt, stehen neben der internen Untersuchung vor allem das Minimieren von Schäden an Kundendaten und dahingehend der Schutz der eigenen Reputation im Vordergrund. Jahre harter Arbeit, die nötig waren, um Vertrauen und einen guten Ruf aufzubauen, hängen nun davon ab, wie ein Unternehmen den Vorfall kommuniziert. Er verlangt eine umsichtige und gut organisierte Reaktion angesichts eines komplexen Problems. Hier sind die wesentlichen Schritte, die Unternehmen in einem solchen Fall befolgen sollten.
Sofortige und transparente Kommunikation
Sobald ein Angriff bekannt wird, ist die Verschleierung des Vorfalls kein guter Gedanke. Vielmehr sollte das Ausmaß des Schadens eingeschätzt und die Verantwortung übernommen werden. Bei identitätsbasierten Angriffen gehört beispielsweise die Absicherung von Service-Accounts und der Machine-to-Machine-Kommunikation (M2M) und Betroffene sowie relevante Behörden frühzeitig zu informieren. Dabei ist es nicht erforderlich, alle Details zu kennen; entscheidend ist die Transparenz im Umgang mit dem Ereignis. Frühzeitige Kommunikation gibt Kunden und der betroffenen Gemeinschaft Sicherheit und ermöglicht es ihnen, selbst geeignete Maßnahmen zu ergreifen, um den potenziellen Schaden zu mindern und mögliche Risiken zu minimieren.
Eindeutige Informationsübermittlung
Wenn der erste Schock, nachdem man erfahren hat, dass es einen Angriff gegeben hat, nachlässt, setzt das Gehirn schnell in den Aktivierungsmodus über. Um das Vertrauen der Kunden zu bewahren, sollten Unternehmen umfassend und verständlich darlegen, was genau passiert ist. Dazu gehört, Details klar zu formulieren – etwa, welche Systeme betroffen sind, auf welche Daten möglicherweise zugegriffen wurde und welche potenziellen Auswirkungen der Vorfall haben könnte. Oft erwarten Kunden auch das Hinzuziehen externer Cybersicherheitsexperten, um eine unabhängige Analyse zu gewährleisten und sicherzustellen, dass die notwendigen Schritte zur Bewältigung eingeleitet werden.
Offene Kommunikationskanäle
Die Interaktion mit Kunden und die Verfügbarkeit für Rückfragen sind entscheidend für das Signalisieren von Transparenz nach einem Angriff. Unternehmen sollten sicherstellen, dass Kommunikationskanäle für einen aktiven und strukturierten Austausch mit Kunden eingerichtet sind, die eine unmittelbare Reaktion auf Fragen und Bedenken ermöglichen. Ein Reaktionsplan sollte festlegen, wer für die Kommunikation zuständig ist, wann und wie Updates bereitgestellt werden und wie sich die Organisation darauf vorbereitet, den Kommunikationsbedarf auch über längere Zeiträume zu decken.
Updates zum Bearbeitungsfortschritt
Durch regelmäßig aktualisierte Informationen über den Status des Angriffs, der eingeleiteten Gegenmaßnahmen und den Fortschritt der Untersuchung behält das Unternehmen die Kontrolle über die Kommunikation und stabilisiert seine Glaubwürdigkeit. Ein Mangel an Informationen kann dazu führen, dass uninformierte Parteien Hypothesen aufstellen und Fehlinformationen verbreiten. Bei Bedarf sollten präventive Handlungsempfehlungen ausgesprochen werden, etwa durch die Weitergabe von essenziellen Informationen zu Bedrohungsindikatoren (Indicators of Compromise, IOC) und von Taktiken, die zum weiteren Schutz von sensiblen Kundendaten befolgt werden müssen.
„in identitätsbasierter Angriff kann Anlass zur Weiterentwicklung der internen Sicherheitskultur bieten. Das Unternehmen sollte sicherstellen, dass alle Mitarbeitenden ein klares Verständnis dafür haben, wie Gefahren in Zukunft verhindert oder so schnell wie möglich bewältigt werden können.“
Sven Kniest, Okta
Evaluierung des Vorfalls
Nach Abschluss eines Angriffs sollte eine Analyse anhand einer detaillierten Nachbesprechung erfolgen. Diese umfasst sowohl die Bewertung der Reaktions- und Kommunikationsprozesse als auch die Ermittlung notwendiger Optimierungen, um künftige Ereignisse verhindern zu können. Abschließend sollten Unternehmen sicherstellen, dass gewonnene Erkenntnisse in die bestehenden Sicherheitsrichtlinien und -prozesse integriert werden. Die kontinuierliche Optimierung der Maßnahmen zur Gefahrenbewältigung schafft eine solide Basis für den langfristigen Schutz vor ähnlichen Vorfällen.
Langfristige Maßnahmen
Ein identitätsbasierter Angriff kann Anlass zur Weiterentwicklung der internen Sicherheitskultur bieten. Das Unternehmen sollte sicherstellen, dass alle Mitarbeitenden ein klares Verständnis dafür haben, wie Gefahren in Zukunft verhindert oder so schnell wie möglich bewältigt werden können. Der kulturelle innerbetriebliche Wandel trägt maßgeblich dazu bei, die Sicherheitsstrategie nachhaltig zu stärken und Vertrauen bei Kunden und Partnern aufzubauen.
Erkenntnisse
Unternehmen, die auf einen Angriff umgehend und transparent reagieren, relevante Informationen und Unterstützung bieten und die gewonnenen Erkenntnisse für zukünftige Maßnahmen nutzen, stärken nicht nur die eigene Sicherheit, sondern bewahren auch eine ungebrochen gute Beziehung zum Kundenstamm. Die richtige Handhabung ist entscheidend für die Reputation und den langfristigen Erfolg eines Unternehmens. Es ist von großer Bedeutung, dass aus jedem Sicherheitsvorfall ein Learning erfolgt, und auch wenn solche Ereignisse weiterhin geschehen werden, ist es die Art und Weise, wie das Unternehmen reagiert, die für das erfolgreiche Bewältigen der Situation und das Vertrauen der Kundschaft ausschlaggebend sein wird.
Aus Schaden klug werden
Okta wurde vor im Jahr 2023 selbst Opfer eines identitätsbasierten Angriffs, was uns nur darin motiviert hat, unsere Vorreiterrolle in Sachen Sicherheit für die IT-Branche auszubauen. Aus dieser eigenen Erfahrung sind das Projekt Bedrock und das Okta Secure Identity Commitment entstanden, sowie die vierteljährliche „Launch Week“, die neue Produkte und IT-Verbesserungen hervorhebt. Außerdem arbeiten wir zusammen mit der OpenID Foundation daran, einen Identitätssicherheitsstandard für Unternehmensanwendungen zu etablieren. Der neue Open-Source-Standard „Interoperability Profile for Secure Identity in the Enterprise” (IPSIE) möchte Unternehmen einen Rahmen zur Verfügung zu stellen, mit dem sie die Ende-zu-Ende-Sicherheit ihrer Produkte über alle Berührungspunkte hinweg verbessern können. All diese Mechanismen ermöglichen es uns, geeignete Maßnahmen zu definieren und zu ergreifen, aber vor allem sicherzustellen, dass wir uns kontinuierlich auf Verbesserungen und kulturelle Veränderungen fokussieren können.
Über den Autor:
Sven Kniest ist Regional Vice President Central & Eastern Europe bei Okta.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
