Blog: Verstösse kommen vor: Warum eine gute Incident Response der Schlüssel zur Bewältigung von Cyberangriffen ist

Wir alle kennen das Szenario: Ein namhaftes Unternehmen meldet einen Cyberangriff und eine Datenschutzverletzung, die Millionen von Kunden betreffen. Die Folgen sind schnell zu spüren. Kundenbindung und Vertrauen gehen zurück, vor allem, wenn der Verstoss nicht sofort und ordnungsgemäss bekanntgegeben wird. Es können Bussgelder erhoben werden. Und die Marke setzt dann erhebliche Ressourcen ein, um die Unternehmenssicherheit zu verbessern und ihr Image aufzubessern.

Obwohl Verstösse wie die bei Starwood Hotels und Target sicherlich berichtenswert sind, sind Unternehmen jeder Grösse und in jeder Branche einem kontinuierlichen Ansturm von Sicherheitsbedrohungen ausgesetzt.

Während es selbstverständlich ist, Massnahmen zur Verhinderung von Cyberangriffen zu ergreifen, ist es auch fast unvermeidlich, dass die intelligenten und unerbittlichen Cyberkriminellen von heute einen Weg finden, in ein System einzudringen. Die Reaktion auf Vorfälle oder Incident Reponse (IR) – also was nach einem Verstoss passiert – ist ebenfalls von entscheidender Bedeutung. Von der sofortigen Reaktion zur Behebung der Bedrohung bis zur öffentlichen Bekanntgabe des Vorfalls kann die Art und Weise, wie ein Unternehmen auf einen Angriff reagiert, die öffentliche Wahrnehmung, das Markenvertrauen, die Kundenbindung und die anhaltenden Konsequenzen eines Datenschutzverstosses beeinflussen, ebenso wie die Fähigkeit, das Problem an der Wurzel zu beseitigen: Den Angreifer komplett auszuschalten.

Die traurige Realität ist, dass die meisten Organisationen nicht darauf vorbereitet sind, auf Angriffe zu reagieren, selbst dann nicht, wenn so viel auf dem Spiel steht. Es ist üblich, dass Organisationen erst nach einem Vorfall Hilfe suchen. Sich in einer Krise schnell einen Plan zurechtzulegen, ist einfach nicht mehr zeitgemäss.

Verstösse kommen vor, aber mangelhafte IR sollte nicht sein. Ein gründlicher IR-Plan kann dazu beitragen, Verluste zu reduzieren, Prozesse und Services wiederherzustellen und sogar die ausgenutzten Schwachstellen einzuschränken.

Verfügt Ihre Organisation über einen IR-Plan? Ist er umfassend? Internetangriffe weltweit nehmen an Umfang, Auswirkung und Häufigkeit zu, daher ist es für die Cyberabwehr eines Unternehmens von entscheidender Bedeutung, einen soliden IR-Plan zu etablieren.

Um Ihr Unternehmen darauf vorzubereiten, sollten Sie diese vier wichtigen Punkte für einen erfolgreichen IR-Plan beachten:

  1. Bereitschaft

Um die Reaktion auf Vorfälle entsprechend vorzubereiten, brauchen Sie zunächst ein hochwertiges IR-Team. Stellen Sie sicher, dass Sie die richtigen Mitarbeitenden und Partner für dieses Team einsetzen, ihre Rollen und Zuständigkeiten darlegen und ihnen die Möglichkeit geben, Richtlinien zu entwickeln, die implementiert werden sollten, sobald ein Vorfall erkannt wird. Die Teammitglieder sollten Sicherheitsingenieure mit den notwendigen technischen Fähigkeiten einbeziehen, um Angriffe aufzudecken und sich dagegen zu verteidigen. Sie sollten auch über die sozialen Kompetenzen verfügen, sich mit wichtigen Kollegen in Verbindung zu setzen, wenn ein Verstoss auftritt. Zu diesen Kollegen können Compliance-Führungskräfte, Personalmanager, Anwälte und Spezialisten für Public Relations gehören. Es ist wichtig, dass sich das Team verbindet und trainiert, bevor es zu einem Ereignis kommt.

Zweitens muss Ihr Unternehmen einen Kommunikationsplan rund um IR entwickeln, der sicherstellt, dass sowohl externe als auch interne Stakeholder rechtzeitig die angemessenen Informationen erhalten. Eine gut geplante Kommunikationsstrategie sollte ausserdem compliancebezogene Probleme und Medienkommunikation abdecken.

  1. Erkennung von Sicherheitsverletzungen

Die bittere Wahrheit ist, dass die Erkennung eines Cybervorfalls wirklich schwer ist. Manchmal dauert es Tage, Wochen und sogar Jahre – ja, Jahre –, bis Organisationen eine Kompromittierung herausfinden, weil Angreifer unentdeckt bleiben, wenn niemand nach ihnen sucht. Unternehmen müssen über 24x7 Monitoring und Erkennungstools verfügen, um bei der Analyse des Vorfalls und der Bestimmung des Umfangs des Verstosses zu helfen. Das hilft dem Team zu verstehen, welche Art von Vorfall stattgefunden hat, sei es Malware, Phishing oder ein Denial-of-Service-Angriff, und ermöglicht eine schnelle und zielgerichtete Reaktion.

Viele Vorfälle werden von externen Parteien entdeckt. Der Schlüssel zu einer sofortigen Reaktion sind sichtbare Kontaktpunkte. Wenn jemand ein Problem in Ihrem Netzwerk findet, muss diese Person jemanden erreichen können, der Massnahmen ergreifen kann.

 

  1. Klassifizierung

Sobald Sie einen Sicherheitsvorfall erkannt haben, ist es wichtig, eine Analyse durchzuführen, um das Ausmass des Ereignisses zu bestimmen, ob sich die Angreifer noch im Netzwerk befinden und wie weit sich die Angriffe verbreitet haben könnten. Sicherlich müssen aufgrund der Dringlichkeit der Situation möglicherweise Entscheidungen basierend auf unvollständigen Informationen getroffen werden, bevor man zum nächsten Schritt übergehen kann.

Sie erreichen eine effektive Klassifizierung, wenn Sie Informationen über Ihr eigenes Netzwerk mit den neuesten Bedrohungsinformationen kombinieren, wie spezifische Angaben zu Tools, Techniken und Trends von Angreifern. Auf diese Weise wird keine Zeit im Zusammenhang mit falsch positiven oder irrelevanten Warnungen verschwendet, und Sie können sich auf die Sicherheitsvorfälle konzentrieren, die von Bedeutung sind.

 

  1. Beseitigung

Nachdem Sie den Angriff erkannt und seine Bedrohungsstufe bestimmt haben, ist es an der Zeit, die eigentliche Ursache der Bedrohung zu finden und zu beseitigen – zum Beispiel die Malware oder andere bösartige Dateien, die den Verstoss verursacht haben. Gleichzeitig muss Ihr Team alle betroffenen Systeme sichern, um den aktuellen Zustand für die spätere Forensik zu bewahren und und sich dann um die Wiederherstellung der erforderlichen Dienste kümmern. Schliesslich ist es an der Zeit, mit Ihren Kunden zu kommunizieren und zu zeigen, dass Sie die Krise unter Kontrolle haben – und nicht umgekehrt.

Indem Sie im Voraus geplante IR-Schritte unternehmen, um die Bedrohung effektiv zu identifizieren, den Schaden zu minimieren, die Kosten des Vorfalls einzudämmen und die Ursache zu finden und zu beheben, um künftige Angriffe zu verhindern, ist Ihr Unternehmen bestens vorbereitet, um unnötige geschäftliche Auswirkungen und Reputationsschäden zu vermeiden.

Verstösse kommen vor. Bereiten Sie sich mit hervorragender IR darauf vor.

Mehr über unsere SOC-as-a-Service-Lösung.