Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei Cyberangriffen der Faktor Zeit eine wesentliche Rolle. Je schneller die richtigen Maßnahmen eingeleitet werden, desto günstiger das Resultat.

Im Gegensatz dazu können lange Reaktionszeiten zu Bußgeldern, verlorenem Kundenvertrauen, Produktionsausfällen und Umsatzeinbußen führen. Wie schafft man es also, Angriffe schnell zu erkennen und früh die ersten und vor allem richtigen Gegenmaßnahmen einzuleiten, um den Schaden möglichst gering zu halten?

Am Anfang steht der Plan

Die Grundlage jeder Sicherheitsstrategie sollte ein solider Incident Response Plan sein. Dieser stellt sicher, dass jeder Mitarbeiter in einem Unternehmen seine Rolle während eines Vorfalls kennt und weiß, was er wann zu tun hat. Gleichzeitig sorgt er für geordnete Abläufe in einer Krisensituation, da sämtliche Schritte bereits getestet und abgestimmt sind, anstatt zu improvisieren.

Aber auch ein guter Plan allein reicht nicht aus, vielmehr muss er regelmäßig überprüft werden und die entsprechenden Notfallteams auch den Ernstfall trainieren. An dieser Stelle sei auf das Handbuch des SANS Institute verwiesen, das nach wie vor der Standard für Incident-Response-Pläne ist. Es umfasst sechs Schritte, welche die Grundlage für einen wirkungsvollen Reaktionsplan legen: Von der Vorbereitung und Identifizierung der Probleme über die Eindämmung und Eliminierung bis hin zur Wiederherstellung und (ganz wichtig) dem Lernen aus dem Vorfall. (Team?)

Welche Faktoren beeinflussen die Reaktionszeit?

Eine Studie von Centrify fand (nicht besonders überraschend) heraus, dass gerade die Vorbereitung auf einen möglichen Angriff eine Schlüsselrolle spielt und es dabei auf ein starkes Engagement in Bezug auf IT-Sicherheit ankommt. Dies umfasst beispielsweise aktive CISOs, Schulungs- und Sensibilisierungsprogramme zur Reduzierung der Fahrlässigkeit der Mitarbeiter oder strategische Security-Investitionen. Darüber hinaus zeigte die Studie auch, dass gut aufgestellte Unternehmen nach einer Datenschutzverletzung innerhalb von nur sieben Tagen bereits ihren vorherigen Aktienkurs wiedererlangt haben, während bei Unternehmen, bei denen der Vorfall mehr als 90 Tage dauerte, ein langfristiger Kursverlust zu verzeichnen war.

IBM weist in seiner Cost of a Data Breach Study vor allem auf die Rolle von Automation hin: So betragen die durchschnittlichen Kosten einer Datenschutzverletzung bei Unternehmen, die Sicherheitsautomatisierungslösungen vollständig implementiert haben, 2,88 Millionen US-Dollar, während sie sich bei Unternehmen ohne Automatisierung auf geschätzte 4,43 Millionen US-Dollar belaufen. Die Automatisierung verschiedener Sicherheitsaufgaben spart in mehrfacher Hinsicht Zeit und Geld: Sie erledigt schnell zeitaufwändige Aufgaben, die Sicherheits- und IT-Personal von anderen, anspruchsvollen Aufgaben abhalten. Die Automatisierung eliminiert auch das Risiko menschlicher Fehler und erhöht die Wahrscheinlichkeit, dass eine Sicherheitsbedrohung frühzeitig erkannt wird. Aus diesem Grund sind Cybersicherheitslösungen, die einen umfassenden Überblick über die Bedrohungslage und die kritischen, sensiblen Unternehmensdaten ermöglichen, von entscheidender Bedeutung.

IoT-Geräte sind zwar aus den meisten Unternehmen kaum mehr wegzudenken, jedoch wirken sie sich negativ auf die Reaktionszeiten aus und erhöhen die Kosten durch einen Vorfall. Problematisch ist vor allem die Tatsache, dass diese Devices sehr anfällig für Hacking sind, ständig mit dem Internet verbunden sind und gleichzeitig in der Regel nicht den höchsten Sicherheitsanforderungen entsprechen. Auch werden gerade hier grundlegende Sicherheitsaspekte wie regelmäßige Updates vernachlässigt. Angreifer haben so leichtes Spiel und bleiben länger unentdeckt.

Generell lassen sich durch menschliches Fehlverhalten verursachte Vorfälle schneller eindämmen als solche, die durch böswillige Angreifer initiiert wurden. Der Grund ist eigentlich ganz einfach: Während es Hacker darauf anlegen, möglichst lange unentdeckt in den Systemen zu verweilen und ihre Spuren so gut wie möglich zu verwischen, gibt es diese Bestrebungen im Zusammenhang mit Fehlern von Mitarbeitern eben nicht und die (oft durchaus fatalen) Folgen fallen relativ schnell auf. Und ebenso klar ist: Je schneller ein Vorfall entdeckt wird, desto geringer die Auswirkungen und die Schäden. Cyberkriminelle und staatlich geförderte Angreifer sind in der Lage, ohne großes Aufsehen und schnell in Systeme einzudringen. Je mehr Barrieren, Abwehr- und Vorsichtsmaßnahmen zwischen den Zielen (in aller Regel Daten) und den Hackern stehen, desto langwieriger müssen sie sich vorarbeiten und desto mehr Zeit bleibt, sie zu entdecken. Eine gute Vorbereitung und ausgefeilte Reaktionspläne verkürzen die Reaktionszeiten und erhöhen die Chance, Angriffe zu stoppen, bevor großer Schaden entstanden ist.

7 Tipps für kürzere Reaktionszeiten

1. Stellen Sie ein Incident Response-Team zusammen und schulen Sie es regelmäßig
    
2. Investieren Sie in Security-Automation und Lösungen, die Ihnen einen möglichst umfassenden Blick über Ihre Gefährdungslage ermöglichen
    
3. Erstellen und testen Sie unterschiedliche Response-Pläne, um auf die verschiedensten potenziellen Situationen vorbereitet zu sein
    
4. Reduzieren Sie Zugriffsrechte, um das Risiko und Schwachstellen zu minimieren
    
5. Führen Sie Schulungsprogramme für alle Mitarbeiter (einschließlich der Geschäftsführung) ein, um sie für Phishing und Social-Engineering-Taktiken zu sensibilisieren
    
6. Beziehen Sie von Anfang an IT-Sicherheitsspezialisten in alle unternehmensweiten Entscheidungen ein
    
7. Priorisieren und verteilen Sie Ihr Security-Budget auf die sensibelsten und wertvollsten Dateien und Informationen

Thomas Ehrlich, Country Manager DACH von Varonis Systems

varonis.com/de/