Vorstände und Verantwortliche unter Druck

Regeln zur Bewältigung einer Cybersicherheitskrise

Regel 4: Intelligente Eindämmung einsetzen.

Die Eindämmung einer Cybersicherheitskrise könnte Jahre dauern, wenn nach dem Zufallsprinzip alle Empfehlungen befolgt werden, die derzeit verfügbar sind. Wie soll der CISO in Bezug auf das Gleichgewicht zwischen der Eindämmung von Vorfällen und der Aufrechterhaltung des Geschäftsbetriebs und der Vermeidung von Paniksituationen verfahren?

Anstatt alles Mögliche zu tun, kann die Task Force einen risikoorientierten Eindämmungsansatz anwenden, der die wichtigsten Fragen angeht:

Anzeige
  1. Warum wurden wir gehackt?
  2. Was sind unsere wertvollsten Daten und wurden sie kompromittiert?
  3. Wie können wir die Bedrohung abschwächen?

Um zu verstehen, wie man die Bedrohung eindämmen kann, muss man die erste und zweite Frage richtig einordnen. Manchmal ist es sogar erforderlich, den Angreifer eine Zeit lang im eigenen Netzwerk zu belassen, um seine wahren Beweggründe zu ermitteln. Wenn die Motivation destruktiv ist, sollte der Angreifer so schnell wie möglich aus dem Netzwerk entfernt werden.

Bei allen gezielten Angriffen, die sich speziell gegen ein Unternehmen richten und einen bestimmten Zweck verfolgen, wie z.B. der Versuch, Informationen für Spionagezwecke zu stehlen oder das IT-System zu sabotieren, gibt es eine Schlüsselfrage: Haben wir den Patienten Null identifiziert?

Ähnlich wie bei Virenausbrüchen in unserer menschlichen Welt kann der Patient Null helfen, den Angriffspfad zu rekonstruieren und potenzielle versteckte Hintertüren zu identifizieren, die der Angreifer als Backup ins Netzwerk geschaffen hat für den Fall, dass er identifiziert wird. Wenn die Task Force den Patienten Null nicht identifizieren kann, wird sie nicht in der Lage sein, zu bestätigen, ob der Angreifer noch im Netzwerk ist, oder das volle Ausmaß des Angriffs zu bestimmen.

Regel 5: Auf der sicheren Seite sein, aber sich nicht entschuldigen.

Wie hat sich der Sicherheitsvorfall auf den Ruf, die rechtlichen, finanziellen und technischen Aspekte des Unternehmens ausgewirkt? Hat das Unternehmen Geld verloren, weil in den letzten 24 Stunden kein Server betrieben werden konnte? Die Gesamtkosten des Angriffs müssen geschätzt werden. Zu achten ist ebenso auf eine laufende Auswirkung auf den Betrieb, wenn bei der Arbeit an wichtigen Projekten Zeit verloren ging. Diese Analyse ist nicht nur dann erforderlich, wenn eine Cyberrisiko-Versicherung abgeschlossen wurde, sondern hilft auch, aus dem Vorfall die erforderlichen zusätzlichen Investitionen in die Cybersicherheit abzuleiten.

Letztendlich investieren die meisten Unternehmen, die eine Cybersicherheitskrise erleben, deutlich mehr in die Cybersicherheit. Die Konzentration auf Prinzipien wie Zero Trust, die Verbesserung der Sicherheitsregeln und die Vereinfachung von Sicherheitsprozessen und -technologien gehören zu den wichtigsten – und grundlegendsten – Dingen, die man tun kann. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Resilienz auf den Punkt gebracht

„Unabhängig von der Branche ist ein richtiger Cyber-Resiliency-Plan ein Muss, wenn Unternehmen auf den schlimmsten Fall vorbereitet sein wollen. Die Verringerung des Schadensausmaßes, das durch einen Cyberangriff verursacht wird, ist das Hauptziel eines solchen Plans. Der Versuch, das Netzwerk zu schützen, ist eine Sache“, fasst Sergej Epp abschließend zusammen. „Die Aktivierung eines gut durchdachten und stressgetesteten Business-Continuity-Plans kann im Falle eines Angriffs dem Unternehmen jedoch enorme Kosten und Zeit sparen. Daher gilt es vor allem, gut vorbereitet zu sein.“

www.paloaltonetworks.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.