Firmenfachbeitrag 18.03.2019, 08:00 Uhr

Bei einem Sicherheitsvorfall zählt jede Sekunde

Cyberangriffe lassen sich auch mit ICT-Sicherheitsmauern nicht ganz verhindern – egal, wie hoch sie sind. Daher ist es nur eine Frage der Zeit, bis ein Sicherheitsvorfall eintrifft.
Ein eingespieltes CSIRT und die schnelle Reaktion sind bei einem Sicherheitsvorfall entscheidend
(Quelle: 123RF.com/tashatuvango)
Dabei ist es wichtig, diesen schnell zu erkennen, mit einem CSIRT umgehend zu reagieren und die Cyber Security nachhaltig zu optimieren.
Eine reibungslose IT-Infrastruktur ist gerade durch die fortschreitende Digitalisierung essenziell für jedes Unternehmen. Der Schutz von Netzwerken und Daten wird aber immer schwieriger. Ein Sicherheitsvorfall (Security Incident) kann dabei das betroffene Unternehmen empfindlich treffen. Wenn die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen verletzt wird, gehören finanzielle Schäden und Reputationsverlust noch zu den verhältnismässig «leichten» Folgen. Deshalb gilt es, die eigenen Abwehrkräfte gegen Cyberattacken gezielt zu stärken, anstatt immer höhere Sicherheitsmauern zu bauen. Den Fokus nur auf präventive Massnahmen zu legen, ist definitiv zu kurz gegriffen.
Da sich Sicherheitsvorfälle nicht ausschliessen lassen, wird Incident Response immer wichtiger. Als Incidents sind dabei Vor- oder Störfälle gemeint, die sich bei nicht angemessenen Reaktionen zu einem Desaster entwickeln können. Kommt es im Unternehmen zu einem solchen Sicherheitsvorfall, muss man dies so schnell wie möglich erkennen. Die Einschätzung der Art und des Schweregrads ist unabdingbar, damit angemessen darauf reagiert werden kann.

Gut geplant ist halb gewonnen

Unternehmen müssen jederzeit auf Cyberattacken vorbereitet sein. Um angemessen auf einen Sicherheitsvorfall reagieren zu können, darf man sich beim Incident Response jedoch nicht ausschliesslich auf technische Vorgehensweisen konzentrieren. Je nach Ausprägung und Vorfall müssen auch die Geschäftsführung, Personal-, PR- und Rechts-Abteilung, das Krisen-Management sowie gegebenenfalls andere Fachbereiche miteinbezogen werden. Die Rollen und Verantwortlichkeiten verteilen sich somit auf viele Stellen im Unternehmen und müssen dementsprechend in einem Vorfallreaktionsplan (Incident-Response-Plan) festgehalten werden. Hierbei ist das Erstellen des Plans eine der wichtigsten Aufgaben für den Aufbau eines effektiven Incident-Managements. In einem Vorfallreaktionsplan wird dokumentiert, wer wie welche Massnahmen beim Eintreten eines Sicherheitsvorfalls ergreift. Der Plan definiert zudem, was überhaupt als entsprechender Sicherheitsvorfall eingestuft wird. Ausserdem werden darin die notwendigen Abläufe, Richtlinien, Rollen, Verantwortlichkeiten und nicht zuletzt auch Kommunikations- und Eskalationswege definiert. Viele Unternehmen benötigen schon aus regulatorischen oder vertraglichen Gründen einen entsprechenden Plan. Nicht zuletzt ist ein Vorfallreaktionsplan auch in Bezug auf den Compliance-Nachweis empfehlenswert.

CSIRT als Schlüssel zur Cyber Security

Ein organisiertes Incident-Response-Team mit einem guten Plan kann helfen, die Auswirkungen eines Sicherheitsvorfalls zu minimieren. Ohne ein entsprechendes CSIRT (Cyber Security Incident Response Team) entdecken Unternehmen Angriffe möglicherweise gar nicht oder zu spät. Somit können sie nicht angemessen auf die Bedrohungen reagieren. Ein dediziertes Incident-Response-Team mit den entsprechenden Hilfsmitteln ist deshalb unabdingbar. Aber auch die Wiederherstellung nach einem Vorfall ist ohne einen Incident-Response-Plan oftmals problematisch.

Die sechs Phasen des Incident Response

Die Security Incident Response kann durch einen generischen, aus sechs Phasen bestehenden Prozess erfolgen:
  1. Vorbereitung: Sowohl die Anwender als auch die IT-Mitarbeitenden müssen sich bewusst werden, dass Vorfälle jederzeit eintreten können. Dabei helfen auch eine aktuelle Dokumentation sowie Checklisten für die Security Incident Response.
  2. Identifikation: Bei einem Ereignis muss zuerst festgestellt werden, ob es sich tatsächlich um einen Sicherheitsvorfall handelt oder nicht. Im Falle eines Security Incidents müssen dabei der Scope (inklusive der Detektion aller betroffenen Systeme, Netzwerke und Applikationen) sowie die Vorgehensweise des Angriffs (eingesetzte Tools und Angriffsmethoden) analysiert werden.
  3. Eindämmung: Ist es tatsächlich ein Sicherheitsvorfall, gilt es, den verursachten Schaden zu begrenzen und die betroffenen Systeme zu isolieren, um eine weitere Ausbreitung zu vermeiden. Dazu gehört als direkte Massnahme, dass man dafür sorgt, dass kein weiterer Schaden angerichtet werden kann. Dies setzt natürlich voraus, dass man bereits eine grobe Vorstellung vom Vorfall hat. Sobald sichergestellt ist, dass kein weiterer Schaden auftreten kann, muss der Vorfall genauestens analysiert werden. Dabei werden IT-forensische Images der betroffenen Systeme erstellt, die für allfällige forensische Untersuchungen benötigt werden. Im letzten Schritt werden die Systeme temporär repariert, sodass sie wieder produktiv gehen können. Parallel dazu werden «saubere» Systeme aufgesetzt.
  4. Beseitigung: Hier gilt es, die Ursache oder den Auslöser des Vorfalls zu finden und die betroffenen Systeme aus der produktiven Umgebung zu entfernen. Meistens ist ein komplettes Re-Imaging aller betroffenen Systeme notwendig. Dadurch wird sichergestellt, dass jegliche bösartigen oder rechtswidrigen Inhalte entfernt wurden. Sobald klar ist, was wirklich vorgefallen ist, der gesamte Vorfall erfasst und alle kritischen Elemente eliminiert wurden, kann man sich der nächsten Phase zuwenden: der Wiederherstellung.
  5. Wiederherstellung: Bei der Wiederherstellung gilt es, umgehend wieder den normalen Geschäftsbetrieb zu ermöglichen. Das Beseitigen des Problems sowie die Wiederherstellung gehen dabei meist Hand in Hand. Die betroffenen Systeme müssen in dieser Phase wieder in die produktive Umgebung integriert werden – natürlich erst, nachdem definitiv keine Bedrohung mehr besteht.
  6. Erkenntnisse: Anschliessend muss sichergestellt werden, dass ein derartiger Vorfall nicht noch einmal auftreten kann. Das Problem sollte trotz sorgfältiger Bearbeitung nicht als gelöst betrachtet werden, bis die Ursachenanalyse komplett abgeschlossen ist. Wenn die Ursachen feststehen, müssen die Sicherheitsstrategie und die Schutzmassnahmen angepasst werden. Dabei können gegebenenfalls Massnahmen definiert werden mit dem Ziel, zukünftige, ähnliche Incidents zu verhindern oder zumindest die negativen Folgen abzuschwächen. Dies kann auch Einfluss auf den definierten Incident-Response-Plan und das CSIRT haben. So lassen sich künftige Reaktionen und Vorgehensweisen unter Umständen verbessern.

Cyberattacken – die Kehrseite der Digitalisierung

Cyberattacken lassen sich nicht verhindern. Deshalb sind die Erkennung, Analyse und Reaktion so wichtig. Ein dediziertes CSIRT in einem Cyber Defence Center hilft, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren sowie den Business Impact drastisch zu reduzieren. Nicht vernachlässigt werden darf dabei die Kommunikation. Insbesondere die Informations-  und Meldepflicht sind beispielsweise kritische Themen, die nicht minder wichtig sind als die technischen Aspekte. Cyber Defence ist daher eine anspruchsvolle Arbeit. Deshalb empfiehlt es sich, professionelle Hilfe beizuziehen, um so die Cyber Resilience zu stärken und den Schutz der Unternehmenswerte nachhaltig zu verbessern.
Zum Autor
Mathias Fuchs: Head of Investigation & Intelligence bei InfoGuard
Zum Unternehmen: InfoGuard ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber-Defence-Services erbringt der Schweizer Cyber-Security-Experte aus dem ISO-27001-zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar/Zug und eine Niederlassung in Bern. Über 120 Sicherheitsexperten sorgen sich tagtäglich um die Cyber Security bei über 300 Kunden in der Schweiz.
Mehr Informationen: www.infoguard.ch
Dieser Beitrag wurde von InfoGuard zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.


Das könnte Sie auch interessieren