Worauf es bei einem Team für die Vorfallreaktion ankommt

Die Bedeutung eines Teams zur Vorfallreaktion (CSIRT)

Jede Reaktionsmaßnahme erfordert ein Computer Security Incident Response Team (CSIRT) mit unterschiedlichen Fähigkeiten. Die Bezeichnung des Teams ist dabei je nach Organisation durchaus unterschiedlich. Keine einzelne Person oder kein einzelner Funktionsbereich - egal wie gut er es meint - kann alle Aufgaben erfüllen.

Die Teams müssen befähigt werden, Maßnahmen zu ergreifen. Möglicherweise müssen Sie schnell entscheiden, ob und wie Sie Geld ausgeben - zum Beispiel für externe Spezialisten -, um die Strafverfolgungsbehörden einzuschalten, die Medien zu informieren oder bestimmte technische Maßnahmen durchzuführen. Bevollmächtigt zu sein bedeutet, dass Sie Interessengruppen einbeziehen müssen, die an diesen Entscheidungen beteiligt sind, und die Entscheidungsträger, die diese Entscheidungen in Maßnahmen umsetzen können. Viele Entscheidungen müssen unmittelbar getroffen werden, beispielsweise das Einschalten unterschiedlicher Behörden gemäß den gesetzlichen Verpflichtungen: Zwei Wochen damit zu verbringen, jemanden in der Rechtsabteilung ausfindig zu machen, um eine Entscheidung darüber zu treffen, ob oder wann dies zu tun ist, frisst Zeit, die Sie während eines Vorfalls nicht haben werden - vor allem, wenn die Uhr für eine Offenlegung ticken könnte. Es ist wichtig, diese Personen von Anfang an einzubeziehen oder einen Weg zu finden, sie schnell zu erreichen.

Berücksichtigen Sie auch die Vielfalt der erforderlichen Fähigkeiten. Das Einzige, was Sie über einen Vorfall vorhersagen können, bevor er eintritt, ist, dass Sie ihn nicht vorhersagen können. Da jeder Vorfall anders ist, werden Sie nicht wissen, welche Fähigkeiten Sie während eines Vorfalls benötigen, bis er eintritt. Daher ist es ratsam, von Anfang an über eine breit gefächerte Qualifikationsbasis zu verfügen und die Möglichkeit zu haben, bei Bedarf schnell Leute mit anderen Fähigkeiten hinzuzuziehen.

Bewährte Verfahren für die Einrichtung eines Vorfallreaktionsteams (CSIRT)

Bei einem Zwischenfall wird eine Vielzahl von Mitarbeitern und Fähigkeiten benötigt. Aber wie organisiert man sie? Und wie bereitet man sich vor, um rechtzeitig Zugang zu ihnen zu erhalten?

Die folgenden zehn Best Practices helfen Ihnen beim Aufbau eines CSIRT in Ihrem Unternehmen.

1. Mit einem Basisteam beginnen

Beginnen Sie mit einer kleinen, schlagkräftigen Gruppe von Interessenvertretern als Kernteam. Diese Kerngruppe repräsentiert die Personen in der Organisation, die direkt für die Bewältigung des Vorfalls verantwortlich sind, während er noch im Gange ist.

Ein kleines, handlungsfähiges Team von CSIRT-Mitgliedern kann agiler sein und schneller reagieren als ein großer, sperriger Ausschuss. Es kann auch schnell Entscheidungen treffen und schnell aktualisierte Informationen weitergeben, während eine größere Gruppe länger braucht, um die Ressourcen zu bündeln und alle auf den gleichen Stand zu bringen.

Es ist zwar keineswegs eine universelle Anforderung, aber ein gutes Organisationsprinzip ist es, ein kleines, flinkes Team im Mittelpunkt zu behalten und externe Verbindungen zu anderen Gruppen für Zeiten herzustellen, in denen zusätzliche Fähigkeiten, Interessenvertreter und Entscheidungsträger erforderlich sind.

2. Je nach Bedarf weitere Mitglieder einbeziehen

Es gibt keine festen Regeln, wen man einbeziehen sollte. Der Arbeitsbereich, die Unternehmenskultur und die interne Struktur Ihres Unternehmens haben großen Einfluss auf die Auswahl des Personals. Ein Unternehmen des Gesundheitswesens könnte beispielsweise Vertreter aus dem IT- und dem klinischen Bereich einbeziehen, da klinische Systeme - wie biomedizinische Geräte und bildgebende Verfahren - von Angriffen unterschiedlich betroffen sein können. So stellen solche Systeme andere Anforderungen an die Cybersicherheit stellen und andere Fähigkeiten zur Behebung und für weitere Ermittlungen erfordern. Im Gegensatz dazu könnte ein Rundfunkunternehmen spezielle Gruppen einbeziehen, die das Rundfunknetz überwachen, während ein Stromversorger Ingenieure einbeziehen könnte, die für industrielle Kontrollsysteme zuständig sind.

Die funktionalen Mitglieder des Teams variieren je nach Technologielandschaft, übergeordnetem Organisationsmodell oder Hierarchie, Geschäftskontext, Risikolandschaft, Unternehmenskultur und anderen relevanten Faktoren der Organisation.

3. Das Team um externe Interessenvertreter erweitern

Überlegen Sie, welche relevanten externen Gruppen über das Kernteam hinaus einbezogen werden sollen. Abschnitt 2.4.4, „Dependencies within Organizations“ (Abhängigkeiten innerhalb von Organisationen) im NIST-Leitfaden für die Behandlung von IT-Sicherheitsvorfällen bietet einen guten Ausgangspunkt, um zu überlegen, welche externen Interessengruppen in Frage kommen. Es wird empfohlen, das Management und die Führungskräfte, den IT-Support, die Informationssicherheit, die Rechtsabteilung, die Personalabteilung, die Medienarbeit, die Teams für Geschäftskontinuität und Notfallwiederherstellung sowie das Personal für physische Sicherheit und Einrichtungen einzubeziehen. Beziehen Sie je nach den Bedürfnissen Ihrer Organisation weitere Gruppen ein. Das BSI hält zur Behandlung von Sicherheitsvorfällen ebenfalls diesbezüglich hilfreiche Informationen (PDF) bereits.

Es gibt zwei Möglichkeiten, andere in das Team einzubinden. Zum einen können Sie Vertreter aus anderen Teams direkt in das Kernteam aufnehmen. Dies hat den Vorteil, dass während des gesamten Vorfalls eine angemessene Vertretung in Reichweite ist, falls sie benötigt wird, und direkt in alle Phasen der Reaktion eingebunden ist. Der Nachteil ist, dass die Aktivitäten umso schwerfälliger werden, je mehr Personen dem Kernteam angehören, und mehr Organisation erforderlich sein kann, um einen reibungslosen Ablauf zu gewährleisten. Je mehr Personen involviert sind, desto schwieriger kann es sein, Informationen über den Vorfall zu isolieren oder zurückzuhalten, falls dies erforderlich sein sollte.

Eine Alternative ist die Festlegung von Berichts- und Kommunikationswegen, die eine schnelle Konsultation derjenigen ermöglichen, die informiert werden müssen, und die Entscheidungsfindung beschleunigen. Dieser Ansatz hilft auch dabei, Ressourcen freizusetzen, so dass die richtigen Fähigkeiten zur Verfügung stehen, wenn sie gebraucht werden.

4. Rollen und Verantwortlichkeiten definieren und kommunizieren

Gehen Sie auf die interne Organisation des Teams selbst ein und klären Sie, wer von den Mitgliedern des Kernteams und den funktionsübergreifenden Teambeziehungen wofür zuständig ist. Denken Sie daran, dass während einer tatsächlichen Aktion eine Menge verschiedener Dinge passieren müssen. Sie werden Folgendes benötigen:

• Entscheidungsträger
• ein technisches Team, um zusätzliche Daten zu sammeln und Fragen zu untersuchen
• Mitarbeiter, die mit anderen Teams, der Geschäftsleitung und in einigen Fällen auch extern mit den Behörden, der Presse, Kunden, Geschäftspartnern und anderen kommunizieren.
• Mitarbeiter, die mit Außenstehenden in Kontakt treten und zahlreiche andere wichtige Tätigkeiten ausüben.

Legen Sie diese Verantwortlichkeiten im Voraus fest und erstellen Sie eine vereinbarte Matrix für die Zuweisung von Verantwortlichkeiten. Es ist von Vorteil, dies formell, gemeinsam, in Zusammenarbeit und schriftlich zu tun. Denken Sie daran, dass zwischen der Erstellung des Plans und seiner Verwendung als Spielbuch für ein reales Ereignis einige Zeit vergehen kann. Das formale Dokument erinnert die Teilnehmer an ihre Verantwortlichkeiten und stellt sicher, dass keine Unklarheiten darüber bestehen, wer was tut.

5. Einen Verantwortlichen benennen und Rollen zuweisen

Legen Sie bei der Zuweisung von Aufgaben fest, wer die Gruppe leitet. Bestimmen Sie bereits im Vorfeld einen einzigen Ansprechpartner – zum Beispiel einen CSIRT-Manager oder Teamleiter -, um Reibungsverluste während eines tatsächlichen Vorfalls zu vermeiden.

Diese Führungsrolle bietet den Verantwortlichen eine eindeutige Anlaufstelle, ermöglicht eine rasche Entscheidungsfindung und gibt allen einen klaren und verständlichen Vermittler bei Unstimmigkeiten. Ebenso wichtig ist es, über geeignetes technisches Personal zu verfügen, das sowohl die Technologie, die Anwendungen und die Umgebungen im Unternehmen versteht als auch die Bedrohungen, Techniken, Angriffe und Indikatoren für eine Gefährdung erforschen kann.

6. Das Team in die Lage versetzen, schnell Unterstützung zu erhalten

Nutzen Sie ein straffes und leicht zu handhabendes Verfahren, um bei Bedarf neue Ressourcen, zum Beispiel technische Fachleute, hinzuzuziehen. Während eines Vorfalls können Sie feststellen, dass Sie neue Fähigkeiten benötigen, die im Kernteam oder sogar insgesamt intern nicht vorhanden sind. Möglicherweise fehlt dem Team ein erforderlicher Spezialist, zum Beispiel für eine bestimmte Anwendung oder ein Systemtool, für Forensik, für das Reverse Engineering bestimmter Malware oder für einen anderen wichtigen Bereich.

Das Team muss in der Lage sein, schnell auf das benötigte Personal zurückzugreifen, sei es von anderen Teams innerhalb der Organisation oder von Beratern oder externen Spezialisten. Um dies zu unterstützen, muss das Team in der Lage sein, mit dem Rest der Organisation zu kommunizieren, um die erforderlichen Ressourcen zu finden und bei Bedarf schnell darauf zugreifen zu können.

Für Fähigkeiten, die intern nicht verfügbar sind, sollten Sie sich überlegen, wie Sie Mitarbeiter mit diesen Fähigkeiten budgetieren, unter Vertrag nehmen und einbinden können, bevor es zu einem Zwischenfall kommt. Denken Sie über mögliche Beziehungen zu externen Parteien nach – zum Beispiel zu Beratungsteams, Anbietern von verwalteten Sicherheitsdiensten (MSSP) und forensischen Spezialisten -, damit diese bei Bedarf mit minimaler Verzögerung zum Einsatz kommen können.

7. Das Betriebsmodell des Teams sorgfältig prüfen

Sobald Sie eine Vorstellung davon haben, wer beteiligt ist, sollten Sie überlegen, wie Sie das Team am effektivsten einsetzen können - mit anderen Worten, welche Ressourcen dem Team zur Verfügung stehen, wenn es soweit ist. Durch eine vorausschauende Planung können Sie das Team so optimieren, dass es bei einem Vorfall maximal effektiv arbeiten kann. Natürlich kann man nicht alles planen, aber wenn man in der Hitze des Gefechts weniger Entscheidungen treffen muss, kann man die Arbeit des Teams optimieren.

Überlegen Sie sich zunächst, wie der Einsatz ablaufen soll. Wird das Team nur unter bestimmten Bedingungen einberufen, zum Beispiel wenn ein Zwischenfall offiziell gemeldet wird? Oder wird es in irgendeiner Form - entweder ganz oder teilweise besetzt - jederzeit zur Verfügung stehen? Manche Unternehmen entscheiden sich dafür, Ressourcen in einem Security Operations Center (SOC) vorzuhalten, während andere ein Computer Emergency Response Team (CERT) oder ein CSIRT-Modell einsetzen.

CSIRT- oder CERT-Modelle hingegen konzentrieren sich speziell auf die Reaktion auf Vorfälle. Diese können als Teil des SOC (sofern vorhanden) oder unabhängig davon arbeiten. Sie können ad hoc gegründet werden, das heißt aus verschiedenen Ressourcen zusammengestellt werden, um auf ein bestimmtes Ereignis zu reagieren, oder als voll besetzte, separate, permanente operative Gruppe bestehen. Welches Betriebsmodell Sie wählen, hängt von der Größe Ihres Unternehmens und seinem geschäftlichen Kontext ab.

8. Ort, Logistik und Hilfsmittel berücksichtigen

Überlegen Sie, wie das Vorfallreaktionsteam arbeiten soll. Wie und wo wird es sich treffen? Sind alle Teilnehmer an einem Ort oder sind sie geografisch verteilt? Auf welche Hilfsmittel werden sie Zugriff haben, und wie werden sie kommunizieren und zusammenarbeiten?

Diese Entscheidungen werden sich mit dem von Ihnen verwendeten Organisationsmodell überschneiden. Ein Team, das Teil eines umfassenderen SOC ist, kann zum Beispiel die vorhandenen Räumlichkeiten nutzen und persönliche, physische Treffen bevorzugen. Es könnte Tools und Software, auf die das SOC bereits Zugriff hat, als Rückgrat seines Arbeitsablaufs verwenden - zum Beispiel durch die Nutzung vorhandener Ticketing- und Workflow-Tools. Ein Ad-hoc-CSIRT, bei dem sich alle Teammitglieder an einem Ort befinden, könnte ein Lagezentrum in der Einrichtung einrichten, in der diese Teammitglieder agieren. Ein geografisch verteiltes CSIRT könnte es vorziehen, in erster Linie über Collaboration-Tools wie Slack, Zoom, Microsoft Teams oder speziell entwickelte Tools für die Zusammenarbeit bei Vorfällen zu kommunizieren.

Halten Sie sich nicht mit den Einzelheiten der richtigen Organisation, Arbeitsweise oder Kommunikation auf. Überlegen Sie stattdessen im Vorfeld systematisch und sorgfältig, damit Sie nicht mitten in einem kritischen Ereignis auf Überraschungen stoßen. Überlegen Sie, welches Organisationsmodell und welche Kommunikationsmethoden in Anbetracht der Anzahl der beteiligten Mitarbeiter, der Rahmenbedingungen und des verfügbaren Budgets, der Bedürfnisse der Organisation und der Bedrohungslage sowie anderer Faktoren am sinnvollsten sind.

9. Ausnahmefälle bedenken

Sie können nicht immer davon ausgehen, dass Konnektivität, Kommunikation und vorhandene Tools während eines Zwischenfalls wie erwartet funktionieren. Schwerwiegende Ausfälle können oft gleichzeitig mit Problemen oder Ausfällen auftreten, die die interne oder externe Konnektivität beeinträchtigen und die Teammitglieder an der Kommunikation hindern oder die Mitarbeiter daran hindern, vorhandene Tools zu nutzen.

In diesen Situationen sollten Sie alternative Kommunikationskanäle und -strategien in Betracht ziehen, damit das Team seine Arbeit auch ohne Zugriff auf wichtige Anwendungen wie Slack, Teams, E-Mail oder VoIP erledigen kann. Was hier im Einzelnen zu tun ist, hängt vom Organisationsmodell und anderen kontextbezogenen Faktoren ab.

Welche Szenarien sollten berücksichtigt werden? Generell gilt: Wenn eine Abhängigkeit besteht, sollten Sie sich Gedanken darüber machen, wie das Team funktionieren soll, wenn diese Abhängigkeit ausfällt, und einen Leitfaden erstellen.

10. Die Lieferkette nicht vergessen

Die meisten Unternehmen verfügen über einige Funktionen, Tools, Dienste und Umgebungen, die von Mitarbeitern bereitgestellt werden, die nicht in ihrem Unternehmen arbeiten. Dazu können diejenigen gehören, die eine direkte Rolle bei der Identifizierung, Überprüfung und Lösung eines Vorfalls spielen, wie beispielsweise Anbieter von Managed Detection and Response, Managed Endpoint Detection and Response oder Managed Extended Detection and Response und MSSPs. Dazu können auch diejenigen gehören, die für bestimmte Aspekte der Umgebung mitverantwortlich sind, zum Beispiel Cloud-Anbieter, Lieferanten oder Partner, die für die Durchführung der Arbeit wichtige Funktionen bereitstellen.

Denken Sie bei der Einrichtung eines Vorfallreaktionsteams über diese Beziehungen nach. Planen Sie je nach Anbieter und dessen Aufgaben, was zu tun ist, wenn der Drittanbieter nicht verfügbar ist. Dies ist besonders wichtig, wenn der betreffende Anbieter für einen wichtigen Teil der Reaktion auf einen Vorfall verantwortlich ist.