100-prozentigen Schutz vor Cyberangriffen gibt es nicht. Durch Zero-Day-Exploits oder perfides Social Engineering bleibt selbst für Unternehmen mit hohen IT-Sicherheitsstandards ein Restrisiko. Tritt der Ernstfall ein, verhindert eine koordinierte Vorgehensweise größeren Schaden. Wir zeigen Ihnen, worauf es bei der Konzeption eines Incident Response Plans ankommt.
Im Fall einer Cyberattacke trägt eine schnelle und effektive Reaktion entscheidend zur Schadensbegrenzung bei. Damit das klappt, muss man sich jedoch bereits im Vorfeld Gedanken darüber gemacht haben, was in so einem Fall zu tun ist. Das Stichwort lautet hier Incident Response Management.
Was ist Incident Response Management?
Incident Response Management umfasst Strategien, die Unternehmen und Organisationen dabei helfen, schnell und koordiniert auf IT-Sicherheitsvorfälle zu reagieren. Das Ziel besteht darin, Sicherheitsvorfälle zu erkennen, die Situation unter Kontrolle zu bringen, den Schaden zu begrenzen und kompromittierte IT-Systeme möglichst schnell wieder einsatzfähig zu machen.
Generell deckt das Incident Response Management den gesamten Prozess der Reaktion auf Sicherheitsvorfälle ab. Dazu zählen:
- die Vorbereitung und Dokumentation eines Vorfallreaktionsplans
- die Identifikation von Bedrohungen und deren Eindämmung
- die Beseitigung von Schadsoftware und/oder Sicherheitslücken
- Wiederherstellungsmaßnahmen nach einem Vorfall
- anschließende Evaluation und Prozessoptimierung
Incident Response Management hilft Unternehmen dabei, Schäden zu begrenzen, weitere Vorfälle möglichst zu verhindern und geltenden Compliance-Vorschriften gerecht zu werden, wie sie beispielsweise im neuen IT-Sicherheitsgesetz 2.0 definiert sind.
Das Incident Response Team
Die Konzeption eines Reaktionsplans und die Umsetzung der darin festgelegten Verfahren erfolgt durch ein Team aus IT-Experten. Ein ganzheitlicher Reaktionsplan bindet jedoch auch Experten aus anderen Fachabteilungen ein, da IT-Sicherheitsvorfälle nicht nur auf technischer Ebene problematisch sind: Datenlecks können sich negativ auf die Reputation und das Image eines Unternehmens auswirken, worauf mit angemessener Kommunikation reagiert werden sollte. Auch aus rechtlicher und personeller Perspektive besteht Handlungsbedarf. Folgende Rollen und Abteilungen sind daher typischerweise in einen IRP eingebunden:
- Geschäftsführung / C-Level
- Manager für Incident Response
- Sicherheitsanalysten
- IT- und Sicherheitsingenieure
- Bedrohungsforscher
- Rechtsabteilung und Risikomanagement
- Unternehmenskommunikation
- HR
- Externe IT-Sicherheitsexperten
Ein Incident Response Team kann unternehmensintern aufgebaut werden oder über einen Managed Security Service Provider (MSSP) von außen für effektive Sicherheitskonzepte sorgen. Auch die Zusammenarbeit interner Teams mit externen Dienstleistern ist möglich.
Incident Response Tools
Moderne IT-Sicherheitskonzepte umfassen eine Vielzahl an Tech-Lösungen. Sie dienen unter anderem dazu, Sicherheitsvorfälle zu erkennen und in vielen Fällen auch automatisch darauf zu reagieren. Je nach individueller Situation kommen im Rahmen allgemeiner Sicherheitsstrategien und damit auch bei der Reaktion auf Sicherheitsvorfälle zum Beispiel folgende Tools zum Einsatz:
Security Information and Event Management (SIEM):
SIEM-Lösungen sammeln Protokolle von Anwendungen, Infrastruktur, Sicherheitstools, Firewalls und allen anderen relevanten Bestandteilen eines IT-Ökosystems. Erkennt der Algorithmus dabei Unregelmäßigkeiten oder verdächtige Aktivitäten, erhalten Sicherheitsteams eine Warnmeldung und können weitere Untersuchungen in die Wege leiten.
Extended Detection and Response (XDR):
XDR kommt auf Endgeräten wie Laptops, Workstations und Servern zum Einsatz. XDR-Lösungen überwachen Geräte im Hinblick auf Sicherheitsrisiken und leiten gegebenenfalls automatisiert passende, im Vorfeld definierte Maßnahmen ein. Dabei werden beispielsweise kompromittierte Geräte oder Software mit Sicherheitsrisiken vom Netzwerk isoliert.
Netzwerkverkehrsanalyse (NTA):
Die Netzwerkverkehrsanalyse oder Network Traffic Analysis erfasst, protokolliert und bewertet Netzwerkdaten und Kommunikationsmuster im Hinblick auf auffälligen Datenverkehr. NTA ermöglicht die Reaktion auf Sicherheitsvorfälle, die mit dem Kernnetzwerk, betrieblichen Netzwerken oder Cloud-Netzwerken zusammenhängen.
Vulnerability Scanner:
Schwachstellen-Scanner wie der von der DGC entwickelte cyberscan.io® identifizieren potenzielle Risiken in IT-Systemen und helfen dabei, das Risikoprofil eines Unternehmens ganzheitlich zu bewerten und passende Maßnahmen in Stellung zu bringen.
So entsteht ein Incident Response Plan
Ein IRP legt fest, in welcher Reihenfolge und auf welche Art und Weise das Incident Response Team auf Sicherheitsvorfälle reagiert. Im Vorfeld gilt es, ein möglichst hohes Maß an Reaktionsfähigkeit zu gewährleisten und Sicherheitsrisiken zu minimieren:
Kritische Netzwerkkomponenten bestimmen: DaUnternehmensnetzwerke oft sehr komplex sind, gilt es, die wichtigsten Daten und Systeme zu ermitteln und Prioritäten für deren Sicherung zu setzen. Im Rahmen einer Backup-Strategie sollten wichtige Daten grundsätzlich als Sicherheitskopien an einem sicheren Ort gespeichert werden, um im Fall eines Hackerangriffs möglichst schnell wieder handlungsfähig zu sein.
Ausfallsicherheit: Jede kritische Komponente eines Netzwerks sollte kurzfristig ersetzbar sein. Dazu zählen Hardware, Software und auch Mitarbeiterrollen. Über Redundanzen oder Failover-Funktionen bleiben Netzwerkdienste verfügbar. Ist ein bestimmter Mitarbeiter nicht in der Lage, seine Funktion im Rahmen des Reaktionsplan wahrzunehmen, sollte jemand anderes seine Rolle übernehmen können. Darüber hinaus halten Backups und Ausfallsicherungen den Betrieb aufrecht und begrenzen gleichzeitig den Schaden und Unterbrechungszeiten für Netzwerke und Betriebsabläufe.
Mitarbeitende einbinden: Generell ist es ausreichend, wenn die IT-Abteilung die technischen Aspekte des Notfallplans im Detail versteht. Dennoch sollten alle Mitarbeitenden eines Unternehmens für das Thema IT-Sicherheit sensibilisiert werden – und wissen, was für sie im Fall einer Cyberattacke zu tun ist. Eine effektive, abteilungsübergreifende Zusammenarbeit kann die Dauer von Unterbrechungen entscheidend verkürzen.
IRP erstellen: Ein formeller Notfallplan sorgt letztendlich dafür, dass im Fall einer Cyberattacke alle Mitarbeitenden ihre Aufgaben kennen. Zu den wesentlichen Punkten eines IRP zählen:
- eine Liste mit Rollen und Verantwortlichkeiten
- ein Plan zur Aufrechterhaltung des Geschäftsbetriebs
- eine Übersicht zu Tools, Technologien und physischen Ressourcen, die zur Verfügung stehen
- eine Liste mit wichtigen Netzwerk- und Datenwiederherstellungsprozessen
- ein Konzept für die interne und externe Kommunikation
Incident Response Management: Von externen Experten profitieren
Bei der Konzeption eines maßgeschneiderten Incident Response Plans macht sich die Zusammenarbeit mit einem erfahrenen IT-Sicherheitsdienstleister wie der Deutschen Gesellschaft für Cybersicherheit (DGC) bezahlt. Je nach Anforderungen und Branche werden genau die richtigen und wichtigen Maßnahmen kombiniert. Diese reichen von der Beratung zum Aufbau eines unternehmenseigenen Incident Response Teams, über Security Awareness Trainings von Mitarbeitenden bis hin zur vollständigen Übernahme sämtlicher IT-Sicherheitsaufgaben durch die Experten aus dem Cyber Defense Operation Center (CDOC). So gelingt es Unternehmen, sich bestmöglich auf den Ernstfall vorzubereiten und größeren Schaden zu vermeiden.
Gerne beraten wir Sie zu Ihrem individuellen Incident Response Plan. Nehmen Sie jetzt Kontakt auf.