Incident Response Planung

Auf Cyberangriffe richtig reagieren

| Autor / Redakteur: Joachim Kathman / Peter Schmitz

Der wichtigste Faktor bei einem Cyberangriff ist eine sofortige und konsequente Reaktion. Sie kann darüber entscheiden, ob der Angriff ernsthafte Schäden verursacht oder nicht.
Der wichtigste Faktor bei einem Cyberangriff ist eine sofortige und konsequente Reaktion. Sie kann darüber entscheiden, ob der Angriff ernsthafte Schäden verursacht oder nicht. (Bild: Pixabay / CC0)

Unternehmen jeder Größe sind heute ständig durch moderne Cyberattacken bedroht. Das Wissen um die Gefahr alleine reicht allerdings nicht aus. Entscheidend bei einem Sicherheitsvorfall ist eine effiziente und unmittelbare Reaktion. Unternehmen brauchen daher einen aktualisierten Vorgehensplan, einen sogenannten Incident Response Plan.

Ist es organisierte Cyberkriminalität oder war es vielleicht ein Mitarbeiter, der einen infizierten Link angeklickt und so unwissentlich Malware auf den gesamten Unternehmensserver heruntergeladen hat? Eigentlich kann jeder mit Zugriff auf das Unternehmensnetzwerk zum Sicherheitsrisiko werden. Umso wichtiger ist es, die Risiken wahrzunehmen und für den Ernstfall gewappnet zu sein.

Eine effektive Incident Response kann entscheidend für das Unternehmen sein. Einige Firmen haben durch Angriffe Schäden in Millionenhöhe erlitten. Nicht selten wurden nachfolgend der CEO, CIO oder andere hochrangige Mitarbeiter dafür verantwortlich gemacht.

Entscheidend bei einem Sicherheitsvorfall ist eine effiziente und unmittelbare Reaktion. AT&T Cybersecurity Insights Volume 3 (pdf) zeigt die Notwendigkeit eines aktiven Schutzes vor Cyberangriffen. In den ersten 24 Stunden nach einem Angriff hat die mittlere Führungsebene die Aufgabe, sofort ihren Incident Reponse Plan zur Beseitigung oder Isolation der infizierten Software in Kraft zu setzen. C-Level-Führungskräfte hingegen müssen sich vor allem mit den rechtlichen Aspekten, der eigentlichen Angriffsursache sowie mit den Geschäftsauswirkungen auseinandersetzen.

Es reicht nicht, einen Angriff abzuwarten. Entscheidend ist die Vorbereitung. Unternehmen brauchen daher einen aktualisierten Vorgehensplan, einen sogenannten Incident Response Plan. In den vergangenen Jahren sind Cyberangriffe exponentiell angestiegen, weil die Methoden der Hacker für immer mehr Menschen zur Verfügung stehen. Auch neuere Bedrohungen wie Ransomware stellen ein großes Risiko dar.

Der Incident Respone Plan

Auch im Bereich Cybersecurity ist Proaktivität das wichtigste Stichwort für Führungsmitglieder. Leider haben heute immer noch viel zu wenige Unternehmen einen Incident Response Plan. Ganze 40 Prozent der Unternehmen ohne einen solchen Plan geben als Grund den Mangel an Ressourcen oder zu kleine Etats an. Dabei müssen sie unbedingt vorbereitet sein. Das regelmäßige Durchspielen eines Angriffs bietet den Mitarbeitern die Möglichkeit, im Falle interner Sicherheitsvergehen schneller und nachhaltiger zu reagieren. Mit bestimmten Schritten kann ein möglicher Datenverlust verhindert und die Business-Kontinuität aufrechterhalten werden.

Vor dem Angriff: Die Verteidigungslinie muss stehen

Die Reaktion auf einen Cyberangriff erfordert intensivste Zusammenarbeit der Mitarbeiter. Das ideale Response Team ist mit je einem Vertreter aus jeder Abteilung besetzt.

  • 1. Die oberste Führungsebene hat die Aufgabe, Verantwortlichkeiten an bestimmte Mitarbeiter zu übertragen. Die CEOs sind aber auch dafür verantwortlich, die Sicherheitsrisiken zu minimieren und die Auswirkungen auf das Unternehmen so gering wie möglich zu halten.
  • 2. Die IT-Sicherheit muss den Schaden feststellen und analysieren. Das Team sollte außerdem die kriminaltechnischen Spuren sichern, Wiederherstellungsmaßnahmen ergreifen und innerhalb des Unternehmens klar kommunizieren.
  • 3. Die juristische Abteilung ist für die rechtlichen Schritte zuständig: Sie entscheidet über Pressestatements, kontaktiert Rechtsvertreter und ergreift gegebenenfalls weitere Maßnahmen zur Strafverfolgung.
  • 4. Das Kommunikationsteam formuliert Pressestatements und steht in engem Kontakt mit den Medien. In seiner Verantwortung liegt die öffentliche Wahrnehmung.
  • 5. Externe Dienstleister bieten Expertenwissen in Hinblick auf Forensik an und unterstützen das Management bei juristischen, regulatorischen oder Service-Fragen.

Der Sicherheitsbeauftragte (CSO) des Unternehmens fungiert im Ernstfall oft als oberster Teamleiter und Koordinator. Trotzdem muss auch der CEO sicht- und greifbar bleiben. Er muss die Stärken und Schwächen der Teams genau kennen und einschätzen können. Es ist auch entscheidend, sich Unterstützung von externen Dienstleistern zu holen, und das bevor ein Angriff geschieht.

Das Incident Response Playbook

Die oberste Führungsebene sollte den Ernstfall in praktischen Übungen durchspielen, an denen auch der CEO teilnimmt. Bestimmte Schwerpunkte liegen dabei in der Berichtsstruktur, Führungsentscheidungen sowie der Kommunikation nach außen.

Idealerweise finden diese Übungen zwei Mal pro Jahr oder besser noch einmal pro Quartal statt. Der Incident Response Plan muss stets aktuell gehalten werden und auch längerfristige Wiederherstellungsmaßnahmen einbeziehen. Gleichzeitig sollten die CEOs flexibel bleiben, denn es werden immer unvorhergesehene Entwicklungen auftreten.

Unmittelbare Reaktion

Die Aktivitäten nach einem Angriff lassen sich in zwei Kategorien aufteilen:

1. Reaktion: Schon beim kleinsten Verdacht auf einen Cyberangriff registriert das Playbook die Bedrohung. Ein vorgefertigtes Gerüst aus automatisch anlaufenden Aktionen hilft dabei, Bedrohungen bereits im Anfangsstadium zu bekämpfen. Während die Mitarbeiter Art und Schwere der Bedrohung genauer untersuchen, greifen solche Automatismen bereits.

2. Analyse: Das Sicherheits- und IT-Team muss einen abschließenden Analysebericht anfertigen. Computerforensik und andere Maßnahmen helfen den Führungsmitgliedern dabei, die Angriffsursache nachzuvollziehen. Bei einer Cyberattacke fungiert der CEO oft als Sprachrohr. Was immer er sagt – es sollte stets eine Antwort auf die Frage beinhalten, was das Unternehmen zur Unterstützung und Kompensation geschädigter Dritter unternimmt.

Für IT-Spezialisten muss es Priorität haben, wie man auf Cyberattacken vorbereitet ist und diese abwehren kann. Viele Firmen sind hier allerdings nicht ausreichend aufgestellt. Das liegt daran, dass ihnen eine effektive Incident Response Strategie fehlt.

Dieser Prozess ist so komplex und entscheidend, dass CEOs hier umfassende Ressourcen bereitstellten sollten. Sie sollten dies zudem zu einem Teil der Unternehmenskultur machen, um größere Attacken gering zu halten. Aus dem Cybersecurity Report geht hervor, dass die meisten Bedrohungen bekannt sind und sich leicht verhindern lassen. Mithilfe der richtigen Kontrollmechanismen sollten Verantwortliche einen individuellen Response Plan sowie ein kooperatives Team bereithalten.

Letztlich bleibt es trotz allem unmöglich, den Zeitpunkt eines Cyberangriffes exakt vorherzusehen. Dieser kann immer verheerende Folgen haben. Der wichtigste Faktor ist eine unmittelbare und konsequente Reaktion. Sie kann darüber entscheiden, ob der Angriff ernsthafte Schäden verursacht, die lange nachwirken.

Über den Autor: Joachim Kathman ist Managing Director und VP Central Europe bei AT&T.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44714446 / Sicherheitsvorfälle)