Wie werden Sicherheitsvorfälle behandelt und eskaliert?
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag.
Viele Organisationen aus verschiedenen Branchen beschäftigen sich immer intensiver mit der aktuellen Informationssicherheitslage der eigenen Organisation. Basierend auf ihrer Grösse, vorhandenen Ressourcen und Wissen befassen sie sich mit IT-Grundschutz und setzen Sicherheitsmassnahmen um, mit dem Ziel, Angriffen vorzubeugen oder diese rechtzeitig abzuwehren.
Vorbereitende Massnahmen beim Zutreffen eines Sicherheitsvorfalls
Grundsätzlich können Sicherheitsvorfälle im Normalbetrieb auftreten bzw. im Notfall oder bei Krisen im Rahmen des Business Continuity Managements (BMC) einer Organisation. BCM beinhaltet im Vorfeld ausgearbeitete Massnahmen, die notwendig sind für die Weiterführung des Kerngeschäfts eines Unternehmens nach Eintritt eines Notfalls oder eines Sicherheitsvorfalls. Als Unterstützung bietet BSI erste Hilfe, wie ein Vorfall zu bewältigen wäre, inkl. Checklisten zu Organisatorischem und zur Technik, sobald ein Sicherheitsvorfall im Unternehmen festgestellt wurde.
Vorgehensweise bei einem aktuellen Angriff
Falls die Fachkräfte im Unternehmen nicht vorhanden bzw. zum Angriffszeitpunkt abwesend sind, bietet sich an, einen Fachexperten zu verpflichten, der die Krise managen kann. Seine Erfahrungen sollte er nicht nur aus der Verteidigung gesammelt haben, sondern auch aus dem Angriff. Sehr oft sind es Dienstleitungsunternehmen, die Sicherheitsanalysen anbieten und auf Angriffe spezialisiert sind (z.B. Kudelski, Six Group etc.).
Für die Behandlung von Sicherheitsvorfällen ist zwingend notwendig, eine Eskalationsstrategie im Vorfeld innerhalb des Sicherheitskonzeptes festgelegt zu haben. Diese Strategie enthält eindeutige Handlungsanweisungen für die Reaktion und die einzuleitenden Massnahmen im Ernstfall. Eine enge Zusammenarbeit zwischen der verantwortlichen Stelle für das Notfallmanagement, den Mitarbeitenden aus dem IT-Betrieb und den Sicherheitsbeauftragten verhilft zur erfolgreichen und zeitnahen Abwehr.
Die Behandlung eines Sicherheitsvorfalls ist abhängig von den Service Levels Agreements (OLA, SLA), die im Vertragsregelwerk für die Behandlung von Incidents vereinbart wurden. Ebenfalls dort sind die Eskalationsstufen festgelegt. Wenn dediziertes Fachpersonal als Sicherheitsexperte innerhalb der Organisation angesiedelt ist, kümmern diese sich um die Informationssicherheit innerhalb der Organisation und sind verantwortlich für die Klassierung und Priorisierung von Incidents und deren Zuteilung (Dispatching).
Ein sehr grosser Anteil an Vorfällen wird einfach nicht entdeckt und bleiben unbemerkt. Daher ist die Schadensermittlung, d.h. die forensische Aufarbeitung eines Vorfalls enorm wichtig, nämlich die Identifikation ausgenutzter Schwachstellen, die Ermittlung betroffener Daten und Systeme und die Schliessung der Lücken. Durch die darauffolgende Dokumentation und Nachbearbeitung des Vorfalls gewinnt man neue Erkenntnisse und leitet nachhaltige Massnahmen für die Verhinderung zukünftiger Vorfälle ein.
Was ist ein SOC?
Mit einem Security Operation Center (SOC) wird das Unternehmen von den aktuellen Gefahren bestens gerüstet und geschützt. Das Ziel eines SOC ist es, die aktuellen Bedrohungen und Informationssicherheitsereignisse innerhalb des Unternehmens/ der Organisation zu sammeln, aufzuzeichnen, zu erkennen, zu alarmieren und operativ zu bearbeiten. Der SOC strebt einen ausreichenden Reifegrad der Informationssicherheit an. Ein SOC kann als intern zentralisiert, intern dezentralisiert, extern oder auch als Mix aus beiden Varianten umgesetzt werden. Je nach Grösse der Organisation, vorhandenen Ressourcen und Wissen kann eine Outsourcing-Lösung durch sog. «Managed Security Service Provider» (MSSP) attraktiver sein als ein interner SOC, der einige Nachteile mit sich bringt: Grosse zukunftsgerichtete Investitionen für Technologien oder die Schwierigkeit, schnell ROI nachzuweisen. Ein Interessanter Artikel dazu wurde in der Zeitschrift <kes> Ausgabe 2019#6, Seite 62 publiziert.
Fazit
Sogar wenn man zum Mittelpunkt eines erfolgreichen Angriffs geworden ist, einen Reputationsverlust oder eine Klage befürchtet, wäre es für die angegriffenen Unternehmen und sogar Regierungsstellen sinnvoll, diese Sicherheitsvorfälle zu sammeln und zu analysieren. Dadurch erreicht man einerseits ein wertvolles IT-Security-Management und andererseits die Sensibilisierung der Öffentlichkeit auf die Gefahren.
Weiterhin ist empfehlenswert, die Informationssicherheit in der Organisation regelmässig zu prüfen. Vor allem wenn es einen Sicherheitsvorfall gegeben hat, sollte dieser zusätzlich geprüft werden. Auf dieser Art können die Schwachstellen identifiziert und rechtzeitig beseitigt werden. Dies sichert zukünftig den Fortbestand des Unternehmens, ohne die eigene Handlungsfähigkeit zu verlieren.
Autor: Beitrag aus dem CAS Cybersecurity und Information Risk Management
Quellen:
- Hauptaugenmerk liegt auf das IT-Grundschutz-Kompendium Edition 2020 – Werkzeug für Informationssicherheit, insb. DER: Detektion und Reaktion (DER.1 Detektion von sicherheitsrelevanten Ereignissen, DER.2.1 Behandlung von Sicherheitsvorfällen, DER.2.2 Vorsorge für die IT-Forensik, DER.3.1 Audits und Revisionen, DER.4 Notfallmanagement)
- Weiterführende Literatur zum Thema:
- IT-Grundschutz und die Norm ISO/IEC 27001: Anforderungen an ein ISMS, die in ISO/IEC 27002 Empfehlungen für diverse Kontrollmechanismen zusammenfasst
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)