Worst Case IT-Sicherheitsvorfall - und nun?
von Svenja Koch
Vorbereitet für den Worst Case – wenn der Cyberangriff eintrifft
Eine erfolgreiche Cyberattacke trifft viele Unternehmen wie ein Schock. Gleichzeitig meinen viele Unternehmensverantwortliche, gut auf den Ernstfall vorbereitet zu sein. Das Thema Sicherheitsstrategie (EU-DSGVO) ist mittlerweile bei den Entscheidungsträgern angekommen, gerade auch, weil durch die Datenschutz-Grundverordnung der Europäischen Union eine solche faktisch Pflicht ist. Lücken und Probleme zeigen sich jedoch häufig erst dann, wenn eine reale Cyberattacke stattfindet. Das Schlagwort lautet in diesem Fall Incident Response Readiness. Dieser Aspekt wird in der Cyber Strategy von Unternehmen häufig noch vernachlässigt.
Was ist Incident Response Readiness (IRR)?
Unter diesem Begriff werden Methoden und Strategien zusammengefasst, die definieren, wie das Unternehmen im Fall einer Cyberattacke reagieren sollte. Dieser Teil der Angriffsabwehr ist elementar, da ansonsten keine schnelle und korrekte Reaktion auf eine reale Attacke möglich ist. Viele Unternehmen sind der Meinung, dass ihre IT- und Informationssicherheitsstrategie sie vollumfänglich vor Cyberattacken schützt. Tatsache ist jedoch, dass es nach wie vor keine absolute Sicherheit gibt. Ein Risiko für einen erfolgreichen Cyberangriff bleibt grundsätzlich bestehen.
Mit einer guten Vorbereitung und einer implementierten Incident Response (IR)-Strategie ist eine gezielte und schnelle Eindämmung einer Cyberattacke möglich. Teil dieser Strategie ist es, Angriffe in einem frühen Stadium zu erkennen. Weiterhin ist die korrekte Reaktion wichtig. Jedes Unternehmen benötigt eine individuell angepasste IR-Strategie: Hierzu gehören technische und organisatorische Maßnahmen sowie das regelmäßige Training der Mitarbeiter.
IRR konkret – die Umsetzung in der Praxis
Die Umsetzung einer IR-Strategie beginnt mit der Prävention. Ein gutes Beispiel sind PC-Arbeitsplätze, die ungeschützt vor unbefugten Zugriffen sind. Dies passiert, wenn ein Mitarbeiter seinen Platz verlässt, eventuell nur für wenige Minuten, und seinen Computer nicht mit einem Password sperrt. Auch die übergeordnete Ebene in der IT-Verwaltung benötigt Anpassungen. Beim Account Management und den Gruppenberechtigungen gibt es oftmals riskante Nachlässigkeiten. Bei den Zugangsrechten ist es wichtig, darauf zu achten, dass die genutzten Accounts nur die Berechtigungen haben, die wirklich notwendig sind. Setzen Administratoren Accounts mit weitreichenden Berechtigungen für alltägliche Aufgaben ein oder vergeben an normale Nutzer-Accounts zu viele Zugriffsberechtigungen, birgt dies ein erhöhtes Risiko bei einem erfolgreichen Cyberangriff. Über einen solchen Account haben Cyberkriminelle dann einfachen Zugriff auf große Teile der Infrastruktur. Auch unbekannte Remoteverbindungen stellen ein großes Sicherheitsrisiko dar.
Das Logging ist ein weiterer Punkt, der im Bereich IRR Berücksichtigung finden muss. Bei der Früherkennung von Angriffen und der Angriffsabwehr spielt die Auswertung von Logfiles eine bedeutende Rolle. Ist das Logging unvollständig oder stehen keine Systeme und Mechanismen für die Auswertung zur Verfügung, finden Cyberattacken oft unbemerkt statt. Zu den weiteren Risiken zählen veraltete Systeme, fehlerhafte oder ungenügende Einstellungen beim Malwareschutz oder Mängel im Backup-Konzept.
Ein wichtiger Schritt zu einer sichereren Umgebung sind Awareness-Schulungen. In diesen erhalten Mitarbeiter klare Vorgaben und wichtige Informationen über das richtige Verhalten im Umgang mit digitalen Systemen. Hierzu gehört des Weiteren die Definition und Vermittlung von klar definierten Prozessen, Ansprechpartnern und Kommunikationswegen. Jeder Mitarbeiter weiß dann, wie er mit digitalen Informationen umgehen sollte und wen er im Falle eines verdächtigen Vorgangs zu benachrichtigen hat.
Solche präventiven Maßnahmen reduzieren die Cyberrisiken deutlich. Vor allem erhöht sich die Wahrscheinlichkeit, dass Unternehmen Cyberangriffe zeitnah entdecken.
Die rechtlichen Hintergründe
Eine umfassende und vollständige IT-Sicherheitsstrategie ist natürlich im Sinne eines jeden Unternehmens - es geht dabei um die Sicherstellung ihres Tagesgeschäfts sowie ihren Ruf als vertrauenswürdiges Unternehmen. Es spielt jedoch noch ein weiterer Aspekt eine entscheidende Rolle - und dies sind die gesetzlichen Anforderungen.
Da viele Unternehmen persönliche und kritische Daten von Kunden oder Lieferanten verwalten, hat der Gesetzgeber mit der EU-Datenschutzgrundverordnung (EU-DSGVO) die Grundlagen für den Schutz dieser Informationen festgelegt. Hierbei nimmt der Gesetzgeber die Unternehmen in die Pflicht. Beispielsweise besagt die EU-DSGVO, dass Unternehmen Datenschutzverletzungen umgehend melden müssen. Hierfür ist eine Frist von 72 Stunden ab Bekanntwerden eines solchen Vorfalls gesetzt. Darüber hinaus setzt die DSGVO empfindliche Strafen fest, wenn Unternehmen fahrlässig mit digitalen Informationen umgehen.
Des Weiteren relevant ist das IT-Sicherheitsgesetz, das sich an Unternehmen aus der Telekommunikationsbranche, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen (KRITIS) richtet. Der Fokus liegt auf den Faktoren Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit. Die Erfüllung dieser Faktoren müssen Unternehmen jederzeit und vollständig gewährleisten. Alle Systeme der IT und damit einhergehende Prozesse fallen in diese Definition. Das Ziel ist, dass präventive Maßnahmen und ein hohes Sicherheitsniveau Störungen und Beeinträchtigungen des Geschäftsbetriebs verhindern. Somit sind der Schutz von digitalen Informationen und den Systemen der IT auch aus gesetzlicher Sicht von zentraler Bedeutung.
In sechs Schritten zur effektiven Incident Response Readiness
Mit unserer Checkliste kann der Status Ihres Unternehmens in Hinblick auf IRR überprüft werden. Die folgenden sechs Punkte liefern bereits signifikante Indikatoren:
- Organisation: Sind Verantwortliche benannt und gibt es klare Zuständigkeiten für den Fall einer Cyberattacke?
- Richtlinien und Vorgaben: Erfüllt die IR-Strategie die gesetzlichen Richtlinien, insbesondere in Bezug auf die EU-DSGVO und das IT-Sicherheitsgesetz?
- Technologien: Sind entsprechende Systeme für die Unterstützung der Incident Response-Strategie vorhanden, die Cybergefahren identifizieren und zur schnellen Identifizierung konkreter Bedrohungen beitragen? (Hierzu gehören sowohl Hardware als auch Software und Dienstleistungen, wie idealerweise ein Threat Intelligence Service).
- Prozesse: Gibt es klare Strukturen für den Ernstfall? Ist jeder Mitarbeiter mit den Abläufen in einem Notfall vertraut?
- Schulungen: Ist das Personal ausreichend auf Cybergefahren vorbereitet? Gibt es regelmäßige Schulungen - sowohl für das IT-Personal als auch für die Mitarbeiter, die täglich mit der IT arbeiten?
- Evaluation: Überprüfen Experten regelmäßig die implementierten Maßnahmen? Hierbei geht es um die Bewertung von Aktualität und Effektivität der Angriffsabwehr.
Wichtig ist dabei die regelmäßige Kontrolle sowie ggf. Anpassung Ihrer IR-Strategie an geänderte Gegebenheiten. Nur so ist gewährleistet, dass die eigenen IRR-Methoden auch die aktuellen Entwicklungen abdecken.
Fazit
Die Anzeichen für einen Sicherheitsvorfall im eigenen Netzwerk schnellstmöglich zu erkennen, ist für Cybersicherheitsverantwortliche elementar wichtig, um umgehend und angemessen darauf reagieren zu können. Die Voraussetzung für eine permanente Incident Response Readiness eines Unternehmens ist daher die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie. Diese versetzt Unternehmen in die Lage, komplexe Angriffe zu erkennen, abzuwehren und somit ihren Sicherheitsstatus nachhaltig zu erhöhen.