Cybersecurity: Wie sieht ein guter Vorfallreaktionsplan aus und welche Schritte sollte er umfassen?
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Niklaus Inäbnit.
Die IT-Systeme und Informationen einer Firma werden heutzutage mit ausgeklügelten Mechanismen und Vorkehrungen geschützt. Doch was tun, wenn ein Cyberangriff auf das Unternehmen tatsächlich stattfindet oder eine Datenschutzverletzung festgestellt wird? Eine systematische Vorbereitung mit einem Vorfallreaktionsplan zahlt sich in solchen Situationen aus.
Nicht wenige Organisationen investieren hohe Summen in ihre IT-Sicherheit. Ein Angriff sollte nach Möglichkeit bereits verhindert werden, bevor dieser überhaupt stattfinden kann. Durch die Absicherung der Systeme mittels Hardening und Firewalls und durch den Aufbau von Security Monitoring zur Erkennung von Anomalien oder verdächtigen Vorgängen (z.B. möglichen Cyberangriffen), ist bereits eine gute Grundlage geschaffen. Dennoch muss man für den Fall vorbereitet sein, falls tatsächlich ein Angriff von extern auf die eigene Firma stattfindet. Oder noch schlimmer, wenn bereits eine Datenschutzverletzung vorliegt und Daten manipuliert, verschlüsselt oder gar entwendet wurden. In einem solchen Fall ist rasches und gezieltes Handeln angebracht und ein guter Vorfallreaktionsplan hilft hierbei.
Merkmale eines guten Vorfallreaktionsplans
Wird ein Cybersecurity-Vorfall erst einmal detektiert, gilt es, den Vorfallreaktionsplan umzusetzen. Das setzt natürlich voraus, dass so ein Reaktionsplan überhaupt vorhanden ist. Die Planung der Gegenmassnahmen auf Cyberangriffe erfolgt idealerweise in aller Ruhe und bedacht, noch lange bevor so ein Ereignis überhaupt eintritt. Eine gute Vorbereitung ist also das A und O, um auf eine Aktion eine passende Gegenreaktion bereit zu haben. Findet gerade ein Cyberangriff auf Ihre Firma statt, haben Sie wohl alle Hände voll zu tun und sind froh, wenn Sie auf einen vorbereiteten „Masterplan“ zurückgreifen können.
Der Vorfallreaktionsplan enthält sowohl organisatorische als auch technische Massnahmen. Alle Personen müssen sich ihrer Rolle und Aufgaben bewusst sein. Tritt ein Vorfall auf, müssen die Kriterien für eine Meldung definiert sein. Anhand dieser Kriterien kann ein Cybersecurity-Vorfall klassifiziert werden und z.B. anhand eines Incident-Management-Systems bereits als Security-Incident definiert werden. In diesem Security-Incident werden alle Informationen zum Vorfall festgehalten, wie z.B. wann hat der Angriff stattgefunden? Welche Systeme sind betroffen? Was sind die Auswirkungen? Wie hat der Angriff überhaupt stattgefunden (falls bekannt)? Als nächstes müssen die Spezialisten ran. Ein Security-Incident erfordert Know-how von erfahrenen IT-Spezialisten. Entweder sind diese Fachkräfte innerhalb der Firma in einem IT-Security Team vorhanden oder stehen extern zur Verfügung. Auch hier ist geeignetes Personal (ob intern oder extern) bereits im Vorfeld zu schulen oder Verträge mit externen Firmen abzuschliessen, um im Bedarfsfall darauf zurückgreifen zu können.
Beim Vorgehen gilt es abzuwägen, wie weit der Angriff fortgeschritten ist. Sind die Angreifer auf ein System eingedrungen, haben aber sonst noch keinen Schaden angerichtet oder Daten entwendet, lohnt es sich unter Umständen, die Eindringlinge in falscher Sicherheit zu wiegen. Dabei lässt sich Zeit gewinnen, um die forensischen Untersuchungen voranzutreiben und Beweise zu sichern. Ist der Schaden bereits eingetreten, helfen oft nur noch drastische Massnahmen: die betroffenen Systeme müssen abgeschaltet oder komplett isoliert werden. Im Extremfall hilft nur noch eine Löschung und Neuaufsetzung eines Systems.
Ist die Bedrohung beseitigt, gilt es, die Ursache zu eruieren und zu beseitigen. Die Sicherheitslücke muss geschlossen, die Malware vollumfänglich entfernt und das System komplett geschützt werden, indem es gehärtet, gepatcht und die entsprechende Sicherheitskonfiguration angewendet werden. Ist die Gefahr vollumfänglich und garantiert gebannt, geht es darum, die Systeme wieder in Betrieb zu nehmen und in die gewohnte Systemlandschaft zurückzuführen. So verbessern Sie einen bestehenden Vorfallreaktionsplan und halten die regulatorischen Vorschriften ein.
Ein solches Ereignis bleibt meistens nicht ohne Massnahmen oder Erkenntnisse. Es gilt zu analysieren, ob der Vorfall genügend früh erkannt wurde oder ob eventuell Nachjustierungen an den Detektionssystemen vorgenommen werden müssen. Zudem ist es wichtig zu überprüfen, ob die im Vorfallreaktionsplan definierten Massnahmen den gewünschten Effekt gebracht haben und angemessen auf den Vorfall reagiert wurde oder ob der Reaktionsplan angepasst werden muss. Es lohnt sich zudem, die eingetretenen Vorfälle zu kategorisieren und im Incident-Management-System abzuspeichern, damit eine lückenlose Dokumentation gewährleistet ist. Selbst ohne Ereignis, sollte der Vorfallreaktionsplan in regelmässigen Abständen überprüft und verbessert werden.
Muss ein Vorfall gemeldet werden?
Für Cybervorfälle gibt es in der Schweiz aktuell keine generelle gesetzliche Meldepflicht. Hingegen müssen Anbieter kritischer Infrastrukturen (Regulierte Finanzinstitute, Telekommunikations- und Gesundheitsunternehmen) einen Vorfall melden. Auch wer unter die EU-Datenschutz-Grundverordnung (DSGVO) fällt und wenn personenbezogene Daten betroffen sind, muss die Datenschutzbehörde innerhalb von 72 Stunden informieren.
Fazit
Ein guter Vorfallreaktionsplan will wohl überlegt sein und sollte schon weit vor einem ersten Cybersecurity-Vorfall erarbeitet und festgehalten sein. Tritt ein solches Ereignis ein, reichen die Ressourcen meist nicht mehr aus, um einen Reaktionsplan auszuarbeiten, da diese meist bereits anders absorbiert sind. Ein akuter Cyberangriff ist kein zu unterschätzendes Ereignis. Für eine adäquate Antwort (Response) ist ein vertieftes Know-How im Bereich IT-Security notwendig und erfordert meist externe Unterstützung. Eine gute Vorbereitung verhindert grösseren Schaden. Nicht zuletzt leidet der Ruf einer Firma langfristig, wird ein Cybersecurity-Vorfall nicht rechtzeitig und professionell abgewehrt. Deshalb lohnt sich die Investition in eine gute Informationssicherheit bzw. in einen guten Vorfallreaktionsplan.
Autor: Niklaus Inäbnit
Literaturquellen
DIN ISO/IEC 27001
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)