Prävention ist der Schlüssel zum Erfolg eines Incident Response Plan
Ein Vorfallreaktionsplan, auch Incident Response Plan genannt, ist eine Ansammlung an schriftlichen Anweisungen, die angibt wie am effektivsten ein Cyberangriff im Ernstfall abgewandt, resp. limitiert werden kann. Mithilfe des Dokuments sollen also Sicherheitsvorfälle frühzeitig entdeckt werden, sowie angemessene Reaktionen hinterlegt werden, die Auswirkungen entgegenwirken soll.
Ich habe schon oft erwähnt, wenn das Kind erst einmal in den Brunnen gefallen ist, (siehe Vision Aweluna) dann kann nur noch die Aufschlag-Härte bestimmt werden. In jedem Fall ist eine weiche Landung ausgeschlossen. Das bedeutet Verlust an Image, viel Geld verlieren und weitere Probleme z.B. Betriebsunterbrechungen.
Grund genug also uns die Sache mit der Prävention besser anzusehen.
Gemäss SANS Institute gibt es bei einem Incident Response Plan sechs wichtige Phasen
- Vorbereitung: Sowohl die Anwender als auch die IT-Mitarbeiter müssen geschult oder in Kenntnis gesetzt werden, dass potenzielle Vorfälle passieren können.
- Identifikation: Bestimmung, ob es sich bei einem Ereignis tatsächlich um einen Sicherheitsvorfall handelt.
- Eindämmung: Den durch den Vorfall verursachten Schaden begrenzen und die betroffenen Systeme isolieren, um weiteren Schaden zu vermeiden.
- Ausmerzung: Die Ursache oder den Auslöser des Vorfalls finden und die betroffenen Systeme aus der produktiven Umgebung entfernen.
- Wiederherstellung: Betroffene Systeme wieder in die produktive Umgebung integrieren, nachdem sichergestellt ist, dass keine weiteren Bedrohungen bestehen.
- Gewonnene Erkenntnisse: Vervollständigung der Vorfalldokumentation und Analyse, was das Team oder das Unternehmen aus dem Vorfall lernen kann. Auf diese Weise lassen sich künftige Reaktionen unter Umständen verbessern.
Ein Incident Response Plan soll einem Unternehmen helfen, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren, sowie die Risiken zu reduzieren. Der Plan sollte auch Informationen zu den Tools, den Technologien und den physischen Ressourcen beinhalten, mit denen das Unternehmen auf Datensicherheitsverletzungen reagieren kann, was ebenso wichtig ist im Umgang mit der DSGVO / nDSG.
Der 10 Punkte Schlachtplan einer Incident-Response-Vorsorge
Um nicht in den Brunnen zu fallen, bauen wir nun ein ordentliches Geländer mit Abschirmung um den Brunnen herum. Der tiefe Brunnen stellt die Cyber-Gefahr dar, die wir nun absichern wollen. Schauen wir uns also die Grafik zunächst an.
Wer ein Haus plant, der achtet auf die Statik, ansonsten es zu Problemen führt. Die Statik eines Hauses hat immer eine durchschnittliche 20 prozentige Sicherheitsmarge enthalten. Sicher ist sicher und das gleiche gilt für die Infrastruktur eines Unternehmens. Je mehr digitalisiert ist, umso wichtiger wird es. Stelle dir einmal vor, du sparst an Material, weil du der Meinung bist, der Statiker hat zu viel in der Berechnung der Decke an Sicherheitsmarge gepackt. Nehmen wir an es handelt sich um eine schöne Holzdecke mit sichtbaren Balken. Du lässt jeden dritten Balken aus und sagst dem Holzbauer, er solle den Querschnitt um 20 Prozent verringern. Die Decke wird erst mal halten, jedoch mit der Zeit an Belastung verlieren und irgendwann kommt vielleicht ein neuer Holzkamin dazu, der sehr viel schwerer ist, als der alte und dann, tja – dann wird es teuer die Decke zu stützen und die notwendigen Reparaturmassnahmen zu ergreifen. Die Kosten sind natürlich enorm mehr, als hätte unser Bauherr gleich die Decke nach der Statik gebaut. Das gleiche gilt im bildlichen Sinne übertragen bei unserer IT Infrastruktur. Sparst Du an Massnahmen und lässt wichtige Sicherheitselemente weg, dann knallt es irgendwann und dann wird es teuer und das Image leidet natürlich.
Die wichtigsten Entscheider nennen
Für eine ordnungsgemässe Vorbereitung auf einen Sicherheitsvorfall genügt es nicht, das IT Team in die Verantwortung zu ziehen, sondern es braucht eine Art Organigramm des Unternehmens in den wichtigsten Abteilungen. Dazu gehören die Vertreter der Geschäftsführung, der IT Abteilung, Rechtsabteilungen sowie andere wichtige Elemente eines Unternehmens. Da jedes Unternehmen anders ist, sind auch die Definitionen des Organigramms anders zu bewerten. Diese Definitionen gehören somit in die Planung eines Incident Response Plans.
Kritische Ressourcen identifizieren
Damit die ganze Strategie funktionieren kann braucht es die Ermittlung der richtigen Ressourcen eines Unternehmens. Die Kerntätigkeit gehört in eine solche Ermittlung und welche Sub-Ressourcen sich darum bewegen. Diese sind in einem Plan vorab zu definieren und wie bei unserem Haus exakt mit Sicherheitsmassnahmen zu bestimmen und wie bei einem Vorfall darauf zu reagieren ist, sowie geht hier auch ein Informationssicherheitsmanagement-System eins zu eins über.
Sicherheitstools implementieren
Zu den Tools gehören auch moderne XDR Systeme, die für kleine Geldbeutel nicht teuer sein müssen. XDR Systeme gibt es auch als OpenSource und diese stehen sich in den Kaufvarianten in nichts nach. Weiter ist dafür zu sorgen, dass alle anderen notwendigen technischen Sicherheitsmassnahmen getroffen worden sind (Endpoints, Netzwerk, Server, Cloud, Mobilgeräte, E-Mail etc. pp). Ein IT-Audit kann in diesem Fall vor der Planung sehr hilfreich sein, denn ein Audit erkennt viele Sicherheitsmängel.
Ernstfall durchführen
Wie wir das von der Feuerwehr her kennen, macht jede Übung Sinn, um Schwachstellen zu erkennen, die Taktik zu verbessern oder an neuem Gerät mit den Kollegen zu üben, damit es ein eingespieltes Team für den Ernstfall ist. Auch Schnelligkeit lässt sich damit herstellen, wenn jeder seinen Platz hat und weiss was er genau zu tun hat. Ganz wichtig ist bei solchen Aktionen “In der Ruhe liegt die Kraft”. Ein praktisches Beispiel wäre demnach, dass ein Angreifer im Netzwerkmonitoring erkannt wird und dass es sich dabei um einen Wurm handelt, der im Anschluss eine Datenverschlüsselung vornimmt, also Ransomware ist im Anmarsch. Diese Ernstfall Simulation sollte ebenso genau im Plan festgehalten werden, was an welchen Stellen in den kritischen Systemen von A bis Z durchzuführen ist, um den Angriff im Besten Fall zu verhindern und wenn es nicht verhindert werden konnte, was dann zu tun ist, wenn der Verschlüsselungsschlüssel zugeschlagen hat. Es ist also wichtig solche Szenarien genau aufzustellen und durch testen.
Für absolute Transparenz sorgen
Für meine Begriffe ein sehr wichtiger Punkt. Sehr oft ist in Unternehmen das Problem, dass A nicht wissen soll was B macht oder es werden Informationen einfach zurückgehalten. Von daher ist es natürlich wichtig, dass alle Unternehmensbereiche ineinander transparent greifen. Insbesondere für die IT-Abteilung ist es wichtig, dass alle Protokolldaten vorliegen, wobei der Schwerpunkt auf Endpoint- und Netzwerkdaten liegt. Weil viele Angriffe leider erst nach Tagen bis Wochen oder gar Monate entdeckt werden, ist es wichtig, alle Verlaufsdaten bis ein Jahr rückgängig Lückenlos vorliegen zu haben. Die richtige Backup Strategie muss ich an der Stelle nicht noch extra erwähnen.
Zugriffskontrolle bereitstellen
Alte Kamelle in neuem Gewand. Obwohl schon so lange über die richtige Zugriffskontrolle geschrieben worden ist, ist das ein gewichtiger Punkt. Angreifer können schwache Zugriffskontrollen ausnutzen, um die Abwehr in Unternehmen zu unterwandern und Berechtigungen auszuweiten. Das geht heute mit automatisierten Systemen. Zugriffskontrollen sind wie eine Firewall anzuwenden. Alles ist verboten, bis es erlaubt wird. Ebenso das Need-to-now Prinzip ist anzuwenden. Auch dürfen 2FA (2-Faktor-Authentifizierung) nicht fehlen. Es sind diese Punkte penibel genau im Schlachtplan (Incident Response Plan) mit zu definieren. Wer ein Haus plant, muss auch vorher die Pläne zum Bau erstellen. Genauso ist es mit einem Incident Response Plan. Je besser geplant ist, desto besser ist der Schutz und das Greifen der Massnahmen. Auch gehören Systeme einer Systemhärtung unterzogen.
Analysetools implementieren
Neben den Aspekten der Sicherheitmassnahmen und der Transparenz sind natürlich Tools, die während eines Angriffs die nötigen Informationen liefern können. Dazu werden häufig XDR Extended Detection and Response Softwaresysteme angewandt. Für den kleinen Geldbeutel gibt es solche Tools auch als OpenSource Systeme. Daneben gehören EDR-Tools zu einer weiteren Waffe, damit ermittelt werden kann, welche Ressourcen und in welchem Ausmass betroffen sind. EDR gibt es auch OpenSource Systeme. Diese Tools fungieren so ähnlich wie eine forensische Analyse. Sind sind wichtig, um das Schadensmass zu identifizieren. Erinnere dich mit dem Kind im Brunnen. Wir wollen ja daran arbeiten, dass das Kind nicht in den Brunnen fallen soll. Hundert Prozent Sicherheit gibt es nun mal nicht, jedoch können wir unseren Zaun um den Brunnen so gestärkt aufbauen, dass das Risiko drastisch sinkt.
Reaktionsmassnahmen festlegen
Einen Angriff zu erkennen, ist nur ein Teil des Prozesses. Um angemessen auf einen Angriff zu reagieren, müssen IT- und Sicherheitsteams in der Lage sein, eine Vielzahl von Reaktionsmassnahmen zum Stoppen und Beseitigen von Angreifern einleiten. Dieser Rahmen ist genauso in einem Incident Response Plan zu definieren und die Reihenfolge der Massnahmen sind exakt am Individuum des Unternehmens festzumachen. Sehr das wie eine Checkliste eines Flugzeugstarts oder Landung. Da gibt es auch festgelegte Sachen, die in einer Reihenfolge abgearbeitet werden müssen.
Beispiel einer Reihenfolge eines Reaktionsrahmens
- Isolieren betroffener Systeme
- Blockieren schädlicher Dateien, Prozesse und Programme
- Blockieren von Command and Control und schädlichen Website-Aktivitäten
- Einfrieren kompromittierter Konten und Zugriffssperrung für Angreifer
- Beseitigen von Werkzeugen des Angreifers
- Schliessen von Eintrittspunkten der Angreifer
- Anpassen von Konfigurationen
- Wiederherstellen betroffener Ressourcen
Awareness Trainings durchführen
Die Mitarbeiter eines Unternehmens sind eine weitere grosse Schwachstelle. Nur die Technik allein schliesst nicht alle Lücken. Ich sage immer, ein System ist nur so schlau, wie derjenige der das System bedient. Das richtige Training für Mitarbeiter kann das Risiko drastisch verringern einem Angriff unterlegen zu sein. Für solche Trainings eignen sich dann wieder die Sachlage einer Feuerwehrübung, indem man einen simulierten Angriff auf die Mitarbeiter durchführt.
Managed Security Service in Anspruch nehmen
Angreifer sind rund um die Uhr da, um Schäden anzurichten. Oft höre ich, wir sind nur 8 Stunden im Betrieb und die übrige Zeit wird nicht überwacht. Es sollte somit überlegt werden, ob eine 24/7 Überwachung Sinn macht.
Zum Abschluss solltest Du dir also überlegen was ich eingangs geschrieben habe. Das Kind erst gar nicht in den Brunnen fallen zu lassen und eine Vermeidungsstrategie aufbauen. Je genauer also geplant wird und je detaillierter ein Incident Response Plan aufgestellt ist, desto effektiver wird er das Risiko senken, weil wenn es passiert, zählt jede Sekunde. Es spielen natürlich viele Dinge eine Rolle im Konstrukt unseres Sicherheitszahnrades, aber je besser diese miteinander harmonieren desto ist der Zaun vor dem Brunnen abgesichert.
Merke: Die Prävention ist besser als den Schaden zu haben, denn der kann dich alles kosten.
Hast Du bereits Massnahmen getroffen? – Oder dürfen wir dich dabei unterstützen?
Buche jetzt unser unverbindliches Beratungsgespräch online: Jetzt buchen