Wie sehen reaktive Massnahmen nach einem Sicherheitsvorfall aus?
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Felix Rieser.
Der IT-Sicherheitsfachmann atmet erleichtert auf, scheinbar hat der Restore sämtlicher Daten auf dem System die Malware beseitigt. Ebenso sind keine Anzeichen vorhanden, dass sich die Malware schon auf andere Arbeitsplatzrechner ausgebreitet hat. Uff… nochmals mit einem «blauen Auge» davongekommen…. und nun zurück zum Tagesgeschäft – könnte man meinen, aber selbstverständlich entspricht das nicht der Arbeitsweise eines gewissenhaften IT-Sicherheitsfachmanns. Jetzt fängt die spannende Arbeit erst an. Mit einer transparenten Analyse des Sicherheitsvorfalls sollen Schwachstellen erkannt und geeignete Massnahmen ergriffen werden, um eine Wiederholung eines solchen Vorfalls zu verhindern.
Tönt relativ einfach, zumal meist schon schnell klar ist, was oder wer verantwortlich war und mit welcher Lösung das Problem aus der Welt geschafft werden kann, schliesslich drängt das Tagesgeschäft. Trotz Zeitdruck und hoher Arbeitslast lohnt es sich, einen Vorfall systematisch zu analysieren. Es fördert einerseits eine ganzheitliche Denkweise, anderseits finden sich bei genauerer Betrachtung alternative Lösungsansätze.
Nachfolgend wird ein einfaches Raster für eine systematische Analyse vorgestellt. Diesem liegt der gesamte Lebenszyklus eines Störfalls zugrunde, der in fünf Phasen unterteilt wird:
Zuerst werden für jede Phase die Fakten zusammengetragen. Man beachte, Fakten sind Tatsachen – oft werden sie automatisch mit Interpretationen und Vermutungen angereichert. So wird aus dem Fakt, dass der Strom ausgefallen ist, schnell ein «aufgrund eines Kurzschlusses» – obwohl dies noch nicht erhärtet ist.
Nun, da die Fakten auf dem Tisch liegen, können wir wirkungsvolle Massnahmen ableiten. Wirkungsvoll heisst, dass sie entweder die Wahrscheinlichkeit eines erneuten Vorfalls verringern oder die Auswirkungen resp. den Schaden minimieren. Es hilft, sich bei jeder Massnahme kurz Rechenschaft abzulegen, wo die Wirkung zu erwarten ist.
Bei den Ursachen lassen sich meist keine Massnahmen ableiten, da es sich hier um nicht beeinflussbare Umweltfaktoren handelt. Beim Auslöser steht oft die Vermeidung im Vordergrund. Beim Malwarebefall könnte dies ein Awareness-Programm für Mitarbeitende sein oder ein besseres Scanning von Mail-Anhängen. Die Auswirkungen sollen möglichst gering sein. Dies kann man erreichen, indem man die Systeme robuster macht oder mittels Überwachung solche Ergebnisse frühzeitig erkennt und schnell eingreifen kann.
Die Massnahmen werden oft dahingehend optimiert, dass mittels Checklisten oder kleinen Automatisierungsroutinen die IT-Operation schneller und gezielter eingreifen kann. Das Business kann hier ebenso Überlegungen anstellen, wie sie ihr Business im Ereignisfall alternativ betreiben können, um so einen Beitrag zur Schadensminimierung liefern zu können.
Massnahmen für die Wiederherstellung zielen meist auf die Verkürzung der benötigten Zeit ab. Meist findet man Checklisten, Pläne und Ersatzgeräte. Hilfreich ist da auch die Durchführung von Tests, z.B. im Rahmen eines Neuaufbaus eines Systems.
In nachfolgender Tabelle sind die Phasen nochmals kurz beschrieben
Phase | Bezeichnung | Beschreibung |
1 | Ursache | Die Ursache / Bedrohungsszenario, das zu einem Störfall geführt hat. (z.B. verseuchte E-Mail-Anhänge, drohendes Unwetter) |
2 | Auslöser |
Der Auslöser für den konkreten Störfall (z.B. Mitarbeitender öffnet verseuchten Mail-Anhang, Blitzschlag in RZ) |
3 | Auswirkung |
Die konkrete Auswirkung der Störung (z.B. Arbeitsplatz ist mit Malware verseucht, Stromausfall im RZ) |
4 | Massnahme |
Die Massnahmen, die getroffen werden, um den Störfall
unmittelbar zu bewältigen (z.B. Arbeitsplatz isolieren, Notstromaggregat hochfahren und in Betrieb nehmen) |
5 | Wiederherstellung |
Massnahmen zur Wiederherstellung des «Normalbetriebszustandes» (z.B. Arbeitsplatz neu aufsetzen, Stromversorgung vom Notstromaggregat auf normale Stromversorgung zurückschalten) |
Tabelle 1 Lebenszyklus eines Störfalls
Ein bisher nicht beleuchteter Punkt ist die Unternehmenskultur. Um aus Fehlern effektiv zu lernen, muss ein Unternehmen auch eine entsprechende Fehlerkultur aufweisen. In der Luftfahrt und der Medizin wurden damit in der Vergangenheit massive Qualitätsverbesserungen erreicht. Die sogenannte «Just-Kultur», die im Gegensatz zur «Blame- Kultur» Fehler als Teil von komplexen Systemen betrachten und nicht als Fehlleistung einzelner Personen. Aber das wäre schon ein Thema für einen weiteren Blog.
Autor: Felix Rieser
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)