In der heutigen vernetzten Welt ist jedes Unternehmen von der einen oder anderen Art von Cybersicherheitsvorfällen betroffen. Die Fähigkeit deines Teams, effizient und effektiv auf Vorfälle zu reagieren, kann den Unterschied zwischen Erfolg und ernsthaften finanziellen Verlusten oder Rufschädigung für dein Unternehmen ausmachen. Eine sorgfältige Planung und Vorbereitung ist entscheidend, um die Geschäftskontinuität auch bei den schwierigsten Sicherheitsvorfällen zu gewährleisten.
Die Reaktion auf Vorfälle sollte sich an den folgenden Schritten orientieren (jeder Schritt spielt eine entscheidende Rolle für den Schutz deines Unternehmens und keiner sollte übersprungen werden):
Um dich auf Vorfälle vorzubereiten, musst du sicherstellen, dass du die Verantwortung formell zuweist, Reaktionsrichtlinien und -verfahren dokumentierst, ein Reaktionsteam für Vorfälle einrichtest, genaue Kontaktinformationen veröffentlichst und deine Vorfallbearbeiter ausbildest.
Ernenne zunächst einen geeigneten Mitarbeiter, der die Reaktion auf Cybersicherheitsvorfälle überwacht und verwaltet. Indem du die Verantwortung klar und formell festlegst, kannst du sicherstellen, dass die Reaktion auf einen Vorfall einheitlich ist und mit der Zeit wächst. Wenn du eine Organisation mit einer verteilten Infrastruktur hast (z. B. eine Universität, ein Gesundheitsnetzwerk oder eine große Firma mit mehreren Standorten), solltest du EINE Person benennen, die für die gesamte Reaktion auf einen Vorfall verantwortlich ist, und dann einen geeigneten Mitarbeiter für jeden Standort oder jede Abteilung benennen, der die Reaktionsmaßnahmen für die jeweilige Gruppe überwacht.
Überlege dir, welche Arten von Vorfällen deine Organisation betreffen können. Dokumentiere für jede Art von Vorfall eine klare Reaktionsstrategie.
Erstelle eine leicht zu merkende Benachrichtigungsliste und eine Telefonnummer, an die sich Angestellte, Kunden oder Dritte wenden können, um einen vermuteten Vorfall zu melden.
Stelle ein "Kernteam" für die Reaktion auf Vorfälle zusammen, das sich um die täglichen Vorfälle kümmert. Diese Gruppe besteht in der Regel aus Mitarbeitern des Helpdesks, IT-Sicherheitsmitarbeitern, Mitgliedern des Netzwerkteams usw. In kleinen bis mittelgroßen Unternehmen können es auch nur ein oder zwei Personen sein.
Bestimme als Nächstes die Mitglieder eines "erweiterten" Reaktionsteams, das zur Polizei gerufen werden kann, um bei bestimmten Vorfällen zu helfen. Zu den Mitgliedern des erweiterten Teams gehören in der Regel die Rechtsabteilung, die Personalabteilung, der Objektschutz, die Öffentlichkeitsarbeit, die Buchhaltung/Finanzen und das obere Management.
Sammle genaue und kanonische Netzwerkdiagramme, Kopien der Firewall-Konfigurationen, eine Liste der kritischen Anlagen und alle anderen Unterlagen, die du brauchst, um das Netzwerk deines Unternehmens zu verstehen. Stelle sicher, dass diese Unterlagen den Einsatzkräften bei Bedarf zur Verfügung stehen.
Nicht jedes Mitglied der Incident Contact List muss bei jedem Vorfall aktiviert werden, aber der Incident Handler sollte nicht zögern, bei Bedarf Ressourcen anzufordern. Zusätzlich zur Kontaktliste sollten die Vorfallbearbeiter Zugang zu den Kontaktinformationen der technischen Administratoren und der Geschäftsinhaber aller Systeme haben.
Die wichtigsten Mitglieder des Incident Response Teams sollten eine spezielle Ausbildung absolvieren. Es gibt verschiedene Zertifizierungen, wie z.B. die GIAC Certified Incident Handler (GCIH) Zertifizierung und andere.
Die Vorbereitung ist ein fortlaufender Prozess und sollte regelmäßig das Feedback aus den Post-Incident-Berichten einbeziehen. Wurde die Reaktion auf einen Vorfall beispielsweise dadurch behindert, dass ein bestimmtes System nicht protokolliert wurde, sollte dies in den Post-Incident-Bericht aufgenommen und in einer geplanten Vorbereitungsphase behandelt werden.
Die Identifizierungsphase beginnt, wenn die Verteidiger Anzeichen für einen Vorfall entdecken. Die Anzeichen können sehr unterschiedlich sein, von Warnungen des Intrusion Detection Systems (IDS) bis hin zu Systemausfällen. Unmittelbar nach der Identifizierung eines potenziellen Vorfalls ist es üblich, direkt zu den Schritten der Eindämmung und Wiederherstellung überzugehen. Widerstehe jedoch dem Drang, die Schritte zu überspringen. Wenn du zur Eindämmung übergehst, bevor du alle betroffenen Systeme identifiziert hast, können die Angreifer ihre Taktik ändern und sich noch tiefer verschanzen. Wenn du mit der Eindämmung beginnst, bevor die Ressourcen für die Sammlung forensischer Beweise vorhanden sind, können wichtige Informationen zerstört und das Unternehmen gefährdet werden.
Sobald ein mutmaßlicher Vorfall gemeldet oder entdeckt wurde, sollten die folgenden Schritte methodisch und kontrolliert durchgeführt werden, um den Vorfall zu bestätigen und seinen Umfang zu ermitteln.
Das Ziel der Eindämmungsphase ist es, den Schaden, den der Angreifer verursachen kann, zu begrenzen und Beweise für eine spätere Analyse zu sichern. Sobald der Incident Handler festgestellt hat, welche Systeme betroffen sind und wie groß die möglichen Auswirkungen sind, geht er zur Eindämmungsphase über.
Entwickle immer einen Eindämmungsplan, bevor du Maßnahmen ergreifst. So können die Verteidiger die Eindämmung schnell und methodisch durchführen, während die Angreifer wenig Zeit haben zu reagieren, sobald die Eindämmung beginnt.
Der Plan sollte den Vorfall eindämmen und gleichzeitig die Beweise sichern, wann immer dies möglich ist. Wenn zum Beispiel ein Webserver kompromittiert wurde, solltest du dich mit dem Systemadministrator abstimmen, um ein Live-Speicherabbild zu erstellen, bevor du die Verbindung zum Server unterbrichst und die Festplatten sicherst.
Der Plan sollte den gesamten Umfang des Vorfalls abdecken. Wenn zum Beispiel ein Keystroke Logger auf dem Arbeitsplatz eines Administrators entdeckt wurde, sollte der Eindämmungsplan die Änderung oder Deaktivierung der Zugangsdaten für alle Konten des Administrators beinhalten. Wenn es Beweise dafür gibt, dass die Anmeldedaten eines Administrators für den Zugriff auf andere Systeme verwendet wurden, sollte die Eindämmung auch diese Systeme einschließen. Der Plan sollte darauf abzielen, die Unterbrechung des Betriebs so gering wie möglich zu halten.
Die weiteren Schritte des Eindämmungsplans sollten die Analyse der gesammelten Beweise (Festplattenabbilder, Speicherauszüge, Netzwerkprotokolle) beinhalten, um einen vollständigen Zeitplan des Vorfalls zu erstellen. Dieser wichtige Schritt stellt sicher, dass der Vorfall vollständig eingedämmt wurde und hilft in der Wiederherstellungsphase.
Das Ziel der Wiederherstellungsphase ist es, die Organisation wieder in den normalen Betrieb zu bringen. In dieser Phase sollten die kompromittierten Systeme wiederhergestellt, die betroffenen Kunden benachrichtigt und die in der Identifizierungs- und Eindämmungsphase identifizierten Angriffsvektoren beseitigt werden.
Das Ziel der Post-Incident-Phase ist es, die Reaktion auf den Vorfall zu bewerten und zu verbessern. In dieser Phase sollten die Notizen des Vorfallbearbeiters, der Zeitplan des Vorfalls, die gesammelten Beweise und alle anderen Informationen über den Vorfall archiviert werden.
Der Incident Handler sollte außerdem einen kurzen Nachbericht verfassen, der die Ursachen und Auswirkungen des Vorfalls sowie die Schritte zur Erkennung, Eindämmung und Bewältigung des Vorfalls zusammenfasst. Besonderes Augenmerk sollte auf die Teile der Reaktion auf den Vorfall gelegt werden, die erfolgreich waren oder verbessert werden müssen. Diese Nachbereitungsberichte sollten regelmäßig in die Vorbereitungsphase einbezogen werden.