So sind Unternehmen auf einen Security-Vorfall optimal vorbereitet

IT-Security ist ein hohes Gut. Obwohl für viele Unternehmen der Schutz ihrer IT-Infrastruktur, Systeme, Workplaces und Daten oberste Priorität hat, ist die Mehrheit für einen Angriff nicht gewappnet.

Wie sich Unternehmen vorbereiten und im Angriffsfall richtig reagieren, zeigen die folgenden sechs Tipps von Arvato Systems.

Anzeige

1. Tipp: Investieren Sie in Cyber Security.

Die meisten Unternehmen haben definierte IT-Krisenprozesse. Häufig eignen sie sich aber nicht, um einen ausgefeilten Angriff abzuwehren. Die Methoden der Hacker werden immer komplexer – ebenso wie die Komplexität der notwendigen Maßnahmen. Je nach Art des Vorfalls haben Sie binnen kurzer Zeit Maßnahmen einzuleiten, die oft jahrelang niemand angepackt hat. Im Zweifel ist Ihre über Jahre gewachsene IT-Infrastruktur innerhalb weniger Wochen komplett neu zu organisieren – was großen Aufwand und hohe Kosten verursacht. Machen Sie also nicht den Fehler, erst dann zu reagieren, wenn Sie durch einen akuten Sicherheitsvorfall dazu gezwungen sind. Investitionen in Cyber Security lohnen sich, weil sie das Risiko eines kritischen Security Incidents nachweislich reduzieren.

2. Tipp: Überprüfen Sie vorhandene Security-Maßnahmen.

Sollten Sie bereits dedizierte Maßnahmen definiert haben, ist das nur die halbe Miete. Um das Security-Level langfristig hochzuhalten, sollten Sie die präventiven Maßnahmen regelmäßig überprüfen: Sind sie geeignet, um einen Sicherheitsvorfall abzuwehren (Prevention) und einem tatsächlichen Angriff zu begegnen (Detection und Response)? Sie müssen jederzeit gegen hochentwickelte Angriffe gewappnet sein. Angriffsmethoden, die bisher nur von APTs (Advanced Persistent Threats) bekannt waren, sind nun auch bei gewöhnlichen Cyber-Kriminellen zu beobachten. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Tipp: Definieren Sie individuelle Maßnahmenpakete.

Cyber Security ist Ergebnis eines fortlaufenden Prozesses und darum höchstindividuell. Für eine erfolgreiche Incident Response (IR) gibt es mehrere Erfolgsfaktoren: Kommunikation, Organisation, Prozesse und Ressourcen. Angelehnt an die jeweiligen Prozesse, sollten Sie einzelne Maßnahmenpakete präventiv ableiten und dokumentieren. Beschreiben Sie das Ziel, die Vorgehensweise sowie die notwendigen Rollen, Unternehmensbereiche und Skills. Beispiele sind hier Domain Administration und Datacenter Management. Auch ein Incident-Response-Kommunikationsplan darf nicht fehlen.

4. Tipp: Gehen Sie strukturiert vor.

Um für den Fall der Fälle bestmöglich aufgestellt zu sein, ist die Incident Response in zwei Handlungsstränge aufzuteilen. Da wäre zunächst die forensische Untersuchung des vermeintlichen Vorfalls. Hier ermitteln Sie, wie und wie tief der Angreifer in Ihre IT-Infrastruktur eingedrungen ist, welche Ziele er verfolgt und welche Technologie er angewendet hat. Hierfür sollten Ihre Analysten neben Logging-Daten auch Informationen der Endpoint Detection sowie des Netzwerk-Monitorings heranziehen und auffällige Systeme bis in die Tiefe analysieren. Üblicherweise konzentrieren sich Analysten dabei auf Active Directory, DMZ (Demilitarisierte Zone) und besonders schützenswerte Bereiche. 

Auf dieser Basis können Sie Maßnahmen zur Abwehr des Angriffs und zur Entfernung des Angreifers aus Ihrem Netzwerk planen. Bei laufenden Vorfällen müssen Sie entscheiden, welche Handlungen ad hoc vorzunehmen (Containment) und welche vordefinierten Maßnahmen anzuwenden sind. Gleiches gilt für die Remediation. Hier brauchen Sie Maßnahmenpakete, die an die Komplexität Ihrer Geschäftsprozesse, den Aufbau der Infrastruktur, die Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr sowie verfügbare Analyse-Skills angepasst sind. Die Abwehrmaßnahmen sollten ebenfalls den Methoden des Angreifers entsprechen.



5. Tipp: Lernen Sie Ihre eigene Systemkritikalität kennen.

Um schützenswerte Bereiche und neuralgische Punkt zu ermitteln, müssen Sie die Eigenheiten Ihrer Organisation, IT-Infrastruktur und vorhandenen Skills genau kennen. Betrachten Sie Incident Response als Mannschaftssport mit Spielern, die ihre Stärken nach abgestimmten Playbooks einbringen. Um die Positionen optimal zu besetzen, braucht es den idealen Mix aus Erfahrung und Skills. Diese Fähigkeiten intern aufzubauen, verursacht großen Aufwand. Einen Dienstleister heranzuziehen, der Managed Security als Service bietet, kann eine Überlegung wert sein. Aber auch dann sind regelmäßige Trainings unverzichtbar, um eine hohe Reaktionsfähigkeit sicherzustellen.

6. Tipp: Setzen Sie auf Teamwork. 

Bei einem Angriff ist das ganze Security-Team gefragt. Das Security Operations Center (SOC) bewertet das Gefahrenpotenzial und entscheidet mit dem Incident Response Team, ob ein Angriff vorliegt. Handelt es sich um einen massiven Vorfall – von Erpressungsfällen mit Ransomware bis hin zu APT-Angriffen –, koordiniert das Incident Response Team die Eindämmungs- und Bereinigungsaktivitäten und führt sie durch. Wichtig ist auch die Nachbereitung. Wer aus einem Vorkommnis strategische Maßnahmen ableitet, kann eine bessere Reaktionsfähigkeit und Resilienz entwickeln. Übertragen auf den Fußball, geht es um Fragen wie: Passten Spielaufbau und Organisation? Waren die Positionen richtig besetzt? Hat die Kommunikation funktioniert? Waren die personellen und technologischen Ressourcen in der richtigen Menge und Intensität verfügbar? War die Visibilität über das Spielgeschehen ausreichend? Schließlich sind Risikomanagement- und Entscheidungsprozesse fortlaufend zu optimieren? Denn: Nach dem Angriff ist vor dem Angriff.

Weitere Informationen rund um Cyber Security gibt es im Lünendonk Whitepaper „Cyber Security – die Digitale Transformation sicher gestalten“, das in Zusammenarbeit von Lünendonk und Arvato Systems entstanden ist.

https://www.arvato-systems.de/

 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.