Navigation öffnen Navigation öffnen

Readyness im Bereich Cybersecurity

28.01.2023

Wie können Sie durch einen Incident Response Plan Chaos und Kosten vermeiden!

Thomas Hartmann (Autor)

Unternehmen aller Branchen wissen, wie wichtig der Einsatz von Technologie ist, um Kunden zu gewinnen und zu binden. Mit der technologischen Integration tauchen jedoch täglich neue Bedrohungen für die Cybersicherheit auf, die mobile Messaging-Apps, Online-Banking und praktisch jede Branche gefährden. Daher ist es wichtig, dass Unternehmen einen Plan zur Reaktion auf Vorfälle erstellen, um mit kleineren und grösseren Sicherheitsbedrohungen umgehen zu können. Trotz der wachsenden Bedrohungen vor allem im Bereich von Ransomware (Verschlüsselungstrojaner) wird geschätzt, dass heute mehr als 70% der Schweizer Unternehmen nicht über einen konsistenten Notfallplan verfügen, der im Falle eines Sicherheitsverstosses eingesetzt werden kann! 

Was ist ein Incident Response Plan (IRP)?

Ein Incident Response Plan (IRP) ist ein organisierter Ansatz zur Bewältigung der Folgen einer Sicherheitsverletzung oder eines konkreten Cyberangriffs. Das Wichtigste an einem IRP ist, dass er geordnet, systematisch und gut durchdacht ist. Zwischenfälle müssen möglichst genau kategorisiert und die Kritikalität eingeschätzt werden können.

Wenn eine Sicherheitsverletzung auftritt, kommt es oft vor, dass ein Unternehmen sofort mit der Schadensbegrenzung beginnt, und es kommt zum Chaos. Genau das wird mit einem IRP bekämpft. Ein IRP ist nicht nur eine vage Ad-hoc-Idee, was ein Unternehmen im Falle eines Angriffs tun würde, sondern vielmehr ein schriftliches Dokument mit schrittweisen Anweisungen, wie vorzugehen ist und wer zu kontaktieren ist. Wir stellen in unseren Standortanalysen oft fest, dass gerade in der innerbetrieblichen Verantwortung sehr oft Unklarheit herrscht.

Wenn ein Unternehmen über eine grosse IT-Abteilung verfügt, sollte es ein spezielles Team, das Computer Security Incident Response Team (CSIRT), benennen, das sich mit dem Problem auf allen Ebenen befasst. Ein CSIRT sollte nicht nur aus Mitgliedern der IT-Abteilung bestehen, sondern auch aus einem Vertreter der Öffentlichkeitsarbeit und Mitgliedern der Führungsebene. Ein vielfältiges, aber geschlossenes Team ermöglicht eine schnelle und weitreichende Wirkung.

Die Bedeutung von Plänen zur Reaktion auf Vorfälle

Sicherheitsverletzungen kosten Unternehmen Zeit und Geld. Je länger die Schwachstellen nicht behoben werden, desto grösser ist der Schaden für ein Unternehmen. Die Ziele eines Incident Response Plans sind unter anderen:

  • Wiederherstellung des Betriebs
  • Verluste zu minimieren
  • Schwachstellen schnell und gründlich zu beheben
  • Verstärkung der Sicherheit, um zukünftige Vorfälle zu vermeiden

IRPs verkürzen den Zeitplan für die Behebung von Sicherheitslücken, was sich erheblich auf die Budgets der Unternehmen auswirken kann.

Wer sollte einen IRP verwenden?

Früher waren IRP für Zwischenfälle eine optionale Sicherheitsmassnahme. Da jedoch in allen Branchen neue Standards für die Einhaltung von Cybersicherheitsvorschriften auftauchen, werden IRPs schnell zu einem obligatorischen Bestandteil eines gut durchdachten Sicherheitsplans. Jede Branche, von der Finanzbranche bis zum Bildungswesen, sollte über eine IRP verfügen. Oft werde ich   bezüglich der Eintretenswahrscheinlichkeit eines Cyberangriffs gefragt. Meine Standardantwort – man möge mir die Einfachheit verzeihen – ist jeweils: «Die Frage ist nicht ob, sondern vielmehr wann ein Angriff stattfindet».

Wie man einen Plan für die Reaktion auf Zwischenfälle entwirft

Bei der Entwicklung eines IRP sind mehrere Dinge zu beachten.

  1. Sie brauchen die Unterstützung der Geschäftsleitung oder der oberen Führungsebene. Mit dieser Unterstützung können Sie das beste CSIRT zusammenstellen.
  2. Jeder Plan muss getestet werden. Ohne Übung wird ein Team eingerostet sein und wahrscheinlich Fehler machen, wenn ein echter Vorfall eintritt.
  3. Nicht jeder Angriff ist gleich, so dass es keinen Einheitsplan gibt, der für alle passt. Ein IRP sollte umsetzbare Schritte skizzieren, aber auch Flexibilität zulassen. Die regelmässige (1x jährliche) Überprüfung des IRP und seine Anpassung an sich ändernde Bedrohungen tragen dazu bei, Flexibilität und Detailgenauigkeit in Einklang zu bringen.

Und schliesslich sollten Sie eine Befehlskette für den Fall eines Sicherheitsvorfalls festlegen. Sie sollten wissen, welche Kontakte Vorrang haben, ob es sich um Interessengruppen, Partner, die Geschäftsleitung usw. handelt. Jeder Vorfall kann es erforderlich machen, dass verschiedene Personen über die Situation informiert werden müssen.

Unter Berücksichtigung der oben genannten Punkte hat das SANS Institute einen sechsstufigen IRP-Prozess entwickelt:

  1. Vorbereitung
  2. Identifizierung
  3. Eindämmung
  4. Ausrottung
  5. Wiederherstellung
  6. Lessons Learned

Die Kosten für einen IRP

Abgesehen von den Kosten für die Sicherheitsverletzung selbst sind die Kosten für die Entwicklung eines IRP von Unternehmen zu Unternehmen unterschiedlich. Für kleine Unternehmen wird ein IRP nicht so viel kosten, wie für grosse Unternehmen, einfach weil die Komplexität und die Anzahl der verwendeten Systeme unterschiedlich sind. Die Unternehmen müssen auch die Kosten für die Durchführung einer Systemprüfung zur Erfassung der Bedrohungslandschaft tragen (Schutzbedarfsanalyse und Penetrationtests). Auch hier sind die Kosten je nach Unternehmen unterschiedlich, da die Prüfung von einem internen Team oder einem Dritten durchgeführt werden kann. Obwohl die Trends bei den Ausgaben für Cybersicherheit zeigen, dass immer mehr Unternehmen in die Risikominderung investieren, erfordert eine solide IRP finanzielle Mittel und sollte nicht vernachlässigt werden.

Um einen aktuellen Live-Einblick in die derzeit laufenden Cyberangriffe zu erhalten schauen sie sich die Live-Map von Kaspersky an. [LINK]