Wie können Sicherheitsvorfälle getrackt werden?
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Dimitris Kalaitzidakis.
Mit der zunehmenden Digitalisierung von Firmen und Geschäftsprozessen ist es notwendig, Incidents systematisch zu verarbeiten und Unternehmen den korrekten Umgang damit aufzuzeigen. Vor allem kleinere Incidents werden oftmals nicht kommuniziert oder im Abschluss daran ausgewertet und dokumentiert. Mit gut strukturierten Prozessen können solche Vorfälle effizient bearbeitet werden und zur Qualitätsverbesserung beitragen.
Wie können Sicherheitsvorfälle getrackt werden? [1]
Um Sicherheitsvorfälle zu überwachen und zu steuern, bieten sich unter anderem sogenannte Issue-Tracking-Systeme an. Diese dienen dabei zur Erfassung und korrekten Verarbeitung von Issues. Ein solches «Objekt» kann dabei eine einfache Anfrage eines Kunden, eine Störung oder ein Sicherheitsvorfall sein. Der Fokus hier liegt dabei auf den Security Incidents. Mit zunehmender Digitalisierung und steigender Internetkriminalität ist es wichtig, solche Vorfälle in Form eines Prozesses zu verarbeiten. Dafür bieten sich unterschiedliche Anwendungen wie Jira, Backlog oder Zoho an. Inhaltlich geht es dabei in der Regel um Erfassung, Zuweisung, Statusüberwachung und Archivierung des Incidents. Abhängig von der auftretenden Anzahl der Incidents kann auch eine Priorisierung notwendig sein. Da sich je nach Vorfall und Komplexität des Incidents ein solcher über mehrere Wochen oder sogar Monate hinziehen kann, ist es von Vorteil, eine darauf spezialisierte Anwendung einzusetzen und nicht mit Post-it-Klebern am Bildschirm zu arbeiten.
Informationselemente eines Incidents [2]
Nachdem ein Incident aufgetreten ist, sollte er gemäss einem vordefinierten Prozess erfasst und bearbeitet werden. In kleineren Unternehmen geschieht dies oft durch den Mitarbeitenden selbst und ohne dedizierte Anwendung. Nach dem Abschluss der Aufgabe erfolgt allenfalls noch eine interne Meldung und der Task ist damit abgeschlossen. Grössere Organisationen hingegen verfügen über ein Security Incident Response Team, das diese Aufgabe übernimmt. Welche Daten der Prozess braucht, ist abhängig von der Art und dem Schweregrad des Incidents. Der Prozess sollte aber idealerweise zumindest die folgenden Informationen beinhalten:
- Zeitpunkt und Identifikation des Incidents
- Kurzbeschrieb
- Auswirkungen
- Eingeleitete Massnahmen
- Klassifizierung
Für umfangreichere Incidents bietet es sich zudem an, einen Betreuer und Kommunikator pro Vorfall zu definieren, so dass sich der Betreuer einzig und allein auf die Lösung des Problems konzentrieren kann. Auf Auswirkungen und eingeleitete Massnahmen hin folgt die Kommunikation an betroffene Institutionen und Personen. Bei einfacheren Störungen reicht dabei oftmals eine kurze Infomail an die Kollegen und Kolleginnen, während bei grösseren Vorfällen unterschiedliche Abteilungen bis hin zur Pressestelle miteinbezogen werden müssen. Dies sollte in Verbindung mit der Klassifizierung und dem Schweregrad des Incidents bereits vordefiniert im Prozess hinterlegt sein.
Verwaltung, Abschluss und Aufwertung
Nachdem der Incident bearbeitet und behoben ist, folgen Abschluss und Aufwertung des Vorfalls. Im abschliessenden Bericht gilt es, in Form eines zeitlichen Ablaufes alle relevanten Schritte aufzuarbeiten, in zeitlich korrekter Abfolge zu dokumentieren und in einer Zusammenfassung verständlich zu beschreiben. Dieser Subprozess ist gerade für die Verhinderung und verbesserte Handhabung von zukünftigen Vorfällen notwendig und wird oft vernachlässigt und nicht konsequent umgesetzt. Die Zusammenfassung dient der Kommunikation an direkt oder indirekt beteiligte Bereiche oder für interne Schulungen. Der Abschluss des Incidents erfolgt aber nicht durch die Kommunikation dieser Meldung, sondern mit dem Beschluss, ob und welche Massnahmen zur Qualitätssteigerung definiert und umgesetzt werden können sowie der abschliessenden Freigabe des gesamten Reports. Zukünftige Incidents dieser Art lassen sich als Folge daraus vermindern oder können zumindest effizient bearbeitet werden. Mit einem Issue-Tracking-System hat man so dann auch die Übersicht über die Anzahl Vorfälle und es lässt sich einfach und verständlich darstellen, in welchem Bereich wie viele Incidents aufgetreten sind.
Fazit
Die Bearbeitung, Verwaltung und Messung von Sicherheitsvorfällen ist nicht komplex und lässt sich bereits mit wenig Aufwand in einfachem Umfang für sämtliche Bereiche eines Unternehmens realisieren. Es spielt keine Rolle, ob eine Tür unverschlossen war, ein Passwort gestohlen wurde oder ob ein Server eine kritische Sicherheitslücke aufgewiesen hat. Alle diese Vorfälle müssen erfasst und nach einem auf das Unternehmen zugeschnittenen Prozess bearbeitet werden. Das sollte heute für ein erfolgreiches Unternehmen selbstverständlich sein.
Autor: Dimitris Kalaitzidakis
Quellen:
[1] https://blog.hubspot.com/service/issue-tracking-software
[2] Aufzählung inhaltlich teilweise übernommen aus internem ISMS (ERPsourcing AG)
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)