Gut vorbereitet für den nächsten Cybervorfall
Incident Response-Pläne können ihnen dabei helfen, eine Ausbreitung der Bedrohung zu unterbinden. Eine gründliche Vorbereitung und ständige Optimierung des Planes sind dabei essenziell.
1. Was versteht man unter Incident Response?
Unter Incident Response – auch Vorfallreaktion genannt – versteht man die konkrete Reaktion eines Unternehmens auf einen IT-Sicherheitsvorfall. Dies umfasst verschiedene organisatorische und technische Maßnahmen zur effektiven Abwehr und schnellen Eindämmung des Cybervorfalls mit dem Ziel, im Ernstfall keine Zeit zu verlieren und weitreichende Ausfälle und kostspielige Schäden zu verhindern.
Dazu arbeiten die Sicherheitsteams bereits im Vorfeld einen umfassenden Incident Response-Plan aus, der sowohl alle notwendigen Handlungen als auch sämtliche Verantwortlichkeiten der Teams vorgibt.
2. Was ist der Unterschied zwischen Incident Response und Incident Handling?
Obwohl Incident Response, d.h. Vorfallreaktion, und Incident Handling, d.h. Vorfall-Bearbeitung, Hand in Hand gehen und erst zusammen einen soliden Vorfallsreaktionsprozess ermöglichen, versteht man darunter unterschiedliche Aktionen. Incident Response bezieht sich dabei auf die technischen Aspekte der Analyse und die Eindämmung von Vorfällen, während Incident Handling die menschlichen Verantwortlichkeiten fokussiert: Dazu zählen die Kommunikation, Koordination und Zusammenarbeit der einzelnen Mitarbeiter, die erforderlich sind, um den Vorfallsreaktionsprozess erfolgreich abzuschließen.
3. Der Incident Response-Lebenszyklus
Idealerweise umfasst ein Incident Response-Lebenszyklus sechs Phasen:
Vorbereitung / Planung: Die Vorbereitungsphase ist die Basis des Incident Response-Lebenszyklus. Hier muss sichergestellt werden, dass alle Mitarbeiter ihre Rollen und Verantwortlichkeiten kennen und angemessen geschult sind. Es empfiehlt sich, regelmäßig „Schein-Angriffe“ durchzuführen, um den Vorfallsreaktionsplan zu evaluieren und wenn nötig verbessern zu können.
Identifizieren von Vorfällen: Mit der Identifizierung eines potenziellen Cyberangriffs startet der Incident Response-Prozess. Hier gilt es klar zu definieren, auf welche Symptome das Incident Response-Team reagiert. Im Anschluss müssen folgende Fragen beantwortet werden: Wann hat der Angriff begonnen? Wer hat ihn erstmals identifiziert? Welche Bereiche sind betroffen? Ist die bereits bekannt? Welche Auswirkungen auf den laufenden Betrieb gibt es?
Eindämmen von Angriffen: Beim Eindämmen und Minimieren des Vorfalls ist ein behutsames Vorgehen gefragt. Anstatt alle betroffenen Dateien zu löschen, sollte nur die Ausbreitung der Bedrohungen gestoppt werden. Nur so bleiben wichtige Hinweise auf den Ursprung des Vorfalls bewahrt. Alle betroffenen Systeme sollten unbedingt gespeichert werden, um sie im Nachgang forensisch untersuchen zu können.
Umfassende Beseitigung der Bedrohung: Nach der Eindämmung der Bedrohung muss umgehend die Ursache für den Vorfall identifiziert und beseitigt werden. Das heißt, dass alle Schaddateien entfernt, die betroffenen Systeme gepatcht und sämtliche Updates installiert werden. Hier ist Gründlichkeit Trumpf, weil Schadsoftware-Rückstände oder zurückbleibende Schwachstellen im System eine Wiederholung des Vorfalls provozieren.
Wiederherstellung: Wenn garantiert werden kann, dass alle Systeme gepacht und Malware-frei sind, können die betroffenen Systeme und Geräte wiederhergestellt und in ihre Geschäftsumgebung rückgeführt werden.
Lessons Learned: Den Abschluss des Prozesses bildet ein After-Action-Meeting, in welchem sämtliche Erkenntnisse aus dem Cybervorfall besprochen werden müssen. Hier besteht die Möglichkeit, eventuelle Mängel im bestehenden Incident-Response-Plan zu identifizieren und zu beheben und die allgemeine Cybersicherheits-Strategie zu optimieren.
Hundertprozentige Sicherheit vor Cyberangriffen und Datenschutzverletzungen gibt es nicht. Ein Incident Response-Plan, den Unternehmen für den Ernstfall rüstet, sollte deshalb nicht vernachlässigt werden.
1. Was versteht man unter Incident Response?
Unter Incident Response – auch Vorfallreaktion genannt – versteht man die konkrete Reaktion eines Unternehmens auf einen IT-Sicherheitsvorfall. Dies umfasst verschiedene organisatorische und technische Maßnahmen zur effektiven Abwehr und schnellen Eindämmung des Cybervorfalls mit dem Ziel, im Ernstfall keine Zeit zu verlieren und weitreichende Ausfälle und kostspielige Schäden zu verhindern.
Dazu arbeiten die Sicherheitsteams bereits im Vorfeld einen umfassenden Incident Response-Plan aus, der sowohl alle notwendigen Handlungen als auch sämtliche Verantwortlichkeiten der Teams vorgibt.
2. Was ist der Unterschied zwischen Incident Response und Incident Handling?
Obwohl Incident Response, d.h. Vorfallreaktion, und Incident Handling, d.h. Vorfall-Bearbeitung, Hand in Hand gehen und erst zusammen einen soliden Vorfallsreaktionsprozess ermöglichen, versteht man darunter unterschiedliche Aktionen. Incident Response bezieht sich dabei auf die technischen Aspekte der Analyse und die Eindämmung von Vorfällen, während Incident Handling die menschlichen Verantwortlichkeiten fokussiert: Dazu zählen die Kommunikation, Koordination und Zusammenarbeit der einzelnen Mitarbeiter, die erforderlich sind, um den Vorfallsreaktionsprozess erfolgreich abzuschließen.
3. Der Incident Response-Lebenszyklus
Idealerweise umfasst ein Incident Response-Lebenszyklus sechs Phasen:
Vorbereitung / Planung: Die Vorbereitungsphase ist die Basis des Incident Response-Lebenszyklus. Hier muss sichergestellt werden, dass alle Mitarbeiter ihre Rollen und Verantwortlichkeiten kennen und angemessen geschult sind. Es empfiehlt sich, regelmäßig „Schein-Angriffe“ durchzuführen, um den Vorfallsreaktionsplan zu evaluieren und wenn nötig verbessern zu können.
Identifizieren von Vorfällen: Mit der Identifizierung eines potenziellen Cyberangriffs startet der Incident Response-Prozess. Hier gilt es klar zu definieren, auf welche Symptome das Incident Response-Team reagiert. Im Anschluss müssen folgende Fragen beantwortet werden: Wann hat der Angriff begonnen? Wer hat ihn erstmals identifiziert? Welche Bereiche sind betroffen? Ist die bereits bekannt? Welche Auswirkungen auf den laufenden Betrieb gibt es?
Eindämmen von Angriffen: Beim Eindämmen und Minimieren des Vorfalls ist ein behutsames Vorgehen gefragt. Anstatt alle betroffenen Dateien zu löschen, sollte nur die Ausbreitung der Bedrohungen gestoppt werden. Nur so bleiben wichtige Hinweise auf den Ursprung des Vorfalls bewahrt. Alle betroffenen Systeme sollten unbedingt gespeichert werden, um sie im Nachgang forensisch untersuchen zu können.
Umfassende Beseitigung der Bedrohung: Nach der Eindämmung der Bedrohung muss umgehend die Ursache für den Vorfall identifiziert und beseitigt werden. Das heißt, dass alle Schaddateien entfernt, die betroffenen Systeme gepatcht und sämtliche Updates installiert werden. Hier ist Gründlichkeit Trumpf, weil Schadsoftware-Rückstände oder zurückbleibende Schwachstellen im System eine Wiederholung des Vorfalls provozieren.
Wiederherstellung: Wenn garantiert werden kann, dass alle Systeme gepacht und Malware-frei sind, können die betroffenen Systeme und Geräte wiederhergestellt und in ihre Geschäftsumgebung rückgeführt werden.
Lessons Learned: Den Abschluss des Prozesses bildet ein After-Action-Meeting, in welchem sämtliche Erkenntnisse aus dem Cybervorfall besprochen werden müssen. Hier besteht die Möglichkeit, eventuelle Mängel im bestehenden Incident-Response-Plan zu identifizieren und zu beheben und die allgemeine Cybersicherheits-Strategie zu optimieren.
Hundertprozentige Sicherheit vor Cyberangriffen und Datenschutzverletzungen gibt es nicht. Ein Incident Response-Plan, den Unternehmen für den Ernstfall rüstet, sollte deshalb nicht vernachlässigt werden.