:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Notfallplan und Notfallmanagement Richtiges Verhalten bei einem IT-Sicherheitsvorfall
Irgendwann trifft es jedes Unternehmen, und jede Organisation. Wie man so schön sagt ist es „Nicht die Frage ob, sondern wann“ ein Sicherheitsproblem in der IT zu einem tatsächlichen Vorfall wird. Der richtige Umgang ist entscheidend, ein planvolles Vorgehen unabdingbar. Jedes Unternehmen sollte einen Notfallplan bereithalten. Wir zeigen empfohlene Best Practice, die im Ernstfall weiterhelfen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Dass die Zahl der Sicherheitsvorfälle steigt und steigt, bestätigt auch das BSI in seinen Lageberichten. Das ist umso bedenklicher, wenn man betrachtet, wie viel Zeit und Aufwand mit der Abwehr beziehungsweise Prävention als Maßnahmen zum Schutz vor Sicherheitsvorfällen betrieben wird. Jedes Unternehmen sollte einen Notfallplan bereithalten. Doch im Folgenden geht es vielmehr um empfohlene Best Practice, was zu tun ist, wenn etwas geschehen ist oder gerade geschieht. Mit dem Ziel, Auswirkungen zu vermeiden, die durch Beeinträchtigung von Geschäftsfunktionen einen großen Schaden anrichten und die Informationssicherheit erheblich verschlechtern können.
Glücklicherweise gibt es Frameworks, die sich mit diesen Themen befassen – allen voran bei uns in Deutschland das BSI, aber auch das National Institute of Standards and Technology (NIST) sowie das SANS-Institut haben dazu einiges verfasst. Bei SANS sind es im „Incidents Handler's Handbook“ die Abschnitte Identification, Containment, Eradication und Recovery, interessant, die entsprechenden Funktionen bei NIST sind Detect, Respond, Recover.
:quality(80)/images.vogel.de/vogelonline/bdb/1638600/1638675/original.jpg "Die neue IT-Notfallkarte des BSI „Verhalten bei IT-Notfällen“ soll als neues Hinweisschild Mitarbeitern dabei helfen, im Fall der Fälle richtig zu reagieren. (BSI)")
Was tun im IT-Notfall?
IT-Notfallkarte für KMU
Sofortmaßnahmen
Sobald ein Vorfall bemerkt wird müssen, im Idealfall durch ein geeignetes Werkzeug, wie ein SIEM, Maßnahmen durchgeführt werden. Tatsächlich kommt es hier nicht auf Details an, sondern auf Geschwindigkeit. In der IT kennt man generell MTTR, “mean time to resolve”, in der Security kommt MTTD noch davor, die “mean time to detect”. Die Sofortmaßnahmen sitzen dazwischen und sind, je nach Situation, dem Notausschalter an einer Industriemaschine gleichzusetzen. Was immer gerade passiert, muss gestoppt werden und im schlimmsten Fall heißt das „lock-down“: eine komplette Plattform herunterfahren, zumindest jedoch die Kommunikation mit dem Angreifer unterbrechen.
Im Gefahrenfall herrscht oft Unsicherheit, jedoch ermöglicht eine verzögerte Reaktion häufig einen ungewollten Datenabfluss. Schnelles Handeln ist deshalb unerlässlich. Im Anschluss müssen die notwendigen Personen wie der IT-Sicherheitsbeauftragte oder die Geschäftsführung benachrichtigt werden. Eine schnelle Reaktion kann mit Glück sogar bei der Behandlung helfen, bevor tatsächlicher Schaden entstanden ist. Manche Organisationen verfügen über ausreichend Kompetenz und geeignete Werkzeuge wie Echtzeit-Forensik und Automatismen, bei denen die Sofortmaßnahmen von Software gesteuert sind.
Ursachen finden und Nachforschung betreiben
Nachdem die akute Situation beseitigt und unberechtigter Zugriff unterbunden wurde, steht die Suche nach den Ursachen sowie das Ermessen des entstandenen Schadens an. Die jeweiligen Ergebnisse entscheiden über weitere Schritte.
Einige Fragen, die jetzt helfen sind: Wie wurde die Perimeterabsicherung überwunden? Wurde eine bisher unbekannte Schwachstelle einer Software ausgenutzt? Gab es in der letzten Zeit Veränderungen in der IT, wie neue Hardware oder Software? Warum haben alle Präventivmaßnahmen versagt? Warum hat es Zeitraum X gedauert, bis es bemerkt worden ist? Ich schlage noch eine weitere, brisante Frage vor: Hat jemand in der letzten Zeit das Unternehmen „in gegenseitigem Einverständnis“ verlassen? Haben Sie es mit dem Schadensrisiko Innentäter oder kurzfristig im Unternehmen tätigen Fremdpersonal zu tun, welches über volle physische und virtuelle Zugangsmöglichkeiten zu Räumlichkeiten, Netzwerken und Datenbanken im Unternehmen verfügt und zugleich mit den notwendigen sozialen Kontaktmöglichkeiten ausgestattet sind?
Nachdem die Ursachen identifiziert worden sind, kann der Schaden ermittelt werden. Auf welche Ressourcen wurde zugegriffen? Welche Daten sind nach außen gelangt? Wurden Daten gelöscht? Schwieriger festzustellen ist, auf welche Daten generell zugegriffen worden ist und darüber hinaus, ob diese verändert wurden. Wenn nicht vorab ein Werkzeug mit File Integrity Monitoring eingesetzt worden ist, kann man den tatsächlichen Zugriff nicht einwandfrei identifizieren. In Pressemitteilungen liest man dann von „potenziellem Zugriff (auf Millionen von Kundendaten).“
Im Zweifelsfall ist der Schaden vermutlich grösser als zuerst angenommen. Jeder, der sich mit Security beschäftigt, kennt das Konzept des „honey pots“ zur Entlarvung krimineller Cyber- Aktivitäten, aber auch Angreifer nutzen ähnliche Ideen, um Spuren zu verwischen. Hierbei ist es wichtig zu erwähnen, dass das Nachforschen passiv zu erfolgen hat. Es dürfen zum jetzigen Zeitpunkt keine Veränderungen am Ist-Zustand durchgeführt werden.
Wiederherstellung / Recovery
In den meisten Fällen wird von diesem Zeitpunkt an zweigleisig gefahren: Die PR-Abteilung kümmert sich um die Öffentlichkeitsarbeit. Regularien und Gesetze erfordern die Bekanntmachung von Datendiebstählen. Als Beispiel: Die DSGVO erlaubt 72 Stunden vom Entdecken eines Vorfalles bis zum Veröffentlichen des Problems. Es bleibt den Kommunikationsprofis überlassen, den richtigen Wortlaut und die korrekte Tiefe der veröffentlichten Daten zu bestimmen. Ein positives Beispiel aus jüngster Zeit ist der Umgang von Cloudflare mit einem Firewall Problem im Juli; die angewandte Transparenz hat den Großteil des durch den Vorfall verlorenen Vertrauens wiederhergestellt.
Die IT Abteilung hat jetzt andere Sorgen, nach dem Abschalten ist es je nach Tragweite des Vorfalls unerlässlich, zuerst Beweise zu sichern. Der aktuelle Zustand wird dabei auf ein dediziertes Backup System gespielt, und VMs bekommen spezielle Snapshots. Logs werden kopiert und gezielt aufbereitet, und es kann gemeinsam mit den Verantwortlichen mit der Dokumentation des Vorfalls begonnen werden. Der Report muss eine klare Bestandsaufnahme enthalten sowie eine detaillierte Bewertung der ergriffenen Aktivitäten, was gut und was weniger gut gelaufen ist und welche Kosten entstanden sind, um künftig einen gleichartig gelagerten Incident zuverlässig auszuschließen.
Vom Angreifer gelöschte Daten werden vom Backup wiederhergestellt. In nicht wenigen Fällen wurde die Konfiguration von Geräten geändert, auch diese gilt es wieder zurück zu setzen. Eine IT-Inventarliste kann zu Rate gezogen werden, um sicherzustellen, dass alle Elemente in der Umgebung wie beispielsweise Access Points, Server, aber auch Anwendungen, wieder beziehungsweise noch da sind. Aber auch nur dies, „Schläferzellen“ können auch in der IT existieren.
Kontinuität, aber nicht „Business as usual“
Was auch immer passiert ist, darf nie wieder passieren. Also müssen die ausgenutzten Schwachstellen beseitigt werden. Sämtliche Systeme, die versagt haben, sollten in Frage gestellt werden. Das bedeutet nicht automatisch, dass zum Beispiel die Firewall oder der Malware-Filter als unzureichend eingestuft und ausgetauscht werden müssen, aber in jedem Falle steht eine Diskussion mit dem Hersteller an.
Nicht mehr unterstützte Software oder veraltete Versionen, die noch in Betrieb sind, können ernsthafte Probleme darstellen. Gerade im öffentlichen Sektor und im Gesundheitswesen wird aus den verschiedensten Gründen noch auf „legacy“ Produkte zugegriffen, die nicht einfach ausgetauscht werden können. Sehen wir es einmal positiv; der Wille ein Budget zur Investition in ein neues System bereitzustellen, dürfte zu diesem Zeitpunkt gestiegen sein. Aktuell unterstützte Systeme sind selbstverständlich automatisiert zu patchen.
Traurig ist es jedoch, wenn die Ursachenfindung festgestellt hat, dass das Problem hausgemacht war und vermeidbar gewesen wäre. Ein leider oft anzutreffendes Beispiel ist unzureichendes Berechtigungsmanagement. Bei einer prominenten Spielekonsole beziehungsweise dem darunterliegenden Netzwerk des Anbieters kam es zu einem Sicherheitsvorfall, weil das Konto eines Lieferanten auch Jahre nach der letzten Benutzung nicht gelöscht worden ist. Auch Handlungsprotokolle und Incident-Management Pläne sollten an dieser Stelle noch einmal überprüft werden. Hätte man schneller reagieren können, wurden vielleicht nicht die richtigen Personen involviert?
Letztendlich sollte man nicht scheuen und eventuelle externe Hilfe wie etwa von einem Managed Security Service Provider (MSSP) in Betracht ziehen. Gerade in KMU sieht man sich Problemen mit der Priorisierung und Interessenskonflikten gegenüber. Wenn ein MSSP nicht in die Budgetplanung passt, empfiehlt sich das Umschauen auf dem Markt nach einer erschwinglichen Security Software, die auch von IT-Profis aus anderen Fachbereichen als der Security bedient werden kann.
Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.
(ID:46270152)
:quality(80)/p7i.vogel.de/wcms/c6/a1/c6a191973ba053eae0fd75b363d5f7bb/0112820378.jpeg "Nur wenn Unternehmen sich frühzeitig auf IT-Sicherheitsvorfälle vorbereiten und entsprechende Notfall-Maßnahmen mithilfe digitaler Krisen- und Notfallmanagementlösungen implementieren, können sie im Ernstfall rasch und überlegt reagieren und handeln. (Bild: Photobank - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/57/225792358646816a136cd4f17c88350f/0113798273.jpeg "Nach einem erfolgreichen Cyberangriff gilt es zunächst Ruhe bewahren und dann konzentriert nach einem klaren, vorher abgestimmten Plan vorzugehen. (Bild: Andrea Danti - stock.adobe.com)")