Mit dem richtigen Notfallplan die Sicherheitskatastrophe abwenden

Eine praktische Checkliste gewährleistet im Fall eines Cyberangriffs eine schnelle Wiederherstellung des Betriebs.

Eine IDC-Umfrage aus dem letzten Jahr hat gezeigt, dass 98 Prozent der Unternehmen in den letzten 18 Monaten mindestens eine Datenschutzverletzung in der Cloud erlebt haben, verglichen mit 79 Prozent im Jahr davor. Zugleich gaben fast 60 Prozent der 200 befragten CISOs und Sicherheitsentscheider an, mangelnde Transparenz und unzureichendes Identitäts- und Zugriffsmanagement sei eine Hauptbedrohung für ihre Cloud-Infrastruktur.

Anzeige

Egal ob Ransomware-Bedrohungen oder Malware-Angriffe – Unternehmen auf der ganzen Welt erleben eine deutliche Zunahme von Cybersecurity-Verstößen, die nicht nur verheerende Auswirkungen haben, sondern vor allem gut koordiniert sind. Die meisten Cyberangriffe zielen dabei auf menschliches Versagen ab, ganz gleich, ob sie es darauf anlegen, dass Nutzer auf Links klicken, die auf kompromittierte Webseiten führen, oder aber infizierte E-Mail-Anhänge öffnen. Neben der richtigen Sicherheitstechnologie ist ein Unternehmen also auch stark vom Verhalten seiner Mitarbeiter abhängig und davon, dass diese die richtigen Sicherheitsentscheidungen treffen. Für die Security-Verantwortlichen in Unternehmen bedeutet dies, dass sie ihre Verteidigungsstrategien noch besser an hartnäckigen Angreifern anpassen und insbesondere ihre Reaktion auf mögliche Cybervorfälle im Vorfeld koordinieren müssen.

Checkliste für den Notfallplan

Um zu vermeiden, dass ein Unternehmen während eines Angriffs in den Notfallmodus wechseln muss, sollten die Verantwortlichen Cybervorfälle methodisch planen. Ein bewährtes Mittel hierfür ist die Entwicklung und Umsetzung eines Vorfallreaktions-Plans, auch Incident-Response-Plan genannt. Dieser ermöglicht es Unternehmen, Schäden zu minimieren, Kosten zu reduzieren und eine rasche Wiederherstellung zu gewährleisten. Die folgende Checkliste zeigt, wie Unternehmen einen soliden Notfallplan umsetzen können. 

1. Zuständigkeiten definieren: Der erste Schritt bei der Ausarbeitung eines Notfallplans besteht darin, Verantwortlichkeiten festzulegen und den Mitarbeitern im Unternehmen ihre jeweilige Rolle bei der Umsetzung der Notfallmaßnahmen zuzuteilen. Dazu gehört, dass die Teammitglieder hinsichtlich der im Plan vorgesehenen Schritte, Hilfsmittel und Technologien geschult werden. Außerdem muss sichergestellt werden, dass der Notfallplan regelmäßig aktualisiert wird und an etwaige Veränderungen innerhalb des Unternehmens angepasst wird. Die Verantwortung für den Incident Response-Plan sollte dabei bei leitenden Mitarbeitern und Führungskräften liegen, um zu gewährleisten, dass die Maßnahmen abteilungs- und funktionsübergreifend integriert werden.

2. Rollen verständlich machen: Tritt ein Cybervorfall ein, sind in der Regel sowohl alle unternehmensinternen Abteilungen als auch externe Parteien betroffen, einschließlich der Teams auf der Führungs- und C-Level-Ebene, die Rechtsabteilung, Personalabteilung, Finanzabteilung aber auch Marketing und Vertrieb. Sie alle müssen darüber aufgeklärt sein, wie sich ein Cyberangriff auf ihre jeweiligen Aufgaben auswirkt und was von ihnen im Falle eines Notfalls erwartet wird, um das Unternehmen bei der Eindämmung und Wiederherstellung zu unterstützen. 

3. Alternative Kommunikationsmethoden bereithalten: Während eines Vorfalls sind herkömmliche Kommunikationsmittel wie E-Mail oder VoIP möglicherweise nicht verfügbar. Um eine ordnungsgemäße und rechtzeitige Kommunikation mit Kunden und Mitarbeitern zu gewährleisten, müssen die Unternehmen daher Kontaktdaten und alternative Kommunikationsmethoden bereithalten. Dazu gehört auch ein klarer Plan, was an wen und zu welchem Zeitpunkt kommuniziert wird.

4. Details des Vorfalls dokumentieren: Sobald der Ernstfall eingetreten ist, müssen alle Aspekte und Details aufgezeichnet und dokumentiert werden. Wann hat sich der Vorfall ereignet? Wer hat ihn entdeckt? Zu welchem Zeitpunkt haben die Sicherheits- und IT-Teams eingegriffen? Neben der Dokumentation dieser Punkte ist es zudem wichtig, die Art und den Charakter des Ereignisses zu identifizieren und zu bestätigen, dass es sich auch tatsächlich um einen Cybervorfall handelt. 

5. Die Bedrohung eindämmen: Die wichtigste Maßnahme im Incident-Response-Plans ist zweifellos die Eindämmung der Bedrohung und das zeitnahe Stoppen des Angriffs. Die Sicherheits- und IT-Teams müssen hierbei abwägen, ob es möglich ist, die Bedrohung zunächst noch zu beobachten und von ihrem Vorgehen zu lernen, oder ob diese sofort eingedämmt werden muss, indem der Betrieb unmittelbar unterbrochen wird. Darüber hinaus müssen die Verantwortlichen den Umfang des Angriffs bestimmen und feststellen, welche sensiblen Daten offengelegt wurden. Dabei empfiehlt es sich, bestimmte Indikatoren für eine Kompromittierung (Indicators of Compromise/IoCs) heranzuziehen, um das Ausmaß der betroffenen Systeme zu bestimmen. Außerdem sollten Firewalls und die Netzwerksicherheit aktualisiert werden, um wertvolle Beweise für die Nachverfolgung zu sichern.

Während dieses Schrittes müssen Unternehmen auch mögliche rechtliche Folgen und Auswirkungen auf Regularien berücksichtigen. Je nach Schwere und Sensibilität des Vorfalls gilt es zu entschieden, ob das Unternehmen uneingeschränkt weiterarbeiten kann oder ob die Strafverfolgung- bzw. Datenschutzbehörden eingeschaltet werden müssen.

6. Kompromittierungen beseitigen und Systeme wiederherstellen: Einer der letzten Schritte der Checkliste ist die Wiederherstellung von betroffenen Systemen und Software in ihren ursprünglichen Zustand. Während dieses Prozesses sollten die Sicherheits- und IT-Teams erneut Beweise für eine ordnungsgemäße digitale Forensik sammeln und alle verbleibenden Risiken beseitigen, damit sich Angreifer nicht erneut Zugriff verschaffen können. Diese Maßnahme umfasst die Bestandsaufnahme von Protokollen, Speichern, Audits, Netzwerkverkehr sowie Festplattenabbildern. Gleichzeitig werden Systeme gepatcht, der Netzwerkzugang gesperrt, Passwörter kompromittierter Konten zurückgesetzt und die Ursache des Vorfalls ermittelt, um ähnliche Angriffe in Zukunft zu verhindern. Nach der Wiederherstellung müssen Systemintegrität, -verfügbarkeit und -vertraulichkeit sichergestellt werden, damit der Betrieb zeitnah wieder aufgenommen werden kann.

7. Erkenntnisse gewinnen: Sobald der Wiederherstellungsprozess abgeschlossen ist, es ist wichtig, zu besprechen, welche Erkenntnisse aus dem Vorfall gezogen werden können. Was hat bei der Umsetzung des Notfallplans gut funktioniert und was muss verbessert werden? Wenn sich die Verantwortlichen die Zeit nehmen, zu reflektieren und einen Reaktionsbericht zu verfassen, sind sie in der Lage, sich auf weitere Ernstfälle in der Zukunft besser vorzubereiten. Nur wer aus einem Cybervorfall lernt, kann auch Veränderungen und weitere Investitionen in Mitarbeiter, Schulungen und Technologien anstoßen, um die Sicherheit des Unternehmens nachhaltig zu verbessern.

Die Erstellung eines Incident Response-Plans ist eine zeitaufwändige und manchmal auch frustrierende Aufgabe, vor allem, wenn man das Gefühl hat, dass das eigene Unternehmen von Cyberangriffen eigentlich gut geschützt ist. Tatsache ist aber, dass die Wahrscheinlichkeit, Opfer von Cyberkriminalität zu werden, angesichts der zunehmenden Bedrohungen und des hohen Potenzials für menschliches Versagen immer größer wird. Hat ein Unternehmen einen klaren und soliden Plan für die Reaktion auf Cybervorfälle an der Hand, können die damit verbundenen Auswirkungen und Risiken effektiv reduziert werden und das Unternehmen kann sich schnell erholen. 

Autor:

Joseph Carson Delinea 160 Joseph Carson, Chief Security Scientist, Delinea, www.delinea.com/

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.