Maßnahmenplan bei Vorfällen

Erstellen Sie jetzt einen Plan und sparen Sie Zeit, wenn es darauf ankommt.

Was versteht man unter „Maßnahmenplan bei Vorfällen“?

Ein Maßnahmenplan bei Vorfällen beschreibt, welche Schritte von wem unternommen werden müssen, wenn eine Sicherheitsverletzung oder Sicherheitskrise in einem Unternehmen auftritt. Ein solider Maßnahmenplan sollte es Teams ermöglichen, so schnell wie möglich in Aktion zu treten und Schäden möglichst schnell zu beseitigen. Die für Sicherheitsverstöße zuständigen Mitarbeiter durchlaufen regelmäßig Trainingssimulationen und Prozessüberprüfungen, sodass sie im Ernstfall genau wissen, was zu tun ist. Informationssicherheitsteams täten gut daran, ihrem Beispiel zu folgen: Tritt ein Notfall ein, so sollte keine Zeit darauf verschwendet werden müssen, Prozesse und Verfahren für die Reaktion auf einen Vorfall auszuarbeiten, während wertvolle Minuten vergehen. Einen Plan zu haben, ist von entscheidender Bedeutung.

Niemand genießt eine Krise, aber bei der Reaktion auf Vorfälle zahlt Vorbereitung sich aus. Wird ein Netzwerk infiltriert oder wurden Daten gehackt, so zählen Minuten; das Warten darauf, in der Hitze des Gefechts Prozesse zu identifizieren, sorgt wahrscheinlich für Verwirrung und, schlimmer noch, führt zu einer längeren Zeit bis zur Reaktion auf den Vorfall selbst.

Um zu verhindern, dass dies in Ihrem Unternehmen passiert, sollte Ihr Incident-Response-Team über einen sorgfältig ausgearbeiteten Maßnahmenplan verfügen, der regelmäßig für eine Vielzahl möglicher Szenarien erprobt wird und in den alle Stakeholder mit unterschiedlichen Rollen einbezogen werden. Schließlich müssen bei einem Sicherheitsvorfall nicht nur technische Teams handeln, auch nicht-technische Ressourcen – wie beispielsweise die Rechts- und Kommunikationsabteilungen – sowie externe Parteien können involviert sein, insbesondere wenn Sie mit einem Sicherheitsdienstleister zusammenarbeiten.

Was umfasst ein solider Maßnahmenplan bei Vorfällen?

Es gibt eine Menge Vorarbeit, die im Vorfeld geleistet werden kann, um die Komplexität und das Risiko während eines Sicherheitsvorfalls zu reduzieren. Ein Maßnahmenplan bei Vorfällen sollte folgende Punkte umfassen:

  • Unterstützung durch die wichtigsten Stakeholder des Unternehmens: In einer Krisensituation muss Ihr Team wissen, dass es die Unterstützung der wichtigsten Stakeholder hat, um schnell handeln zu können. Stellen Sie sicher, dass Führungskräfte der obersten Führungsebene sowie andere Stakeholder den Maßnahmenplan voll unterstützen und es dem Team ermöglichen, im Krisenfall schnell und sicher zu handeln.
  • Klar definierte Rollen, Verantwortlichkeiten und Prozesse: Das Letzte, was Ihr Team gebrauchen kann, ist es, erst im Krisenfall herausfinden zu müssen, wer wofür zuständig ist und zu versuchen, diese Person ausfindig zu machen. Jeder Schritt der Maßnahmen zu Vorfällen, ob technisch oder nicht-technisch, sollte einen namentlich benannten Stakeholder haben, dem klare Verantwortlichkeiten zugewiesen sind. Die Mitarbeiter in diesen Rollen sollten über das nötige Fachwissen verfügen, um das auszuführen, was von ihnen erwartet wird (dies ist nicht der Zeitpunkt, um Ihre neuesten Teammitglieder auf die Probe zu stellen). Darüber hinaus sollte der Inhaber jeder Rolle bei der Reaktion auf einen Vorfall genau wissen, für welche Prozesse er oder sie verantwortlich ist und was von ihm oder ihr erwartet wird, wenn ein Vorfall eintritt – von der anfänglichen Bestimmung des Umfangs des Sicherheitsverstoßes bis hin zur Krisenkommunikation. Falls es bei dem Plan irgendwelche Unklarheiten darüber gibt, wer für was zuständig ist, so kann das in einer Krisensituation schnell in Vergessenheit geraten.  
  • Technologien und Partnerschaften, um schnelles Handeln zu ermöglichen: Wenn Sie Ihre Incident-Response-Übungen durchführen, stellen Sie sicher, dass Sie alle nötigen Werkzeuge in der Toolbox haben, um schnell und wirkungsvoll zu reagieren. Sie werden wahrscheinlich feststellen, dass es in einigen Bereichen große Lücken gibt und in anderen ein gewisser Spielraum für Verbesserungen besteht. Stellen Sie sicher, dass Ihren Teams die internen Technologien und Tools zur Verfügung stehen, die diese benötigen, um ihre Aufgaben effizient zu erledigen, und nutzen Sie Automatisierung, wo möglich.

Der Schlüsselbegriff lautet hier „schnell“. Wenn Sie nicht über das interne Fachwissen oder die Ressourcen für eine schnelle Reaktion verfügen oder wenn Ihr Toolset Ihnen die Informationen nicht so schnell liefert, wie Sie diese benötigen, dann sollten Sie externe Incident-Response-Dienste in Erwägung ziehen, um diese Lücken zu schließen und Ihre Vorfallreaktionszeiten zu beschleunigen. (Achten Sie darauf, dass Sie dieses externe Team auch in alle Übungen einbeziehen!)

Externe Incident-Response-Dienste

Falls Sie einen gewissen Support mit Ihrem Incident-Response-Plan benötigen, so können externe Anbieter dazu beitragen, strategische und taktische Lücken zu schließen, indem Sie Ihnen bei folgenden Aspekten helfen:

  • Der Entwicklung von soliden Sicherheitsprogrammen: Falls Sie nicht sicher sind, ob Ihr Programm zur Erkennung von Sicherheitsvorfällen alle möglichen Eventualitäten abdeckt, die für Ihr Unternehmen relevant sind, so kann ein Incident-Response-Service Ihnen dabei helfen, Ihre Bereitschaft bei Vorfällen und Verstößen zu verbessern.
  • Durchführung von theoretischen Übungen: Prüfen Sie Ihr internes Incident-Response-Team mit Bedrohungssimulationen auf Herz und Nieren, die von einem externen Dienstleister durchgeführt werden, um die Bereitschaft Ihres Teams zu testen.
  • Gefährdungsbewertungen von Sicherheitsverstöße: Ein externes Incident-Response-Team kann den aktuellen Zustand Ihrer Umgebung und der Sicherheitsprozesse Ihres Unternehmens bewerten und mögliche Risiken oder Lücken identifizieren.
  • Sofortige Behebung von Sicherheitsverstößen: Wenn Sie einen Sicherheitsverstoß vermuten und sofort Hilfe benötigen, so kann ein externer Incident-Response-Dienst sofort in Aktion treten, um weiteren Schaden zu verhindern.
  • Angebot von Incident-Response-Verträgen: Ein Vertrag mit einem Incident-Response-Dienst stellt sicher, dass Ihre Teams so gut wie möglich aufeinander abgestimmt sind und dass das externe Team im Fall eines Sicherheitsverstoßes einsatzbereit ist. Viele Verträge beinhalten mehrere der oben genannten Leistungen, und sie garantieren oft ein bestimmtes Service-Level-Agreement im Hinblick auf Reaktionszeiten.

Es mag sich gebetsmühlenartig anhören, aber der schlechteste Zeitpunkt, um sich auf einen Sicherheitsverstoß vorzubereiten, ist tatsächlich, nachdem ein solcher stattgefunden hat.  Die beste Vorbereitung auf dieses Worst-Case-Szenario ist es, einen soliden Plan für die Reaktion auf Sicherheitsverstöße zu haben und sicherzustellen, dass er allen Beteiligten mitgeteilt wurde.