Incident Response Readiness: Die Voraussetzungen für eine funktionierende Angriffsabwehr in Ihrem Unternehmen
von Svenja Koch
Viele Unternehmen haben bereits umfangreiche Sicherheitsvorkehrungen getroffen und gehen davon aus, sie seien damit vollständig vor Sicherheitsvorfällen geschützt. Doch dies ist ein Trugschluss, denn eine 100-prozentige Absicherung vor Cyberangriffen gibt es nicht. Evaluieren Sie die Fähigkeit Ihrer Teams zur Erkennung, Abwehr und Eindämmung komplexer Angriffe. Es gilt, eine Abwehrstrategie zu implementieren und so eine Incident Response Readiness (IRR) in Ihrer Organisation zu schaffen.
Mit einer effektiven Incident Response Readiness stellen Unternehmen sicher, dass sie über angemessene Ressourcen und Kompetenzen verfügen, um frühzeitig Anzeichen für einen Sicherheitsvorfall erkennen und schnell darauf reagieren zu können. Dazu muss eine auf das Unternehmen abgestimmte Abwehrstrategie entwickelt und darauf basierende technische und organisatorische Maßnahmen getroffen werden, um den Sicherheitsstatus nachhaltig zu erhöhen – und auf diesem Niveau langfristig zu halten. Damit eine Wirksamkeit im Ernstfall sichergestellt ist, ist es erforderlich, dass diese IRR-Prozesse in die Unternehmenskultur und die täglichen Arbeitsabläufe eingebunden werden.
In vielen Unternehmen ist der Stand der Incident Response Readiness jedoch noch unzureichend, um umgehend und angemessen auf einen erfolgreichen Cyberangriff reagieren zu können. Dabei werden organisatorische Maßnahmen ebenso häufig vernachlässigt wie technische Maßnahmen. So müssen bereits die Arbeitsplätze aller Mitarbeiter mit in die IRR-Strategie einbezogen werden. Wird beispielsweise der Arbeitsrechner bei Abwesenheit des Nutzers nicht automatisch gesperrt, ist das Risiko hoch, dass sich unbefugte Dritte Zugang zu persönlichen Informationen verschaffen. Häufig mangelt es auch an regelmäßig durchgeführten Awareness-Schulungen für die Mitarbeiter, die notwendig sind, um sie für Cyberrisiken zu sensibilisieren. Nur wenn jeder Mitarbeiter optimal geschult ist, lassen sich erfolgreiche Cyberangriffe zeitnah erkennen und angemessen auf Sicherheitsvorfälle reagieren. Darüber hinaus sind klar definierte Prozesse und Kommunikationswege für eine effektive IRR-Strategie von zentraler Bedeutung.
Auf technischer Ebene vereinfacht nach wie vor mangelndes Account Management, wie zum Beispiel Gruppenbenutzer oder unbekannte Remoteverbindungen, Cyberkriminellen das Eindringen in das Unternehmensnetzwerk. Bei der täglichen Arbeit verwenden User Administratoren-Accounts, wodurch auch Unbefugte Zugriff auf sensible Daten erhalten können. Durch fehlendes oder unzureichendes Logging lassen sich eventuell relevante Vorgänge im Ernstfall nicht ausreichend nachverfolgen. Darüber hinaus werden Sicherheitsvorfälle durch veraltete Systeme, fehlerhafte oder ungenügende Einstellungen des Malwareschutzes und Mängel in den Backup-Konzepten begünstigt. Daher können viele Unternehmen auch nach erheblichen Investitionen in ihre Cybersicherheit nicht mit Gewissheit sagen, wie zuverlässig und wirksam ihre Abwehrmaßnahmen sind. Ein Active Directory Security Check deckt die IT-Sicherheitslücken im technischen Bereich auf und gibt Aufschluß über noch notwendige umzusetzende Maßnahmen.
Gesetzliche Anforderungen
Die Sicherheit des eigenen Unternehmens und der verarbeiteten Informationen sollte bereits Grund genug sein, eine angemessene Strategie zur Incident Response Readiness zu etablieren. Doch auch aus rechtlicher Sicht besteht für Unternehmen eine Notwendigkeit in dieser Strategie. So schreibt beispielsweise die Datenschutz-Grundverordnung (DSGVO) vor, dass Datenschutzverletzungen der Aufsichtsbehörde umgehend gemeldet und die betroffenen Personen benachrichtigt werden müssen. Die Frist von 72 Stunden beginnt mit Bekanntwerden der Datenschutzverletzung und der tatsächlichen Möglichkeit des Verantwortlichen, eine entsprechende Meldung abzugeben.
Auch das IT-Sicherheitsgesetz spielt für die Incident Response Readiness eine wichtige Rolle – insbesondere für Kritische Infrastrukturen (KRITIS). Gemäß diesem Gesetz müssen die Sicherheitsziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit stets bewahrt werden. Dabei geht es vor allem darum, die informationstechnischen Systeme, Komponenten oder Prozesse zu schützen, deren Ausfall zu einer erheblichen Beeinträchtigung des Geschäftsbetriebs führen kann.
Mit Strategie vor Sicherheitsvorfällen wappnen
Eine umfassende Incident-Response-Readiness-Strategie beinhaltet detaillierte Vorgehensweisen und Maßnahmen zur angemessenen Behandlung von Sicherheitsvorfällen. Um sich über den eigenen Status bewusst zu werden, sollten die Verantwortlichen in Unternehmen folgende Aspekte berücksichtigen:
- Organisation
Sind Aufgaben und Zuständigkeiten für den Fall eines Angriffs definiert und Verantwortlichkeiten klar zugewiesen? - Richtlinien und Normen
Erfüllt Ihre Incident Response-Strategie die geltenden rechtlichen und regulatorischen Vorschriften (Reaktionszeit, Meldewege etc.)? - Technologie
Stehen Ihrem Unternehmen die nötigen Tools (Hardware und Software) zur Verfügung, um Cyberbedrohungen umgehend und permanent zu erkennen (wie z.B. ein Threat Intelligence Service)? - Prozesse
Wurden eindeutige Abläufe für verschiedene Notfallszenarien festgelegt? Wissen die verantwortlichen Mitarbeiter, was bei einem Sicherheitsvorfall zu tun ist? - Schulungen
Haben Ihre Mitarbeiter die nötige Expertise, um angemessen auf einen Sicherheitsvorfall zu reagieren? Werden die Sicherheitsprozesse des Unternehmens mit Planübungen auf technischer und Führungsebene regelmäßig getestet? - Beurteilung
Wird die Funktionalität Ihrer Abwehrmaßnahmen für Bedrohungsszenarien und Incident Response regelmäßig von Cyber Security-Experten überprüft?
Eine gute Voraussetzung für eine funktionierende Incident Response Readiness besteht, wenn folgende Dos und Dont’s bei einem Sicherheitsvorfall berücksichtigt werden:
Zu tun
- Sicherheitsvorfall dokumentieren: Was? Wann? Wo? Wer? Wie?
- Sicherheitsvorfall gemäß definierter Meldewege kommunizieren.
- Alle weiteren eingeleiteten Schritte dokumentieren.
- Keine Daten verändern!
- Kompetente Beweissicherung einleiten!
Vermeiden
- Sicherheitsvorfall außerhalb der definierten Meldewege kommunizieren.
- Zeitverzögerte Meldung des Sicherheitsvorfalls bei Betroffenen oder Verursacher.
- Vorschnelles Abschalten von Systemen.
- Verzögerter Beginn der Analysen durch Forensiker.
- Zerstören von Beweisen durch übereilte und ggf. unqualifizierte Handlungen.
Fazit:
Die Anzeichen für einen Sicherheitsvorfall im eigenen Netzwerk schnellstmöglich zu erkennen, ist für Cybersicherheitsverantwortliche elementar wichtig, um umgehend und angemessen darauf reagieren zu können. Die Voraussetzung für eine permanente Incident Response Readiness eines Unternehmens ist daher die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie. Diese versetzt Unternehmen in die Lage, komplexe Angriffe zu erkennen, abzuwehren und somit ihren Sicherheitsstatus nachhaltig zu erhöhen.