:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/be/6bbe1379fb9763b7043275abaf6d5e9f/0112127544.jpeg "Die Cloud hatte großen Einfluss auf die Backup-Branche. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gesponsert
Be prepared Security Incident Response Playbooks
Was bisher oft nur unter Experten für Cyber Security / Informationssicherheit offen ausgesprochen wurde, findet sich mittlerweile in den Artikeln bekannter Zeitungen, Fachblätter und Blogs wieder - der Fakt, dass es heute nicht mehr die Frage ist, ob man angegriffen wird, sondern nur noch wann und in welchem Ausmaß.
Gesponsert von
Basierend auf dieser Annahme und den daraus resultierenden Konsequenzen, verbleibt einem verantwortungsbewussten Management nur eine sinnhafte Handlungsoption und diese lautet: „So gut wie möglich für den Ernstfall vorbereitet zu sein.“
Was bedeutet das konkret? Schaffen wir alle proaktiven Sicherheitsmechanismen wie z.B. Firewalls ab und betrachten nur noch Fragestellungen, die sich mit dem Umgang eines Sicherheitsvorfalles beschäftigen? Die klare Antwort lautet: NEIN. Wie immer ist es der richtige Mix, der sich aus proaktiven Sicherheitsmechanismen und dem Erarbeiten eines möglichen Umgangs mit einem Sicherheitsvorfall ergibt. Hierbei ist zu beachten, dass mittlerweile auch Global Player mit ausgereiften Security Operation Center nicht immer Angriffe abwehren oder sofort erkennen können. Daran kann man erkennen, dass auch diese Unternehmen erkannt haben, dass die Vorbereitung auf ein solches Ereignis essenziell ist und man sich vor allem mit dem Umgang und den Maßnahmen zur Eindämmung der Auswirkungen auseinandersetzen muss. In diesem Zusammenhang können grundsätzlich immer folgende zwei Fragen gestellt werden.
- 1. Was wird grundsätzlich unternommen, um Sicherheitsvorfälle zu verhindern?
- 2. Wie wird vorgegangen, wenn jetzt ein Sicherheitsvorfall eintritt?
Ein wesentliches Element für eine solch gute Vorbereitung sind die sogenannten Playbooks – sinnführend übersetzt könnte man von Reaktionsplänen sprechen. Ziel dieser Playbooks ist es, die Auswirkungen eines bereits eingetretenen Cybersecurity-Vorfalls möglichst gering zu halten. Dies wird primär dadurch erreicht, dass man für einen klar definierten Vorfall (Scope-Definition) bereits effektive und abgestimmte Aktionen, Verantwortlichkeiten und Kommunikationsstrukturen festgelegt hat.
Was aber macht ein gutes Playbook aus?! Hier die wichtigsten Merkmale dafür:
- Der Vorfall, der das Playbook in Gang setzen soll, muss eindeutig und widerspruchsfrei definiert werden
- Der Fokus der Aktionen / Anweisungen muss darauf liegen „Wie gehe ich mit den Konsequenzen des definierten Vorfalls um?“ – die Frage nach der „Ursachenforschung“ steht hier NICHT im Mittelpunkt
- Die Dokumentenstruktur und auch die Formulierungen sind einfach zu halten, so dass nicht nur ein Cybersecurity-Experte mit jahrzehntelanger Erfahrung den Ausführungen folgen kann
- Keine „theoretischen Abhandlungen“, sondern praktische Anwendbarkeit der Anweisungen bezogen auf die jeweiligen Gegebenheiten
- Hilfestellungen und Regelungen zur Entscheidungsfindung - beispielsweise sollte geklärt sein, welche Zielsetzungen prioritär (bspw. Wiederherstellung des Betriebs / Analyse etc. verfolgt werden
- Definition von Melde- und Informationsketten – sowohl für externe (z. B. Versicherungen, Behörden) als auch interne Stellen (z. B. Geschäftsführung, Datenschutzbeauftragter, Informationssicherheitsbeauftragter)
- Festlegung von Kommunikationswegen sowie Kommunikationsmitteln (z. B. zur Information / Benachrichtigung von Behörden, Aufsichten, Kunden, Geschäftspartner)
- Aktualität – hier ist eine regelmäßige Pflege / Aktualisierung der Playbooks gemeint
Kritische Stimmen aus dem operativen Bereich werden jetzt sicherlich die Frage aufwerfen „Brauche ich Playbooks für alles?“ – die Frage lässt sich nicht mit einem klaren Ja oder Nein beantworten, da für die sinnvolle Erstellung von Playbooks die einzelnen Gegebenheiten zu betrachten sind. Hierbei spielen vor allem die individuellen Schadenspotenziale eine große Rolle. Grundsätzlich ist zu beachten, dass Playbooks eine gewisse Abstraktionsebene nicht verlassen sollten. Zu detailliert gestaltete Ansätze erzeugen lediglich eine zu große Vielzahl an Dokumenten. Aufgrund der aktuellen Angriffsverteilung empfiehlt es sich mit einem Playbook für Ransomware-Befall zu starten. Sinnhafterweise sollten folgende Szenarien zusätzlich sukzessive im Rahmen von Playbooks behandelt werden.
- Ausbruch von Viren bzw. Malware
- Vorgehen bei DDoS bzw. DoS-Angriffen
- Umgang mit Datenpannen / Datenverlust
- Umgang mit kompromittierten Credentials
- Vorgehen bei Missbrauch von Credentials / Berechtigungen
In Anbetracht der doch nicht kleinen Anzahl werden sich viele fragen, ob Playbooks nicht ein weiteres Stück Papier für die Ablage sind und damit „unnötigen Aufwand“ darstellen. Ob sich dies bewahrheitet, hängt davon ab, inwiefern IT-Security gelebt wird. Messbar ist dies oft an Punkten wie durchgeführte Lessons learned nach einem Sicherheitsvorfall oder auch darin, ob man Ressourcen für eine Simulation von Sicherheitsvorfällen / die Nutzung von Playbooks bereitstellt. Denn auch hier gilt – wie bei allen Notfallvorkehrungen – „Übung macht den Meister“. Hier ist es sicherlich auch sinnvoll eine effiziente Verbindung z. B. zum Bereich Notfallübungen im Sinne eines Business Continuity Managements (BCM) herzustellen. Ein Playbook Probelauf kann sicherlich im Rahmen eines BCM-Testszenarios mit erprobt werden und die gemeinschaftlichen Lessons learned tragen in beiden Feldern zu einer Verbesserung bei.
Abschließend lässt sich festhalten, dass Playbooks ein wichtiges Instrument im Umfeld der IT-Sicherheit bzw. im Umgang mit Sicherheitsvorfällen darstellen. Wie bei jedem guten Konzert ist es aber nicht ein Instrument, das für den Wohlklang sorgt, sondern es ist das Zusammenspiel diverser Instrumentengruppen.
Eine Besonderheit jedoch gibt es bei Playbooks. Sie setzen nach der Erkennung bzw. Detektion eines Sicherheitsvorfalls auf und bilden somit oftmals die letzte Verteidigungslinie, bevor man sich mit Fragestellungen beschäftigen muss, die den Bereichen Backup & Restore also Themen wie baue ich die Umgebung wieder auf bzw. auf welcher Infrastruktur / Plattform baue ich neu auf, zuzuordnen sind.
Mit der stetig steigenden Zahl von Sicherheitsbedrohungen und -vorfällen steigt auch die Notwendigkeit bei Unternehmen und Organisationen, die eigenen Informationen zu schützen. Das PROFI-Beratungs- und Lösungsportfolio setzt hier an und schafft Transparenz hinsichtlich der gesetzlichen Rahmenbedingungen, branchenspezifischer Regularien und dem Reifegrad Ihrer IT-Security.
- Sie haben Fragen dazu, dann helfen Ihnen unsere Security-Experten gerne weiter: Kontakt
(ID:47710370)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945954/original.jpg "Mit der Version 6 von „Backup for Microsoft 365“ will Veeam den Administrationsaufwand senken. (WSF)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934670/original.jpg "Laut einer von Quantum in Auftrag gegebenen Studie verschieben 78 Prozent der befragten Unternehmen ihre Daten ständig zwischen Cloud-Speichern, Data Center und Edge. (gemeinfrei)")