:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Rechtzeitig auf Cyberangriffe vorbereiten Systematisches Security Incident Management in 6 Schritten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Steigende Preise, stockende Lieferketten, der Krieg in der Ukraine, aber auch der Aufbruch Richtung erneuerbarer Energien, nachhaltiger Produktions- und Lebensmodelle sowie die Adressierung neuer Märkte sind nur einige Aspekte, die neue unternehmerische Risiken bringen. Die IT spielt in diesen volatilen Zeiten fast überall eine unternehmenskritische Rolle: zum einen, weil sie vielfach direkt das Business-Modell ermöglicht oder die zugrundeliegenden Geschäftsprozesse unterstützt, zum anderen, weil sie selbst angesichts der aktuell erhöhten Bedrohungslage vermehrt zum Ziel von Cyberangriffen werden könnte.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnte angesichts des Kriegs in der Ukraine vor einer erhöhten Bedrohungslage und vermehrten Angriffen auf IT-Infrastrukturen in Deutschland und fordert nicht nur die Betreiber kritischer Infrastrukturen, sondern alle Organisationen und Unternehmen dazu auf, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Neben einer wachsenden Anzahl von Sicherheitsvorfällen in den verschiedensten gesellschaftlichen Bereichen sind beispielsweise vermehrt Angriffe auf die Software Supply Chain, auf die IT-Lieferkette zu beobachten – angefangen bei Log4Shell-Schwachstellen bis hin zu Zero-Day-Exploits bei einigen IT-Anbietern. Angreifer nehmen hier nicht direkt und gezielt bestimmte Unternehmen ins Visier, sondern erzeugen Schaden über die Verbreitung und Wiederverwendung vielfach genutzter Softwarekomponenten.
IT-Infrastruktur absichern
Unternehmen gegen Cyberangriffe abzusichern, ist keine einfache Aufgabe: Es braucht eine Reihe von Tools, die unterschiedliche Bereiche einer IT-Architektur absichern: Firewalls und Antiviren-Software beispielsweise sorgen für Abwehr, Monitoring-Tools helfen bei der Aufdeckung versteckter Angriffe, und Public Key Infrastrukturen ermöglichen den verschlüsselten Austausch von Daten. Insgesamt kann der Schutz sensibler Daten und IT-Systeme nur gelingen, wenn eine passende Kombination aus Tools und Verfahren sowie menschlicher Aufmerksamkeit gefunden wird.
Sicherheitsprozesse nicht vergessen
Die Abwehr ist das eine. Was aber tun, wenn es trotz der eingesetzten Tools und Maßnahmen zu einem Security-Vorfall kommt? Deshalb gilt es, den Fokus nicht allein auf das Schwachstellenmanagement zu legen, sondern auch das notwendige Vorgehen bei einem Sicherheitsvorfall vorzubereiten und durch entsprechende Systeme zu unterstützen. Dann können Unternehmen bei Cyberangriffen schnell handeln, vermeiden im Krisenfall zusätzliches Chaos und halten den entstehenden Schaden so gering wie möglich. Systematisches Security Incident Management bereitet Unternehmen und ihre Mitarbeitenden bestmöglich auf den Umgang mit Sicherheitsvorfällen vor.
Security Incident Response in 6 Phasen
Automatisierte Prozesse helfen im Security Incident Management, um optimal auf Sicherheitsvorfälle zu reagieren. Basis für den Umgang mit sicherheitsrelevanten Ereignissen ist die Erstellung eines Planes, in dem Aufgaben und Zuständigkeiten festgelegt werden. In einem Incident Response Plan werden alle nötigen Aktionen definiert und die Verantwortlichkeiten klar festgelegt – folgende Phasen werden dafür empfohlen:
Phase 1: Preparation – Incident Management Tools und Prozesse bereitstellen
Angelehnt an bewährte Best Practices werden mit einem entsprechenden Tool alle wichtigen Phasen definiert. So können bei einem Sicherheitsvorvall die zu einer Reaktion nötigen Informationen in Kürze erfasst werden. Die Kommunikation zwischen allen involvierten Parteien sollte vorbereitet und Kontaktinformationen aufbereitet werden.
Phase 2: Analysis & Identification – Entscheiden, ob ein Sicherheitsvorfall vorliegt
Die Analyse von Daten aus Log-Management-Systemen, IDS/IPS, Threatsharing-Systemen sowie von Firewall-Protokollen und Netzwerkaktivitäten hilft bei der Einordnung von Sicherheitsvorfällen. Sobald eine Bedrohung identifiziert wurde, sollte sie der festgelegten Richtlinie entsprechend dokumentiert und kommuniziert werden.
Phase 3: Containment – Ausbreitung eindämmen und weitere Schäden verhindern
Die Entscheidung, welche Strategie angewendet wird, spielt dabei die größte Rolle. Es stellt sich vor allem um die Frage, welche Sicherheitslücke ein Eindringen ermöglicht hat. Schnelle Schadensbegrenzung, wie die Isolation eines Netzwerksegmentes ist bei vielen Vorfällen der erste Schritt, danach werden oft forensische Analysen zur Evaluierung bemüht.
Phase 4: Eradication – Sicherheitslücken schließen, Schadsoftware beseitigen
Ist die potenzielle Bedrohung eingedämmt, muss die Ursache des Sicherheitsvorfalls gefunden werden. Dafür sollte alle Malware sicher entfernt, die Systeme gepatcht, Updates eingespielt und gegebenenfalls die Software aktualisiert werden. Die Systeme sollten also auf das aktuellste Patch Level gebracht und Passwörter vergeben werden, die alle Sicherheitsanforderungen erfüllen.
Phase 5: Recovery – Systeme und Geräte wieder aktivieren
Um in den normalen Systembetrieb zurückzukehren, sollte stetig überprüft werden, ob alle Systeme den Erwartungen entsprechend laufen. Das wird durch Testen und Monitoring über einen längeren Zeitraum sichergestellt. Das Incident Response Team legt in dieser Phase fest, wann der Betrieb wiederhergestellt wird und ob infizierte Systeme vollständig gesäubert wurden.
Phase 6: Lessons Learned – Klären, was gut lief und was nicht
Nach Phase 5 sollte ein Wrap-up-Meeting mit allen Beteiligten stattfinden. Hier sollten offene Fragen geklärt und der Sicherheitsvorfall final abgeschlossen werden. Mit den Erkenntnissen aus diesem Austausch lassen sich Verbesserungen für künftige Vorfälle erkennen und festlegen.
Security Incident Management Software unterstützt meist eine solche Orchestrierung und Automatisierung von Sicherheitsvorfällen. Sie automatisiert von der Warnung bis zur Reaktion alle Prozesse und sorgt dafür, dass alle beteiligten Personen, Tools und Dienste für ein schnelles Incident Management im Unternehmen zusammenwirken können.
Über den Autor: Jens Bothe ist Vice President Information Security bei der OTRS AG.
(ID:48733399)
:quality(80)/p7i.vogel.de/wcms/5b/fe/5bfe9ac4c9941c8a58330f1e3e0d9130/0111274736.jpeg "Obwohl eine vollständige Prävention unmöglich ist, gibt es mehrere Abwehrmaßnahmen, die vor Zero-Day-Bedrohungen schützen können. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")