„Wenn Sie nicht planen, planen Sie zu scheitern.“ – Benjamin Franklin.

Aktuelle Untersuchungen von Immersive Labs haben ergeben, dass fast 40 % der Unternehmen nicht sicher sind, dass ihre Teams mit einer Datenverletzung umgehen können. Dies wird durch aktuelle Untersuchungen von Sophos verstärkt, aus denen hervorgeht, dass bei 91 % der Unternehmen, die einen Sicherheitsvorfall melden, aktuelle Sicherheitsstacks betrieben haben. Die offensichtliche Schlussfolgerung ist, dass es trotz der robustesten Cyber-Abwehrmassnahmen zu Verstössen kommen wird.

Angesichts dieser Realität müssen Unternehmen einen Plan zur Reaktion auf Vorfälle haben, damit Verstösse schnell und umfassend behandelt werden, um ihre Auswirkungen zu minimieren. Vor kurzem habe ich das Problem mit dem Security Experts Circle (SEC.OS), dem Forum of CISOs für CISOs von Open Systems, besprochen. Gemeinsam haben wir die folgenden Schlüsselelemente identifiziert, die erforderlich sind, um einen soliden Plan zur Reaktion auf Vorfälle zu erstellen und zu operationalisieren, der auf die Bedrohungen des 21. Jahrhunderts ausgelegt ist.

Prozess

Um einen umfassenden Prozess zu entwickeln, müssen Sie sich sowohl auf praktische Erfahrungen (Ihre eigenen und die anderer) als auch auf etablierte Richtlinien und Best Practices stützen – FIRST.org ist hierfür eine ausgezeichnete Ressource. Innerhalb des Prozesses gibt es vier Teilphasen:

  • Erkennen: Nutzen Sie Ihre Technologie oder Drittanbieter, um einen Vorfall zu erkennen
  • Klassifizieren: Verifizierung, ob die Warnung, die Sie erhalten haben, echt ist oder nicht
  • Analysieren: Stellen Sie Fragen, um einen Überblick zu erhalten und den Kontext einer Warnung zu verstehen
  • Reaktion: Entscheiden Sie, welche Massnahmen gegen den Angriff ergriffen werden sollen

Viele Unternehmen machen den Fehler, hier aufzuhören. Aber ein sehr wichtiger Teil Ihres Prozesses ist die Post-Mortem-Analyse, damit Sie die Schwäche in Ihrer Sicherheitslage erkennen und beheben können. Wenn Sie dies nicht tun, ist in der Regel gewährleistet, dass Sie in Zukunft mit demselben Angriff konfrontiert werden.

(Source: FIRST, December 2020)

 

Schritt 1: Vorbereitung

Beantworten Sie zur schnellen Selbsteinschätzung die folgenden Fragen:

  • Wer ist der Lead bei dem Vorfall?
  • Wer kommuniziert?
  • Wer muss informiert werden?
  • Wie kann ich sie kontaktieren?
  • Was ist mein Out-of-Band-Kommunikationskanal?
  • Und ja, sogar: Wie wird mein Reaktionsteam mitten in einer Krise informiert?

Wenn Sie einen guten Plan für die Reaktion auf Zwischenfälle erstellt haben, sollten diese Fragen leicht zu beantworten sein. Sobald der Plan in Kraft ist, muss Ihr Team zur Reaktion auf Zwischenfälle für einen Notfall üben, um sicherzustellen, dass der Plan ordnungsgemäss funktioniert. Ihr Team zur Reaktion auf Zwischenfälle und – falls möglich – das Management sollten die Schritte eines Vorfalls in Echtzeit durchgehen, die Krise durchspielen und sehen, wie gut der Plan funktioniert.

Im Falle eines schwerwiegenden Verstosses hängen alle – vom Servicedesk über das Management bis zum Vorstand – von Ihrem Team ab. Die Effektivität Ihres Plans und Ihres Teams wird genau analysiert, also üben Sie im Voraus. Sonst werden Sie während einer tatsächlichen Krise üben, und das ist keine gute Idee.

FIRST bietet zu Sicherheitsverletzungen kostenlose Workshops an, um Teams bei der Entwicklung und Verfeinerung ihrer Reaktionspläne zu unterstützen.

Elemente Ihres Reaktionsplans auf Zwischenfälle

Die Effektivität Ihres Plans zur Reaktion auf Zwischenfälle hängt davon ab, wie umfassend er mehrere kritische Faktoren berücksichtigt, darunter:

Kommunikation

Vor allem die Kommunikation bleibt ein wichtiger Bestandteil jedes Elements Ihres Programms zur Incident Response. Wenn sie gut ist, fördert Ihre Kommunikation das Vertrauen von Kunden, Mitarbeitenden, der Presse und mehr. Die Bereitstellung klarer, prägnanter, zeitnaher und genauer Informationen durch geschulte, sachkundige Vertreter stärkt das Vertrauen von Mitarbeitenden und Kunden, erfüllt Compliance-Anforderungen an Ihre Organisation und hilft den Medien bei der genauen Berichterstattung.

Ein wesentlicher Teil Ihres Kommunikationsplans umfasst auch, was an das Team zur Reaktion auf Vorfälle kommuniziert wird. Etwa 50 % aller Vorfälle werden von Dritten entdeckt, bevor das Unternehmen bemerkt, dass ein Verstoss vorliegt. Sie müssen also sicherstellen, dass ihr Reaktionsteam diese Meldungen erhält, damit es rechtzeitig reagieren kann.

Denken Sie darüber hinaus an die verschiedenen Kommunikationsanwendungen, die Ihr Unternehmen verwendet, und stellen Sie sicher, dass Sie die Kommunikation mit allen Beteiligten während einer Krise koordinieren. Dies kann angesichts der Schnelligkeit, mit der sich Informationen im Zeitalter der sozialen Medien verbreiten, eine besondere Herausforderung sein. Bedenken Sie:

  • Haben Sie Telefonnummern ausgedruckt, falls Sie nicht auf Ihre digitalen Dateien zugreifen können?
  • Sollten Sie Ihr privates Mobiltelefon verwenden?
  • Müssen Sie zusätzliche Anwendungen kaufen und testen?
  • Sind Sie bereit, eingehende Fragen auf Echtzeit-Kommunikationsplattformen wie Twitter oder WhatsApp zu beantworten?

Geschäftsleitung

Ihr Program Lead zur Reaktion auf Vorfälle muss keine Führungskraft sein, aber jemand, der Projekte effektiv steuern und entsprechend der Planung mit allen Beteiligten kommunizieren kann. Lead zu sein, bedeutet nicht, jede Taktik zu beherrschen, die für die Implementierung des Plans erforderlich ist – man kann z. B. einen geschulten Mediensprecher einsetzen.

Orientierung

Geben Sie den Mitarbeitenden nach der Offenlegung des Verstosses eine Orientierung zu den nächsten Schritten – vom Service Desk über das Management bis zu Kunden und Partnern. Sie müssen nicht unbedingt eine Lösung präsentieren, aber transparent sein und Ihre nächsten Schritte kommunizieren, um die Auswirkungen des Vorfalls zu minimieren. Verharmlosen Sie Probleme nicht.

Out of Band

Sorgen Sie für ein Backup-Kommunikationssystem. Einige Unternehmen nutzen Messaging-Plattformen wie Signal oder Threema als Backup-Kommunikationskanal. Denken Sie daran, Ihre Backup-Kanäle regelmässig zu testen, um sicherzustellen, dass sie ordnungsgemäss konfiguriert sind und Sie sicher sein können, dass vertrauliche Nachrichten vertraulich bleiben.

Ernährung

Grössere Vorfälle dauern eine Weile an. Denken Sie daran, die Beteiligten bei Stange zu halten. Wer hungrig ist, trifft wahrscheinlich keine passenden Entscheidungen, also achten Sie darauf, dass Ihr Team zur Reaktion auf Vorfälle mit gesunden Lebensmitteln und Getränken versorgt ist.

Beziehungen

Man muss seine Freunde kennen: Bauen Sie eine Beziehung zu Ihren Anbietern und Lieferanten auf, aber auch zu Ihren Kunden. Wenn Sie zum ersten Mal nach einem Verstoss mit ihnen sprechen, ist dies wahrscheinlich eine Herausforderung und es wird hilfreich sein, wenn man bereits eine Beziehung zu ihnen aufgebaut hat. Stellen Sie ausserdem sicher, dass sie von Ihnen und nicht von der Presse über den Verstoss informiert werden. Der Vertrauensverlust, der mit einer fehlenden Offenlegung einhergeht, kann Ihre Organisation Zeit und Geld kosten und das Ansehen schädigen.

Compliance

In der Regel sind Sie verpflichtet, Aufsichtsbehörden und Kunden zu informieren. Abhängig von Ihrer Branche und den lokalen/bundesstaatlichen Gesetzen müssen möglicherweise weitere Aufsichtsbehörden informiert werden und zwar innerhalb eines bestimmten Zeitrahmens. Informieren Sie sich ausserdem im Voraus, was Sie kommunizieren müssen und ob es Informationen gibt, die ausgeschlossen sind.

Community

Die FIRST-Community mit Mitgliedern auf der ganzen Welt steht Ihnen zur Seite, wenn Ihr Unternehmen sich in einer Krise befindet. Wenn Sie Mitglied bei FIRST sind oder einen Sicherheitsanbieter haben, der wie Open Systems FIRST-Mitglied ist, können Sie sich mit seiner grossen Mitgliederbasis verbinden, um Informationen zu erhalten und zu teilen oder um sich zu vernetzen.

Schritt 2: Nachbereitung

Wenn Sie diesen wichtigen Schritt zu Ihrem Plan hinzufügen, können Sie vom Misserfolg zum Fortschritt gelangen. Nachdem Sie sich mit dem Vorfall auseinandergesetzt haben, sind Sie in der besten Position, um Änderungen an Ihrem Programm vorzunehmen, basierend auf dem, was während der Behandlung des Vorfalls fehlgeschlagen ist. Nutzen Sie während des Arbeitszyklus Ihres Bezugsrahmens „Lernen, Planen, Durchführen“ die Dynamik, um mit Ihrem Team und den Stakeholdern eine Nachbesprechung durchzuführen und noch einmal einige grundlegende, aber dennoch wichtige Fragen zu stellen:

  • Wie kam es zu dem Verstoss?
  • Welches Tool hat uns geholfen, den Verstoss zu erkennen?
  • Wie könnten wir den Vorfall beim nächsten Mal schneller erkennen?
  • Wie schnell und genau konnten wir kommunizieren?
  • Müssen wir unseren Prozess anpassen, um die Effizienz zu verbessern?
  • Wie gestalten wir die Architektur, um sicherzustellen, dass dies nicht noch einmal passiert?

Geben Sie diese Ergebnisse direkt wieder in Ihr Programm ein. Dieser Schritt verbessert nicht nur Ihr Programm zur Reaktion auf Vorfälle, sondern trägt auch dazu bei, Vertrauen bei den von einem Vorfall betroffenen Parteien aufzubauen, nämlich Endbenutzern, Kunden und Mitarbeitenden.

Wie Sie wissen, sind Mitarbeitende eine der Verbindungen, die Angreifer häufig nutzen, um einen Weg in Ihr Netzwerk zu finden. Sie müssen das Sicherheitsbewusstsein Ihrer Mitarbeitenden fördern, damit sie sich trauen, Meldung über verdächtiges Verhalten oder seltsame E-Mails zu erstatten. Nach einem Verstoss sollte es nicht das Ziel eines Unternehmens sein, einen Schuldigen zu finden, auf den man den Vorfall schieben kann. Akzeptieren Sie, dass Fehler passieren, lernen Sie als Team aus ihnen und verbessern Sie sich auf der Grundlage Ihrer neuen Erkenntnisse. Mitarbeitende zu bestrafen, die aus Versehen einen Verstoss verursachen, führt zu weiteren Herausforderungen hinsichtlich Offenlegung und Compliance.

Zu guter Letzt: Einige Leute haben während eines Vorfalls Überstunden gemacht. Nehmen Sie sich Zeit, um sich bei ihnen zu bedanken.

Schlussfolgerung

Obwohl es nie zu spät ist, einen Incident Response Plan zu erstellen, ist die Reise damit nicht zu Ende. Es ist ein fortlaufender Prozess, der ständige Überprüfung, Verbesserung und Kommunikation erfordert. Nur einen Plan zur Reaktion auf Vorfälle und ein Team zu haben, garantiert keinen Erfolg, insbesondere wenn das Team den Plan gar nicht auf ordnungsgemässe Funktion getestet hat. Übung, Übung und mehr Übung helfen Ihnen, Ihr Programm zu verfeinern, zu optimieren und sicherzustellen, dass die Teammitglieder ihre Rollen und Verantwortlichkeiten im Falle eines Verstosses vollständig verstehen.

Dr. Serge Droz ist Vorsitzender von FIRST (Forum of Incident Response and Security Teams).  Er sprach beim Open Systems Security Experts Circle (SEC.OS) Roundtable im Dezember 2020.