everythingpossible - stock.adobe
Tipps für einen sinnvollen Mobile Incident Response Plan
Ein Vorfallreaktionsplan oder Incident Response Plan sollte auch mobile Geräte berücksichtigen. So integrieren Firmen Smartphones und Tablets in ihr Sicherheitssystem.
Mobile Geräte enthalten sensible Informationen und sind anfällig für Viren und Hacker-Angriffe. Doch Unternehmen entwickeln nur selten Pläne für die Reaktion auf entsprechende Vorfälle (Mobile Incident Response Plan).
Denn viele Firmen vernachlässigen die Incident Response, sprich die Reaktion auf computer- und netzwerkbezogene Sicherheitsvorfälle. Einige Unternehmen konzentrieren sich bei Aktionen gegen Vorfälle auf nach außen gerichtete Firewalls und Server mit Fokus auf Protokollierung, Überwachung und Alarmierung. Manche Unternehmen gehen die Incident Response breiter an und beziehen kritische interne Server und Workstations ein. Und wieder andere Unternehmen haben kritische Anwendungen und Datenbanken im Blick.
Dabei gilt: Unabhängig davon, welchen Ansatz Unternehmen verfolgen – sie sollten mobile Geräte als wichtige Komponente in ihrem Vorfallreaktionsplan berücksichtigen.
Grundlagen eines guten Incident Response Plans
Ein effektiver Reaktionsplan gegen Sicherheitsvorfälle muss nicht kompliziert sein. Er beschreibt in einem Dokument nur das Wer, Was, Wann, Wo von Sicherheitsereignissen und das Wie im Umgang mit ihnen.
Die Vorfallreaktionspläne sollten grundsätzlich folgende Abschnitte enthalten:
- Vorbereiten auf einen Vorfall: Dieser Abschnitt definiert, welche Kriterien einen Sicherheitsvorfall oder eine Sicherheitsverletzung ausmachen, und beschreibt die bestehenden Sicherheitsmaßnahmen sowie die Rollen und Verantwortlichkeiten der Mitglieder des IT-Teams.
- Erkennen und Eindämmen des Vorfalls: Dieser Abschnitt beschreibt, welche Elemente der IT-Infrastruktur die IT-Abteilung überwacht oder überprüft, um Sicherheitsvorfälle zu entdecken und angemessen zu behandeln.
- Beheben von Vorfällen und Wiederherstellung: Hier geht es um die Schritte zur Reinigung von Netzwerksystemen nach Vorfällen, die Wiederherstellung des Systems und die Überwachung auf wiederholt auftretende Vorfälle.
- Meldung von Verstößen: Viele Gesetze, Geschäftspartner oder Verträge mit Kunden verlangen, dass Unternehmen Kunden und andere Parteien benachrichtigen, wenn sie einen Verstoß gegen die Daten- und Informationssicherheit festgestellt haben.
- Nachverfolgung von Vorfällen: Dieser Abschnitt befasst sich mit den Ursachen, den gewonnenen Erkenntnissen und den damit verbundenen Schritten im Nachgang eines Ereignisses.
Ein Incident Response Plan sollte die Kontaktinformationen aller Beteiligten enthalten, einschließlich externer Anbieter. Auch Informationen zu den wichtigen Vorfallreaktionstests der IT-Abteilung und zu verwandten Dokumente wie Sicherheitsrichtlinien, Netzwerkdiagramme und Richtlinien für Cyberversicherungen sollten darin enthalten sein.
Darum ist ein Mobile Incident Response Plan wichtig
Unternehmen lassen mobile Geräte wie Smartphones, Tablets und sogar Notebooks oft aus der Dokumentation der Incident Response heraus. Mobile Geräte bringen jedoch spürbare Risiken mit sich, da die Anwender damit auf sensible Systeme und Informationen zugreifen können.
Sicherheitsvorfälle beginnen oft mit mobilen Geräten, meist mit Social Engineering über Phishing oder Telefonate. Vorfälle mit Malware sind selten, aber auf mobilen Geräten immer noch möglich. Zudem besteht die Gefahr, dass die Nutzer ihre mobilen Geräte verlieren und somit die dort gespeicherten Informationen gefährden – denn ein Verlust oder Diebstahl des Geräts öffnet die Tür für unbefugten Zugriff und den Abfluss von Daten.
Inhalte eines Vorfallreaktionsplans für mobile Geräte
Die IT-Abteilung sollte mindestens die folgenden Themen in einen Incident Response Plan für mobile Geräte aufnehmen:
- Protokollierung, Überwachung und Alarmierung: Diese Funktionen sollte die IT-Abteilung umsetzen, sei es über Standardmaßnahmen für mobile Geräte, über ein MDM-Tool (Mobile Device Management), EMM (Enterprise Mobility Management) oder eine UEM-Lösung (Unified Endpoint Management), die alle im Unternehmen eingesetzten Geräte umfasst. Die Protokollierung, Überwachung und Alarmierung sollte auch Technologien beinhalten, die auf den mobilen Geräten ausgeführt werden. Dazu gehören mobile Apps, Netzwerkverbindungen und Sicherheitstechnologien wie Data Loss Prevention (DLP), Multifaktor-Authentifizierung (MFA) oder das Filtern von Webinhalten.
- Backup von Daten: Im Falle von Diebstahl, Verlust oder einer anderen Art von Gefährdung ist die IT-Abteilung möglicherweise auf ein Cloud- oder lokales Backup angewiesen, um den Betrieb wiederherzustellen. Denn auf den meisten mobilen Geräten sind viele geschäftskritische Informationen gespeichert, oft als einzige Kopie. Daher gilt: Die Daten immer doppelt oder dreifach sichern.
- Passwörter: Die IT-Abteilung sollte die Verfahren zum Zurücksetzen eines Passworts auflisten, sobald ein verdächtiges oder bestätigtes Sicherheitsereignis eingetreten ist. Wenn eine nicht autorisierte Person auf ein Gerät zugegriffen hat, sollte die IT-Abteilung wissen, was mit den Benutzerkonten geschehen soll, die die Anwender in mobilen Anwendungen und Webbrowsern speichern.
- Remote Wipe: Es ist wichtig, dass die IT-Abteilung mobile Geräte aus der Ferne zurücksetzen und alle darauf gespeicherten Daten löschen. Damit stellt sie sicher, dass die Netzwerkverbindungen und Informationen nach einem Verlust oder Diebstahl der Smartphones oder Tablets nicht gefährdet sind.
Bei der Entwicklung eines Mobile Incident Response Plans sollte die IT-Abteilung alle Geräte von Anbietern, Kunden oder Partnern einbeziehen, die auf Informationen auf den Geschäftssystemen zugreifen und diese verarbeiten können. Darüber hinaus sollte die IT-Abteilung auch eine Inventur der anderen Systeme des Unternehmens vornehmen und nach Möglichkeit Schwachstellen- und Penetrationstests auf mobilen Geräten durchführen.