Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Planen Sie Ihre Reaktion auf Cyber-Vorfälle

Eine Einführung für die Geschäftsleitung (Teil 10)

Vorfälle können einen enormen Einfluss auf ein Unternehmen in Bezug auf Kosten, Produktivität und Reputation haben. Die Bereitschaft, Vorfälle zu erkennen und schnell darauf zu reagieren, trägt dazu bei, zu verhindern, dass der Angreifer weiteren Schaden anrichtet und damit die finanziellen und operativen Auswirkungen zu reduzieren. Die effektive Bewältigung des Vorfalls im Rampenlicht der Medien wird dazu beitragen, die Auswirkungen auf Ihren Ruf zu reduzieren.

Was sollte die Geschäftsleitung tun?

Stellen Sie sicher, dass Sie einen Plan haben.

Jedes zehnte Unternehmen hat keinen Vorfallmanagementplan. Wenn Sie eine dieser Organisationen sind, dann sollten Sie sich sofort damit befassen.

Verstehen Sie Ihre Rolle im Vorfallmanagement.

Vorfälle treten oft in ungünstigen Momenten auf und die Entscheidungsfindung der meisten Menschen ist in Krisenzeiten beeinträchtigt. Aus diesen Gründen muss jeder im Voraus ein klares Verständnis seiner Rolle und der organisatorischen Reaktion haben, insbesondere Geschäftsleitungsmitglieder, die das Unternehmen wahrscheinlich in den Medien vertreten würden.

Die Geschäftsleitung muss auch explizit angeben, wem sie bereit ist, die Zuständigkeit zu übertragen (insbesondere ausserhalb der Kernarbeitszeit), und was genau diese Zuständigkeit abdeckt. Zum Beispiel, umfasst das den Anruf bei einer vertraglich vereinbarten Incident Response Company oder das Abschalten einer öffentlich zugänglichen Website? Die Geschäftsleitung muss auch explizit darüber informiert werden, wann sie über einen Vorfall informiert werden möchte, sowohl in Bezug auf den Zeitpunkt des Vorfalls als auch in Bezug auf die Bedeutung des Vorfalls, über den sie informiert werden muss.

Nehmen Sie an Übungen teil

Der beste Weg, diese Prozesse und Schwellenwerte zu testen (und ein gutes Verständnis der Rolle der Geschäftsleitung zu erlangen), ist die Ausübung des Incident Management Plans. Wenn Sie während eines echten Vorfalls involviert wären, sollten Sie auch an einer Übung beteiligt sein. Dies in Zusammenarbeit mit dem operativen Personal kann auch dazu beitragen, Fragen der Autorität für kritische Entscheidungen aufzuzeigen. Auch wenn Sie keine direkte Rolle bei der Reaktion auf einen Vorfall spielen, kann die Durchführung einer Übung eine gute Möglichkeit sein, die Realitäten der Auswirkungen eines Vorfalls auf Ihr Unternehmen zu verstehen.

Eine „schuldlose“ Kultur fördern

Die Post-Incident-Analyse liefert Erkenntnisse, die Ihnen helfen können, die Wahrscheinlichkeit von Vorfällen in der Zukunft zu reduzieren und deren potenzielle Auswirkungen zu reduzieren. Entscheidend für diese Erkenntnis ist, dass man ehrlich und objektiv darüber sein muss, was passiert ist. Dies kann nur in einer Kultur ohne Vorwürfe geschehen, wie Sie sie bei der Untersuchung von Gesundheits- und Sicherheitsvorfällen verwenden würden. Kritisch für die Geschäftsleitung ist die neue Regelung, wie z.B. GDPR, klar, dass die Verantwortung für Vorfälle oder Datenschutzverletzungen bei der Organisation und nicht bei einer Person liegt. Daher ist die Geschäftsleitung als Leitungsorgan letztendlich für alle Cybersicherheitsvorfälle verantwortlich. Die Zuweisung von Schuldzuweisungen an eine bestimmte Person innerhalb der Organisation wird als schlechte Cybersicherheitspraxis behandelt.

Was sollte Ihre Organisation tun?

Finden Sie heraus, wie ein Vorfall aussehen würde.

Eines der häufigsten Dinge, die übersehen werden, ist die Möglichkeit, zu erkennen, was ein Vorfall ist. Das hat zwei Aspekte:

  • herauszufinden, wie Sie ein Ereignis überhaupt erkennen würden.
  • Ausarbeitung, an welchem Punkt ein Ereignis (etwas, das in Ihren Netzwerken oder Systemen passiert) zu einem Vorfall wird.

Cybersecurity: wie würden Sie ein Ereignis erkennen?

Abhängig von seinen Motiven wird ein Angreifer Ihnen wahrscheinlich nicht sagen, wann er Ihre Organisation erfolgreich gefährdet hat. Daher benötigen Sie Ihre eigenen Methoden, um einen Eindringling oder einen Angriff zu identifizieren. Dies geschieht in der Regel in Form einer Überwachung. Überwachung bezieht sich auf die Beobachtung von Daten oder Protokollen, die in Ihren Netzwerken oder Systemen gesammelt wurden, um Muster oder Anomalien zu identifizieren, die auf bösartige Aktivitäten hinweisen könnten. Auch wenn Sie keine Überwachung zur Identifizierung des Vorfalls haben, ist es dennoch sinnvoll, System- oder Netzwerkprotokolle zu sammeln (insbesondere solche, die für Ihre kritischen Anlagen relevant sind), damit Sie sie nachträglich überprüfen können, sobald Sie wissen, dass ein Vorfall aufgetreten ist.

Cybersecurity: wann wird ein Ereignis zu einem Vorfall?

Dies ist oft keine klare Entscheidung. Sie können versuchen, so viele Informationen wie möglich zu sammeln, um Ihre Einschätzung eines „Ereignisses“ einzustufen, aber Sie werden wahrscheinlich kein vollständiges Bild davon haben, was passiert ist. Eine Vorfallsreaktion auszulösen, kann Auswirkungen auf Kosten, Ruf und Produktivität haben, daher sollten Sie sich überlegen, wer die Befugnis hat, diese Entscheidung zu treffen, und welche Schwellenwerte für einen Vorfall im Voraus gelten.

Cybersecurity: was ist ein Cybersicherheitsvorfall?

Eine Verletzung der Sicherheitsregeln für ein System oder einen Dienst – am häufigsten:

  • Versuche, sich unberechtigten Zugang zu einem System und/oder zu Daten zu verschaffen.
  • unbefugte Nutzung von Systemen zur Verarbeitung oder Speicherung von Daten
  • Änderungen an einer System-Firmware, -Software oder -Hardware ohne Zustimmung des Systemeigentümers.
  • böswillige Unterbrechung und/oder Denial-of-Service

Verwenden Sie die Informationen, die Sie bereits haben.

Alle Informationen, die Sie zuvor über das, was wichtig ist, den Schutz, die Bedrohung und Ihre IT-Landschaft, gesammelt haben, liefern wichtige Erkenntnisse in zwei Schlüsselbereichen:

  • Es wird Ihnen einen Einblick in die Auswirkungen von Vorfällen gegeben. Wenn der Angreifer auf ein bestimmtes Benutzergerät zugegriffen hat, auf was kann er dann zugreifen? Konnten sie auf die Dinge zugreifen, die Ihnen am wichtigsten sind?
  • Es wird Ihnen helfen, Ihre operative Reaktion zu bestimmen. Wenn sich der Angreifer in einem bestimmten Netzwerk befindet, können Sie dieses Netzwerk isolieren? Wenn ja, welche Auswirkungen hätte das auf Ihre Organisation?

Ergreifen von Präventivmassnahmen

Ergreifen Sie Massnahmen, um den Schaden, den ein Angreifer anrichten könnte, zu verringern. Das könnte sein:

  • Einführung von Massnahmen, die ihre Bewegung einschränken, sobald sie sich in Ihrem Netzwerk befinden.
  • präventive Reduzierung der Auswirkungen von Angriffen (z.B. hilft die Sicherung Ihrer Daten, die Auswirkungen eines Ransomware-Vorfalls zu reduzieren).

Wie bei allen anderen Abwehrmassnahmen sollten diese darauf ausgerichtet sein, das zu schützen, was für Sie am wichtigsten ist.

Erstellen eines Vorfallmanagementplans

Cyber Incident Response ist ein komplexes Thema, da keine zwei Vorfälle gleich sind. Wie bei jeder Business Continuity-Planung können Sie jedoch einen Plan entwickeln, der die wichtigsten Elemente Ihrer Antwort beschreibt. Ihr Plan sollte nicht nur die technischen Elemente abdecken, sondern auch:

  • die Personen- und Prozesselemente wie Medien-, Kunden- und Stakeholder Handling
  • Berichterstattung an die Regulierungsbehörden
  • Umgang mit Klagen

Für häufigere Vorfälle (z.B. DDOS) kann es hilfreich sein, ein spezifisches „Playbook“ zu entwickeln, das die Reaktion Ihrer Organisation beschreibt.

Testen Sie Ihren Plan

Das Üben Ihrer Reaktion auf verschiedene Szenarien ist der Schlüssel, um sicherzustellen, dass Ihre Pläne effektiv sind und aktuell bleiben. Es gibt verschiedene Trainingspakete, die Sie verwenden können. Dies wird ein entscheidender Teil der Rolle für alle Mitarbeiter sein, die direkt am Vorfallmanagement beteiligt sind, aber jedes Geschäftsleitungsmitglied muss auch seinen spezifischen Verantwortungsbereich während eines Vorfalls verstehen.

Ziehen Sie Ihre Lehren draus

Ein oft übersehener Aspekt des Vorfallmanagements ist die Überprüfung nach einem Vorfall. Ein Vorfall kann wertvolle Einblicke in Ihre Cyber-Bereitschaft geben, darunter:

1. Die Bedrohung, der Ihr Unternehmen ausgesetzt ist.

  • Wer führte den Angriff durch und war er gezielt?
  • Haben sie es so gemacht, wie Sie es erwartet haben?
  • Sind sie hinter den Dingen her, die Sie erwartet haben?

2. Die Effektivität Ihrer Verteidigungsmassnahmen

  • Wovor haben Ihre Verteidigungsanlagen Sie geschützt?
  • Wovor haben sie es nicht getan?
  • Könnten sie verbessert werden?

3. Die Effektivität Ihrer Massnahmen zur Gefahrenabwehr

  • Was hätten Sie anders gemacht?
  • Hat Ihre Reaktion dazu beigetragen, die Auswirkungen des Vorfalls zu reduzieren?
  • Hat das einige Aspekte verschlimmert?

Zusammenarbeit mit Lieferanten und Partnern: Ihr Plan sollte auch berücksichtigen, wie Sie die Auswirkungen auf Partner oder Kundenorganisationen mindern, wenn Sie gefährdet sind. Wann informieren Sie sie? Welche Mechanismen gibt es, um den Schaden zu begrenzen, den es für sie anrichten könnte? Sie sollten auch darüber nachdenken, was Sie tun würden, falls ein Lieferant gefährdet wird; Sie haben möglicherweise keine Kontrolle darüber, wie er mit dem Vorfall umgeht. Was können Sie selbstständig tun, um die Auswirkungen auf Ihr Unternehmen zu reduzieren? Der beste Weg, dieses Risiko zu minimieren, ist ein kooperativer Ansatz für Ihre Sicherheit mit Ihren Partnern und Lieferanten.


Cybersecurity: Was wäre ein gutes Vorgehen?

Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity bei der Reaktion auf Cyber-Vorfälle ausmacht.

Frage 1

Haben wir als Unternehmen einen Vorfallmanagementplan und wie stellen wir sicher, dass dieser für Cyber-Vorfälle wirksam ist?

Ein grundlegender Plan sollte Folgendes umfassen:

  • Identifizierung der wichtigsten Ansprechpartner (Incident Response Team oder Anbieter, Senior Management, Legal, PR- und HR-Kontakte, Versicherungsanbieter usw.).
  • Klare Eskalationswege (z.B. für das Top-Management) und definierte Prozesse für kritische Entscheidungen.
  • Klare Zuordnung der Verantwortlichkeiten (insbesondere ob es sich um normale Arbeitszeiten oder 24/7 handelt).
  • Grundlegendes Flussdiagramm oder Prozess für den gesamten Lebenszyklus eines Vorfalls.
  • Mindestens eine Konferenztelefonnummer, die für dringende Vorfallsanrufe zur Verfügung steht.
  • Anleitung zu regulatorischen Anforderungen, z.B. wann Vorfälle gemeldet werden müssen und wann Rechtsbeistand in Anspruch genommen wird.
  • Notfallmassnahmen für kritische Funktionen.

Frage 2

Wissen wir als Unternehmen, wo wir bei einem Vorfall Hilfe suchen können?

Dies kann sein:

  • Intelligence Sharing-Gruppen, für Details zu anderen Unternehmen, die den gleichen Vorfall erleben)
  • Relevante Beratungsunternehmen bzw. Dienstleister

Frage 3

Lernen wir als Unternehmen aus Vorfällen und Beinaheunfällen?

Es ist wichtig, Lehren aus Vorfällen und aus Beinaheunfällen zu ziehen. Diese geben Ihnen wertvolle Einblicke in die Bedrohung, der Sie ausgesetzt sind, die Wirksamkeit Ihrer Verteidigung und mögliche Probleme mit Ihrem Weisungswesen oder Ihrer Kultur. Eine gute Organisation wird diese Erkenntnisse nutzen, um besser auf zukünftige Vorfälle zu reagieren und nicht versuchen, Schuldzuweisungen vorzunehmen. Die Geschäftsleitung kann beschliessen, dass sie nicht die Details jedes Vorfalls kennen muss, sondern nur die wichtigsten Erkenntnisse aus den erlebten Vorfällen.

Frage 4

Wie sollen wir als Unternehmen wissen, wann ein Vorfall eingetreten ist?

Dies umfasst zwei Aspekte: Was sind die Auslöser, die uns mitteilen können, dass ein Vorfall stattgefunden hat, und wie teilen wir diese Informationen dann innerhalb der Organisation mit?

Wenn Sie sich überlegen, was einen Vorfall auslösen könnte, müssen Sie Folgendes berücksichtigen:

  • Welche Überwachung gibt es in Bezug auf kritische Vermögenswerte (z.B. personenbezogene Daten), die bei Gefährdung, Verlust oder Änderung Auswirkungen haben würden?
  • Wer untersucht die Protokolle und ist ausreichend geschult, um abnormale Aktivitäten zu identifizieren?
  • Welche Meldeverfahren gibt es, damit die Mitarbeiter verdächtige Aktivitäten melden können?
  • Sind die Schwellenwerte für Warnmeldungen auf das richtige Niveau eingestellt – sind sie niedrig genug, um angemessen vor potenziellen Vorfällen zu warnen, und hoch genug, dass das mit ihnen befasste Team nicht mit irrelevanten Informationen überlastet wird?
    Wenn Sie überlegen, wie ein Vorfall intern mitgeteilt werden wird, sollten Sie Folgendes berücksichtigen:
  • Was ist ein Vorfall?
  • Wer hat die Befugnis, diese Entscheidung zu treffen?
  • Wer muss die Details des Vorfalls kennen?
  • Hat die Geschäftsleitung die Schwelle für den Fall, dass sie über einen Vorfall informiert werden möchte, ausdrücklich festgelegt?

Frage 5

Wissen wir als Geschäftsleitung, wer bei einem Vorfall führt und wer die Befugnis hat, Entscheidungen zu treffen?

Dies hängt von Ihrer Organisationsstruktur ab. Dies kann bei einem Geschäftsleitungsmitglied oder einer der Führungskräfte liegen oder in verschiedene Rollen aufgeteilt sein. Im Idealfall sollten Sie:

  • Geben Sie genau an, wer in der Lage ist, Entscheidungen zu welchen Aspekten zu treffen.
  • Haben Sie Backup-Pläne, wenn diese Entscheidungsträger nicht in der Lage sind, diese Pflicht zu erfüllen (z.B. ausserhalb der Arbeitszeit).
  • Testen Sie diesen Entscheidungsprozess mit Fokus auf mögliche Bereiche mit sich überschneidender Verantwortung.

Frage 6

Verstehe ich als Geschäftsleitungsmitglied, was von meiner Rolle während eines Vorfalls verlangt wird, und hatte ich eine Ausbildung, um mich für diese Rolle zu rüsten?

Bedenken Sie:

  • Habe ich das nötige Verständnis, um Entscheidungen potenziell ausserhalb der Arbeitszeit und unter Zeitdruck zu treffen?
  • Brauche ich ein Training, um meine spezifische Rolle bei einem Vorfall zu unterstützen, wie z.B. das Verständnis relevanter Vorschriften oder den Umgang mit den Medien?

https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/


© Swiss Infosec AG 2024