Incident Response

Die Vorbereitung auf einen Verstoß: Es ist keine Frage des „Ob", sondern des „Wann".

Was versteht man unter „Maßnahmen zu Vorfällen“ oder „Incident Response“?

Erkennt ein Sicherheitsteam eine Bedrohung, dann ist es von größter Bedeutung, dass ein Unternehmen bereit ist, auf diese zu reagieren. Dies erfordert die Durchführung eines genau abgestimmten Maßnahmenplans (IRP) sowie einer Reihe von Aktionen und Ereignissen, die bestimmten Stakeholdern eines dedizierten Incident-Response-Teams zugewiesen werden. Manche Unternehmen haben vielleicht ein eigenes, internes Team, während andere externe Incident-Response-Dienste in Anspruch nehmen und wieder andere einen hybriden Ansatz verfolgen, bei dem die technischen Analysen von Drittunternehmen geliefert werden, die notwendigen Maßnahmen jedoch von internen Incident-Response-Teams übernommen werden. Ganz gleich, welche Variante Sie nutzen, dieses Team sollte diese Maßnahmen gut trainiert und geplant haben, ehe eventuelle Probleme auftauchen.

  • Gut abgestimmte Maßnahmen einer Incident Response sollten immer Folgendes umfassen:
  • Management und Koordination von Maßnahmen zu Vorfällen auf höchster Ebene
  • Technische Analyse des Vorfalls
  • Eingrenzung des Vorfalls, um festzustellen, wer oder was betroffen war
  • Krisenkommunikation, um sicherzustellen, dass Informationen auf koordinierte und nützliche Weise öffentlich gemacht werden
  • Rechtliches Vorgehen, um etwaige Auswirkungen zu ermitteln und erforderliche Reaktionen oder Maßnahmen vorzubereiten
  • Empfehlungen und Maßnahmen zur Problembehebung und Schadensbegrenzung, um eine reibungslose Systemwiederherstellung zu gewährleisten

Unternehmensweite Vorbereitung

Das Incident-Response-Team einer Organisation sollte auch Personen in Positionen jenseits von Sicherheit und IT umfassen. Stakeholder aus der Rechtsabteilung, der Unternehmenskommunikation, der Personalabteilung und anderen Bereichen sollten ebenfalls in die Vorbereitung und Durchführung von Maßnahmen zur Reaktion auf Vorfälle einbezogen werden. 

Die Vorbereitung ist der Schlüssel, um das schnelle Ergreifen von Maßnahmen zu ermöglichen, wenn es auf Minuten ankommt. Es ist nicht optimal, zu warten, bis eine Situation eskaliert, und dann erst damit zu beginnen, die Stakeholder aufzusuchen und zu informieren. Die wichtigsten Stakeholder sollten ihre Aufgaben im Voraus kennen, so dass sie nur noch das Signal brauchen, um in Aktion zu treten. Um sicherzustellen, dass die Teammitglieder ausreichend geschult und befähigt sind, die richtigen Maßnahmen zur richtigen Zeit zu ergreifen, sollten Teams nicht-technische theoretische Übungen und Simulationen eines Angriffs durchführen, um die technischen und nicht-technischen Prozesse durchzuspielen. 

Kennen Sie die wichtigsten Stakeholder

Bei der Vorbereitung auf die Reaktion auf einen Vorfall ist es entscheidend, die richtigen Leute im Incident-Response-Team zu haben. Zwar hat jedes Unternehmen seine eigenen Anforderungen, aber es empfiehlt sich, dass Unternehmen bestimmte Personen oder Teams für die folgenden Kernfunktionen festlegen: 

  • Vorfallmanagement: Diese zentrale Rolle erfordert umfangreiches technisches Wissen und vorherige Erfahrung im Management und in der Reaktion auf Vorfälle.  Die Person in dieser Rolle fungiert als Gesamtprojektleiter, um die Erledigung der technischen Aufgaben sowie die Informationsbeschaffung für alle beteiligten Stakeholder zu überwachen.
  • Untersuchung von Unternehmensvorfällen: Hier können sich die Herausforderungen der Arbeit in einem großen Unternehmen von denen bei kleineren Unternehmen unterscheiden. Ein großer Sicherheitsverstoß in einem großen Unternehmen erfordert den Einsatz von Technologie zur Unterstützung der Forensik auf allen (auch entfernten) Hosts, damit das Team so schnell wie möglich Indikatoren für eine Kompromittierung sowie deren möglichen Umfang finden kann.
  • Technische Analyse: Diese Rollen erfordern technisches Know-how, und es ist am besten, Analysten im Team zu haben, die sich auf bestimmte Bereiche spezialisieren, z. B. Malware-Analyse, forensische Analyse, Analyse von Ereignisprotokollen sowie Netzwerkanalyse. Alle Informationen, die diese Analysten finden, sollten mit dem Rest des Incident-Response-Teams geteilt werden.
  • Eingrenzung des Vorfalls: Was war der Umfang des Verstoßes? Das ist eine entscheidende Frage, die jedes Incident-Response-Team beantworten können muss. Die Antwort auf diese Frage kann sich im Laufe der Maßnahmen und weiteren Untersuchung ändern, zumal die technische Analyse weitergeht.
  • Krisenkommunikation: Die Ergebnisse der Untersuchung sowie der Umfang und die möglichen Folgen eines Vorfalls müssen sowohl intern als auch extern kommuniziert werden. Ein erfahrenes Krisenkommunikationsteam sollte die richtigen Informationen an die richtigen Zielgruppen kommunizieren. Seine Aufgaben können Benachrichtigungen zu Sicherheitsverletzungen, Mitteilungen an die Aufsichtsbehörden, Benachrichtigungen der Mitarbeiter und/oder Opfer sowie bei Bedarf Pressegespräche umfassen.
  • Rechtliche, personalwirtschaftliche und regulatorische Belange: Falls eine Sicherheitsverletzung irgendwelche rechtlichen Belange oder Auswirkungen auf die Compliance des Unternehmens hat, ist es wichtig, jemanden im Team zu haben, der weiß, wie man mit Offenlegungsanforderungen umgeht oder mit Strafverfolgungsbehörden, etwa einem Regierungsvertreter, zusammenarbeitet. Für Teams, die nicht über eigenes Fachwissen für diese Anforderungen verfügen, ist spezialisiertes juristisches Fachwissen auf Honorarbasis eine lohnende Investition.
  • Entscheidungsfindung auf Führungsebene: Jeder Verstoß kann potenzielle Folgen für das öffentliche Image und das finanzielle Ansehen eines Unternehmens haben, weshalb die Führungsebene immer einbezogen werden sollte. Im Laufe der Reaktion auf einen Vorfall und eine Untersuchung desselben wird es entscheidende Entscheidungspunkte geben, an denen das Team den Input einer Führungskraft im Hinblick auf das weitere Vorgehen an diesen entscheidenden Punkten benötigen wird.
  • Berichterstellung und Behebung: Während der Arbeit an der Behebung des Vorfalls ist es wichtig, alles zu dokumentieren. Mit diesen Informationen sollten Teams in der Lage sein, eine ganze Historie für den Sicherheitsverstoß zusammenzustellen: was die Angreifer getan haben, wann und wie dies erfolgt ist und was sie gefährdet haben. Dies ermöglicht ist, einen ausführlichen Maßnahmenplan zur Problembehebung und Schadensbegrenzung für die Systemwiederherstellung nach dem Sicherheitsverstoß zu erstellen und der Organisation hoffentlich dabei zu helfen, zukünftige Angriffe ähnlicher Art abzuwehren.

Das Post-mortem

Nach der erfolgreichen Reaktion auf einen Sicherheitsverstoß können Sie sich jedoch nicht gleich ausruhen. Das Incident-Response-Team sollte eine Nachuntersuchung durchführen, um aus den Erfahrungen zu lernen – sowohl zur Feinabstimmung seines Incident-Response-Programms im Speziellen als auch zur Nachjustierung seines Sicherheitsprogramms im Allgemeinen. Was hat funktioniert, was hat nicht funktioniert und was hätte besser oder schneller funktionieren können? Es gibt keinen besseren Lehrmeister als die Erfahrung, daher ist es wichtig, so viele Lektionen wie möglich aus der Reaktion auf einen echten Sicherheitsverstoß zu lernen.