Aktuelle Meldungen

INCIDENT MANAGEMENT: STRUKTURIERTES HERANGEHEN AN EINEN IT-SICHERHEITSVORFALL

28-04-2020

Incident Management beschreibt den ganzheitlichen Vorgang eines Unternehmens auf einen - möglichen - digitalen Sicherheitsvorfall.

IT-Sicherheitsvorfälle treten mit Fortschreiten der Digitalisierung immer häufiger auf. Übereilte Maßnahmen richten dabei schnell mehr Schaden an, als diesen zu verhindern. Deswegen ist es wichtig, bei einem Incident strukturiert auf Basis eines Incident Managements zu handeln.

Ein weiterer Schwerpunkt sollte bei dem Thema „Incident Response“ aber nicht außer Acht gelassen werden: Was können Sie tun, um einen Sicherheitsvorfall so gut wie möglich mit präventiven Maßnahmen zu vermeiden?

Im ersten von drei Teilen unserer Miniserie zum Thema Incident Response und Incident Management geben wir Ihnen einen Überblick, wie Sie einen Sicherheitsvorfall für Ihr Unternehmen vorhersehbar machen und ein entsprechendes Incident Management aufbauen.

 

 

INCIDENT MANAGEMENT: WIE REAGIERE ICH STRUKTURIERT AUF EINEN SICHERHEITSVORFALL?

Sobald ein Sicherheitsvorfall eingetreten ist, gilt es schnell zu handeln, um den Schaden möglichst einzudämmen. Fehlendes Know-How und planloses Handeln bei der Indiziensicherung kann ganz schnell irreversible Folgeschäden mit sich bringen. Um in der Lage zu sein, schnell und nach einem für Ihr Unternehmen passenden Incident Management Plan strukturiert zu reagieren, sollten Sie sich deshalb vor Eintreten des Schadensfalls Gedanken zu diesen vier Leitfragen machen:

BIN ICH IN DER LAGE DEN SICHERHEITSVORFALL ZU BESCHREIBEN?

Um beschreiben zu können, was ein Sicherheitsvorfall ist, sollten Sie den Normalzustand Ihrer IT kennen. Nur wenn Sie den normalen Zustand Ihrer IT beschreiben können, können Sie auch den abnormalen Zustand erkennen und somit Ihren Incident Management Plan umsetzen. Machen Sie sich daher bereits im Vorfeld Gedanken, vor welchen Schadens-Szenarien Sie Angst haben und definieren Sie, auf welche Vorfälle Sie sich vorbereiten möchten.

Beispiel Buchhaltung: Ich als Unternehmen habe Angst, dass ich eine Rechnung von einem validen Geschäftspartner bekomme, bei der die Kontodaten von einem Angreifer geändert wurden und ich fälschlicherweise diese Summe überweise.

BIN ICH IN DER LAGE DEN SICHERHEITSVORFALL ZU ERKENNEN?

Angreifer sind selten behilflich, einen Sicherheitsvorfall selbstständig zu erkennen, indem Sie eine Erpressung aussenden. Wenn Sie die Szenarien, vor denen Sie Angst haben, als Sicherheitsvorfall definiert haben, sollten Sie sich im nächsten Schritt überlegen, an welchen Indizien Sie diese erkennen können. Die Erkennung sollte am besten genau dort im Unternehmen auftreten, wo der Angriff auch stattgefunden hat.

Beispiel Buchhaltung: Habe ich eine Sensorik/einen Prozess in meiner Buchhaltung, um diesen Sicherheitsvorfall zu erkennen (Rückfrage beim Zulieferer bei Änderung der bisher bekannten Kontodaten) oder bemerke ich den Sicherheitsvorfall erst einige Wochen später, sobald eine Mahnung über die ausstehende Summe seitens des Verkäufers erfolgt?

BIN ICH IN DER LAGE GEMEINSAME ZIELE ZU DEFINIEREN?

Sobald ich als Unternehmen die notwendigen Szenarien beschrieben habe und erkennen kann, wann ein Sicherheitsvorfall eingetreten ist, sollten für den Fall der Fälle Unternehmensziele definiert werden. Was ist das Ziel unseres möglichen Incident Response?

  • Emotionale Ziele: Welcher Mitarbeiter hat den Sicherheitsvorfall ausgelöst? 
  • Rationale Ziele: Wie können wir den eingetretenen Schaden eingrenzen? Wie ist der Schaden überhaupt entstanden? Warum haben wir den Sicherheitsvorfall nicht unmittelbar bemerkt?

Die Frage nach dem „Täter“ basiert meist auf emotionalen Gründen (Wunsch nach Rechenschaft / Gerechtigkeit / Strafe) und sollte als Hauptziel sorgfältig überdacht werden. Eine Täterermittlung ist jedoch in den meisten Fällen auch von IT-Sicherheitsexperten nicht bzw. nur mit immensem Aufwand eindeutig und unanfechtbar zu erbringen.

Konnte der Verursacher im Zuge Ihres Incident Managements trotzdem ermittelt werden, liefert die gewonnene Erkenntnis nicht unbedingt Ergebnisse, die für die Eingrenzung des eingetretenen Schadens bzw. die zukünftige Prävention nützlich sind.

Deswegen sollten Sie sich vor der Zieldefinition fragen, welche Erkenntnisse Sie aus den Ergebnissen ziehen wollen und ob nicht doch die Verfolgung rationaler Ziele für Ihr Unternehmen zweckmäßiger wäre. Natürlich gibt es wie so oft kein Richtig oder Falsch. Sie sollten sich als Unternehmen nur auf gemeinsame Ziele einigen, damit die Sicherheitsexperten sich gemäß Ihres Incident Managements darauf abstimmen können.

Beispiel: Ist von einem Täter aus dem Ausland auszugehen, ggf. aus einem Land, in dem Cyberangriffe nicht einmal rechtlich belangt werden, liefert Ihnen die Erkenntnis keinen oder wenig Nutzen. Hier sollten Sie sich auf die Schadensbegrenzung für Ihr Unternehmen fokussieren. Handelt es sich jedoch um einen internen Mitarbeiter, kann die Täterermittlung ggf. in einem arbeitsrechtlichen Verfahren im Zuge von zum Beispiel Kündigungsfristen oder Aussetzen von Abfindungen oder auch strafrechtlich genutzt werden.

BIN ICH IN DER LAGE DIE FESTGELEGTEN ZIELE UMZUSETZEN?

Hacker-Angriffe auf IT-Systeme lassen sich nie vollständig vermeiden. Sobald Unternehmen einen Sicherheitsvorfall bemerken, sollten Sie im Zuge eines Incident Managements angemessen darauf reagieren und den Hergang analysieren. Diese Analyse fällt in den Bereich der IT-Forensik. Für die forensische Analyse bei einem Incident Response ziehen IT-Sicherheitsexperten unter anderem die LogFiles heran. Wir haben in unseren Projekten immer wieder festgestellt, dass viele Unternehmen ihre LogFiles aber nur relativ begrenzt archivieren und damit die forensische Analyse erschweren oder gar unmöglich machen, da für die betreffenden Zeiträume keine LogFiles mehr vorliegen.

Deswegen gehört zu einem erfolgreichen Incident Management die Leitfrage, ob die technischen sowie organisatorischen Voraussetzungen im Unternehmen zur Zielerreichung gegeben sind:

  • Technisch: Protokollieren Sie regelmäßig und ausreichend die E-Mails Ihrer Mitarbeiter / Archivieren Sie die Logfiles zentral und mit ausreichender Dauer?
  • Organisatorisch: Dürfen Sie aus Datenschutzperspektive überhaupt die Rechner bzw. Logfiles Ihrer Mitarbeiter einsehen? Gibt es entsprechende Regelungen (Stichwort Privatnutzung)

Beispiel Buchhaltung: Sie erhalten 6 Wochen nach Fälligkeit der ausstehenden Summe eine erste Mahnung. Um den Sicherheitsvorfall analysieren zu können, müssen die LogFiles auch so lange aufgehoben worden sein (technisch) und Sie die Erlaubnis haben, diese LogFiles einzusehen (organisatorisch).

INCIDENT MANAGEMENT: PRÄVENTION IST DIE HALBE MIETE

Aktuelle Fälle zeigen, dass hochwertige Sicherheitsvorfälle sehr vielschichtig sind. Unternehmen werden vermehrt mit tiefgehenden Angriffsketten oder der Ausnutzung einer Kombination aus verschiedenen Schwachstellen konfrontiert. Aus diesem Grund können solche Sicherheitsvorfälle häufig nicht nur mit einer forensischen Untersuchung innerhalb Ihres Incident Managements aufgeklärt werden. Um den Sicherheitsvorfall selbst sowie den davon ausgehenden Schaden einzudämmen, ist es unumgänglich, präventive Maßnahmen in Ihr Incident Management einzubauen.

Das Spektrum an möglichen Sicherheitsvorfällen ist natürlich immens und die Vorbereitung auf alle Szenarien meistens utopisch. Deswegen bedarf es einer Differenzierung: 
Bestimmen Sie die für Ihr Unternehmen wahrscheinlichsten Sicherheitsvorfälle und treffen Sie die oben genannten organisatorischen sowie technischen Vorkehrungen für diese Szenarien, um im Schadensfall Ihren Incident Management Plan umsetzen zu können. Des Weiteren sollten Sie Schwachstellen für sehr wahrscheinliche und risikobasierte Sicherheitsvorfälle im Voraus beseitigen. Damit minimieren Sie das Risiko, dass der Angreifer diese auszunutzen kann erheblich und schützen Ihr Unternehmen und Ihre Daten präventiv.

Um vorhandene Schwachstellen zu beseitigen, können Sie auf Sicherheitsaudits zurückgreifen. Dazu zählen bspw. der Penetrationstest oder Passwort Audits. 
Sie sollten bei der Analyse der möglichen Sicherheitsvorfälle aber immer das Kosten-Nutzen-Verhältnis abwägen. Ist der womöglich eintretende Schaden so hoch, dass sich Vorsichtsmaßnahmen durch Sicherheitsaudits auszahlen oder wäre es rentabler im Schadensfall im Rahmen Ihres Incident Managements zu reagieren? Diese Abwägungen sollten Sie für alle wahrscheinlichen Szenarien treffen und deswegen sollte das Incident Management nicht von präventiven Maßnahmen getrennt betrachtet werden.

Unsere Empfehlung für Ihr umfassendes Incident Management

Die forensischen Analysen im Zuge eines Incident Response werden meistens auf Fundamentebene verloren. Sobald die Daten für eine forensische Analyse verfügbar sind, finden Sie auch IT-Sicherheitsexperten, die diese Daten analysieren können. Ein häufiges Problem ist jedoch, dass diese Daten erst gar nicht erhoben wurden oder der Zugriff auf diese Daten verwehrt bleibt. Wenn Sie keine ausreichenden Vorbereitungen für die Notfallsituation und damit für ein geeignetes Incident Management getroffen haben, dann haben auch die besten IT-Sicherheitsexperten keine Chance, Ihren Incident Management Plan umzusetzen. Das Entscheidende im Kampf gegen Angreifer ist also, dass Sie sich vorab mit einem strukturierten Incident Management für den Ernstfall rüsten!