Was versteht man unter "Incident Response"?
Incident Response (IR) beschreibt die Reaktion auf Sicherheitsvorfälle in der Unternehmens-IT und umfasst Richtlinien und Verfahren zur Erkennung, Eindämmung und Beseitigung von Cyberangriffen. Ziel des Incident Response Managements ist es, Cyberangriffe schnell erkennen und stoppen zu können, den Schaden zu minimieren und zukünftige Angriffe derselben Art zu verhindern.
Incident Response ist keine ausschließlich technische Disziplin - gerade in größeren Unternehmen muss ein Incident Response Team auch eine Vielzahl organisatorischer Maßnahmen durchführen. Alle technischen und nicht-technischen Maßnahmen folgen dabei einem bestehenden und verbindlichen Incident Response Plan (IRP), der für eine klare Verteilung von Aufgaben und Verantwortung sorgt, um eine effektive und effiziente Reaktion auf Sicherheitsvorfälle zu gewährleisten.
Warum Incident Response?
Sicherheitsvorfälle und Datenlecks sind potentiell geeignet, Sie in die Nachrichten zu bringen. Aber das wird eine Art von Öffentlichkeit sein, die selbst Ihre Werbe- und Ihre Presseabteilung lieber vermeiden würden. Zudem tragen solche Vorfälle immer die Gefahr erheblicher materieller Schäden, sei es durch Umsatzverlust, Lösegeldzahlungen (Ransomware) oder Kosten für die Wiederherstellung von Systemen, Anwendungen und Daten. Es ist daher immens wichtig, solche Sicherheitsvorfälle nicht nur zeitnah zu erkennen, sondern auch schnell und effektiv darauf reagieren zu können, bevor erhebliche Schäden entstehen.
Incident Response Management
Das Incident Response Management dient der Planung und Koordination aller Maßnahmen zur Abwehr und Eindämmung eines aktuellen Angriffs auf höherer Ebene. Es umfasst neben den technischen Maßnahmen vor allem die Krisenkommunikation und eine juristische Analyse des aktuellen Vorfalls.
- Krisenkommunikation stellt sicher, dass Informationen auf koordinierte und nützliche Weise öffentlich gemacht werden, und umfasst dabei abhängig von der Situation die Kommunikation mit Kunden, Lieferanten, Aktionären oder Gesellschaftern, Regulierungsbehörden und der Presse.
- Die rechtliche Analyse ist zumindest bei börsennotierten Unternehmen und solchen Organisationen erforderlich, die Compliance-Anforderungen erfüllen müssen - etwa KRITIS-Unternehmen. Hier geht es darum, etwaige Auswirkungen zu ermitteln und erforderliche Reaktionen oder Maßnahmen vorzubereiten.
Jeder Sicherheitsverstoß kann potenzielle Folgen für das öffentliche Image und das finanzielle Ansehen eines Unternehmens haben, weshalb die Führungsebene immer einbezogen werden sollte, auch wenn sie nicht formal Teil des Incident Response Teams ist. Zudem wird es bei größeren Angriffen wichtige Entscheidungspunkte geben, an denen das Team den Input einer Führungskraft im Hinblick auf das weitere Vorgehen benötigt.
Die 6 Phasen der Incident Response
Incident Response ist, wie der Name schon nahelegt, immer eine Reaktion auf die Erkennung eines Sicherheitsvorfalls (Incident Detection). Dennoch wird auch diese Erkennung häufig als Komponente der Incident Response klassifiziert. Folgt man dem, gehören zu den technischen Aspekten der Incident Response primär
- Die Erkennung des Sicherheitsvorfalls
- Technische Analyse des Vorfalls und Bestimmung des Schweregrads
- Eingrenzung des Vorfalls, um festzustellen, wer oder was betroffen war
- Eskalierung an den oder die richtigen Mitarbeiter
- Empfehlungen zur Problembehebung und Schadensbegrenzung und
- Maßnahmen zur reibungslosen Systemwiederherstellung
- Kritische Nachuntersuchung des Vorfalls und der eigenen Reaktion darauf für die Weiterentwicklung des Sicherheitsprogramms
Die Erkennung eines Sicherheitsvorfalls erfolgt in der Regel über spezialisierte Tools wie Intrusion Detection, Endpoint Security etc., im Worst Case allerdings auch über den Anruf eines verärgerten Kunden. Ein solcher Vorfall sollte unmittelbar zur Erstellung eines Support Tickets führen - entweder automatisiert über ein SIEM-System (Security Incident and Event Management) oder im letzteren Fall manuell. Adressaten des Tickets sind die im Incident Response Plan definierten Personen.
Wurde ein Sicherheitsvorfall entdeckt, gilt es, die Auswirkungen auf Mitarbeiter und ihre Anwendungen, aber auch auf Kunden, Lieferanten oder sonstige Stakeholder und damit die Kritikalität des Vorfalls zu bewerten. So lassen sich Vorfälle priorisieren und die Ressourcen angemessen allokieren.
Zudem gilt es, den Ursprung des Vorfalls zu erkennen, sowohl zeitlich als auch bezüglich des Angriffsvektors. In großen Unternehmen und bei schwerwiegenden Vorfällen kann dies den Einsatz von Technologie zur Unterstützung der Forensik auf allen (auch entfernten) Hosts erfordern, damit das Team so schnell wie möglich Indikatoren für eine Kompromittierung sowie deren möglichen Umfang finden kann. Diese Analyse erfordert technisches Know-how, und es ist am besten, Analysten im Team zu haben, die sich auf bestimmte Bereiche spezialisieren, z. B. Malware-Analyse, forensische Analyse, Analyse von Event Logs sowie Netzwerkanalyse. Alle Informationen, die diese Analysten finden, sollten mit dem Rest des Incident Response Teams geteilt werden.
Nach der technischen Analyse muss entschieden werden, welche Mitglieder des Incident Response Teams aktiviert werden sollen. Das kann automatisiert über im Incident Response Plan vordefinierte Workflows erfolgen, notfalls aber auch individuell. Diese Security Analysten untersuchen dann den Vorfall im Detail und geben Empfehlungen, wie der Angriff abgewehrt und die beeinträchtigten Systeme wiederhergestellt werden können. Die Umsetzung dieser Vorschläge ist dann letztlich die Aufgabe der IT und Security Operations Teams.
Das Incident Response Team
Die Verantwortung für Incident Response trägt meist ein dediziertes Incident Response Team, das aus internen Mitarbeitern, aus externen Beratern und Dienstleistern oder aus einer Mischung von beidem bestehen kann. Im letzteren Fall werden in der Regel die technischen Analysen von Drittunternehmen geliefert, die notwendigen Maßnahmen jedoch von internen Incident Response Teams übernommen. Bei der Inanspruchnahme externer Expertise spricht man auch von Managed Incident Response. Ganz gleich, welche Variante Sie nutzen, Ihr Team sollte alle Maßnahmen gut trainiert und geplant haben, ehe Probleme auftauchen.
Ein Incident Response Team umfasst meist Sicherheitsspezialisten, IT-Experten aus Entwicklung und Operations, aber auch Fachleute für die Unternehmenskommunikation sowie gegebenenfalls Juristen oder Mitarbeiter aus der Personalabteilung. Sie alle sollten ihre Aufgaben im Voraus kennen, so dass sie nur noch ein Signal benötigen, um in Aktion zu treten. Bei aktuellen Angriffen kann es nämlich fatal sein, zu warten, bis die Situation eskaliert, bevor man die Mitglieder des IR-Teams zusammenruft und über ihre Aufgaben informiert.
Um sicherzustellen, dass die Teammitglieder ausreichend geschult und befähigt sind, die richtigen Maßnahmen zur richtigen Zeit zu ergreifen, sollten nicht-technische theoretische Übungen ebenso zum IR-Plan gehören wie vollständige Simulationen eines Angriffs. So kann man die technischen und nicht-technischen Prozesse durchspielen, um die Reaktion zu trainieren. Natürlich müssen die Mitglieder des Incident Response Teams auch die Kompetenzen und gegebenenfalls Weisungsbefugnisse besitzen, die für ihre Tätigkeit in diesem Rahmen erforderlich sind.
Dokumentieren, dokumentieren und dokumentieren
Bei jedem Sicherheitsvorfall ist es von höchster Wichtigkeit, alles zu dokumentieren. Nicht nur den Angriff selbst, sondern auch die eigenen Reaktionen darauf. Mit diesen Informationen sollten Teams in der Lage sein, eine ganze Historie für den Sicherheitsverstoß zusammenzustellen: was die Angreifer getan haben, wann und wie dies erfolgt ist, und was sie gefährdet haben. Dies ermöglicht es, einen ausführlichen Maßnahmenplan zur Problembehebung und Schadensbegrenzung für die Systemwiederherstellung nach dem Sicherheitsverstoß zu erstellen und der Organisation hoffentlich dabei zu helfen, zukünftige Angriffe ähnlicher Art abzuwehren. Überdies ist eine komplette Dokumentation unerlässlich für eventuell anstehende Audits und die Kommunikation mit Regulierungsbehörden.
Nach dem Vorfall ist vor dem Vorfall
Selbst nach der erfolgreichen Reaktion auf einen Sicherheitsverstoß können Sie sich nicht ausruhen. Das Incident-Response-Team sollte eine Nachuntersuchung durchführen, um aus den Erfahrungen zu lernen – sowohl zur Feinabstimmung seines Incident-Response-Programms im Speziellen als auch zur Nachjustierung seines Sicherheitsprogramms im Allgemeinen. Was hat funktioniert, was hat nicht funktioniert und was hätte besser oder schneller funktionieren können? Es gibt keinen besseren Lehrmeister als die Erfahrung, daher ist es wichtig, so viele Lektionen wie möglich aus der Reaktion auf einen echten Sicherheitsverstoß zu lernen.