Im Ernstfall schnell reagieren

In der Bundesrepublik stehen Organisationen jeglicher Größe und Couleur im Fokus von Hackerangriffen. Studien gehen davon aus, dass knapp die Hälfte der deutschen Unternehmen schon einmal Opfer einer Cyber-Attacke wurde. Weil sich inzwischen eher die Frage des „Wann“ statt des „Ob“ eines Angriffs stellt, ist es für IT-Verantwortliche essentiell, einen Master-Plan für den Notfall ausgearbeitet zu haben. Dieser sollte unbedingt auch mit einem Rechtsanwalt abgestimmt werden. Damit der Plan schließlich in jeder Situation von allen Beteiligten auch umgesetzt werden kann, gilt es im Vorfeld folgende sechs Punkte zu berücksichtigen.

1. Governance
Im Ernstfall einer Cyber-Attacke ist es wichtig, dass alle Beteiligten wissen, was sie zu tun haben und dass ihr Vorgehen mit den Richtlinien des Unternehmens übereinstimmt. Auch oder gerade bei einer akuten Bedrohung von außen ist es unumgänglich, im Rahmen der eigenen Sicherheitsvorschriften zu agieren. Denn in einer Situation, wo schnelles Handeln erforderlich ist, bleibt keine Zeit, Zuständigkeiten, Berechtigungen oder Freigaben zu klären. Außerdem muss im Vorfeld geklärt sein, wie der Reporting-Prozess aussieht, damit möglichen Redundanzen und Missverständnissen vorgebeugt wird. Anders ausgedrückt: Wo der IT-Administrator gleichzeitig der CIO ist, muss für den Ernstfall klar geregelt sein, wer aktiv das Feuer löscht und wer in der Kommandozentrale sitzt.

2. Kommunikation
Das führt auch gleich zum zweiten wichtigen Punkt: der Kommunikation. Oft genug gehen Organisationen davon aus, dass „Kommunikation“ nicht extra geregelt werden muss, da sie automatisch dort stattfindet, wo Menschen aufeinandertreffen. Aber leider ist genau das oft die Schwachstelle. Insbesondere, wenn ein Unternehmen über mehrere Standorte verteilt ist oder mit externen Partnern – seien es kooperierende Firmen, IT-Dienstleister oder Security-Experten – zusammenarbeitet. Denn wenn im Notfall zum Beispiel ein bestimmtes System abgeschaltet werden muss, müssen alle Beteiligten informiert sein. Es empfiehlt sich auch, in Punkto Kommunikation einen Stufenplan für verschiedene IT-Sicherheits-Notfälle ausgearbeitet zu haben: Wer muss in welchem Fall informiert werden und wer übernimmt gegebenenfalls die Vertretung, falls eine Person im Urlaub oder krank ist.

3. Visibilität
Zu wissen, was im unternehmenseigenen Netzwerk abläuft, ist eine elementare Grundvoraussetzung dafür zu erkennen, ob alles seinen geordneten Gang geht. Dafür braucht man die entsprechenden Technologien, die einem von einer zentralen Oberfläche Einblick in alle IT-Bereiche liefern und auch beizeiten auf mögliche Schwachstellen hinweisen. Dem Security-Verantwortlichen muss es zu jedem Zeitpunkt möglich sein, Activity Logs zu erhalten und selbst an jeder Stelle des Netzwerks eingreifen zu können. Im Idealfall wird das Security-Team benachrichtigt, wenn unautorisierte Nutzer in das Netzwerk eingedrungen sind oder eine Attacke im Gange ist.

Es lohnt sich, einmal im Vorfeld sein Netzwerk auf eine durchgängige Visibilität zu durchleuchten. Häufig finden sich „blinde Flecken“ –  zum Beispiel wenn sich einzelne Abteilungen weigern, gewisse Sicherheitsstandards einzuhalten, aus dem vermeintlichen Grund, sie könnten so nicht effektiv arbeiten.

Aber: Nur wer die Struktur und die Vorgänge seines IT-Netzes genau kennt, ist auch in der Lage, auffällige Aktivitäten rechtzeitig zu entdecken und richtig zu deuten.

4. Intelligence
Ein detailliertes Verständnis über die Fähigkeiten, Techniken und möglichen Ziele von Angreifern verbessern die Qualität und die Geschwindigkeit der Reaktionsfähigkeit ganz maßgeblich. Mittlerweile lässt sich sehr viel Wissen über Cyber-Bedrohungen aus öffentlichen Online-Quellen wie Blogs und Fachartikeln einsehen. Darüber hinaus ist es empfehlenswert, wenn sich Unternehmen oder Organisationen zu Public-Private Partnerschaften zusammenschließen und auf diesem Weg ihre Informationen hinsichtlich Cyber-Attacken teilen. Gerade in Zeiten, da immer neue Angriffsarten dazukommen! In manchen Fällen bringen solche gelebten Partnerschaften mehr wertvolles Wissen hervor als die anonyme Theorie im Web. FireEye teilt seine Erkenntnisse über Bedrohungen sowohl über die Website als auch im Zuge von Partnerschaften mit anderen Organisationen.

5. Response
Der ultimative Test der eigenen Security tritt dann ein, wenn man wirklich auf einen Störfall reagieren muss. Deshalb gilt es im Vorfeld zwei Fragen mit JA zu beantworten:

  • Hat das Team das entsprechende Training, um im Falle einer Störung effektiv und effizient reagieren zu können?
  • Notfallpläne helfen nicht, wenn sie nicht regelmäßig geprobt werden. Ähnlich wie bei einer Übung der Feuerwehr müssen Szenarien immer wieder durchgespielt und trainiert werden.
  • Ist die IT-Organisation mit der entsprechenden Hard- und Software ausgestattet, mit der sich über das gesamte Unternehmensnetzwerk agieren lässt?

Im Ernstfall sind manuelle Tools nicht immer ausreichend, während automatisierte Systeme die Situation oftmals schneller und zudem präziser klären können.

6. Metrics
Metriken, im Rahmen des Notfallplans erhobene Messungen, tragen zu einer kontinuierlichen Verbesserung der Antwortzeit bei. Es ist sinnvoll, die Metriken beispielsweise in den folgenden Kategorien zu erheben:

  • Wie lange hat es gedauert, bis ein in das System eingedrungener Angreifer entdeckt wurde?
  • Wie lange hat es anschließend gedauert, bis der Angreifer tatsächlich entfernt und der Schaden behoben werden konnte?

Entscheidend ist, dass nach einer erfolgten Maßnahme die Metriken ausgewertet werden und  der Response-Plan gegebenenfalls angepasst wird.

 

Für noch mehr Praxis-Tipps zu Notfallplänen und Details zu Reaktionsfähigkeiten bei Security-Bedrohungen empfehlen wir das Whitepaper „Are You Ready to Respond?“ sowie unser Webinar.