Schritt für Schritt zu einem Incident-Response-Plan

Die wesentlichen Punkte eines Incident-Response-Plans

Schon vor einigen Jahren hat das SANS Institute, ein genossenschaftlich organisierter und renommierter Anbieter von Cybersicherheitstrainings, ein entsprechendes Handbuch herausgegeben, das nach wie vor der Standard für Incident-Response-Pläne ist. Die aufgeführten sechs Schritte können dabei an die individuellen Anforderungen und Bedürfnisse des jeweiligen Unternehmens angepasst werden.

1. Vorbereitung: Ihr Response-Team muss zur gegebenen Zeit wie eine fein abgestimmte Maschine funktionieren – und das erfordert Arbeit. Definieren Sie eine Unternehmens-Sicherheitsrichtlinie: Dazu gehören in der Regel die angemessene Verwendung von Unternehmensdaten, Folgen für Sicherheitsverletzungen und Definitionen darüber, was überhaupt als Sicherheitsvorfall gilt. Erstellen Sie gemeinsam mit dem Team eine Schritt-für-Schritt-Anleitung, wie mit einem Sicherheitsvorfall umgegangen werden soll, einschließlich der Dokumentation von Vorfällen und der internen und externen Kommunikation.
2. Identifizierung: Definieren Sie, welche Kriterien das Response-Team aktivieren. Es kann sich um ein bestimmtes Problem handeln, etwa um einen zufällig auf dem Boden gefundenen USB-Stick oder auch eine spezielle Warnung Ihrer eingesetzten Sicherheitslösungen. Beziehen Sie auch Kombinationen von Umständen ein, die auf einen Angriff hindeuten können und somit den Plan auslösen: Zum Beispiel kann ein Alarm bei abnormalem Zugriff in Kombination mit einem Alarm bei einem ungewöhnlichen Upload auf einen Cloud-Speicher in derselben Stunde ein Auslöser für Incident-Response-Maßnahmen sein.
3. Eindämmung: Hier sind zwei Arten zu unterscheiden – kurzfristige und langfriste. Eine kurzfristige Eindämmung ist eine sofortige Reaktion, die die Ausbreitung der Bedrohung stoppt, bevor diese weiteren Schaden anrichtet. Sichern Sie alle betroffenen Systeme, um deren aktuellen Zustand für die spätere Forensik zu speichern. Die langfristige Eindämmung beinhaltet die Rückführung aller Systeme in den Ausgangszustand, um einen normalen Geschäftsbetrieb zu ermöglichen, jedoch ohne die Konten und Hintertüren, die den Angriff ermöglichten.
4. Eliminierung: Richten Sie einen Prozess zur Wiederherstellung aller betroffenen Systeme ein. Ein guter Ausgangspunkt ist es, alle am Vorfall beteiligten Systeme zu rekonstruieren und Spuren des Sicherheitsvorfalls zu entfernen. Diese Schritte sollten die Besonderheiten der eingesetzten Spiegelungslösungen und der von Ihrem Unternehmen validierten Images enthalten. Aktualisieren Sie schließlich Ihre Verteidigungssysteme, um zu verhindern, dass sich die gleiche Art von Sicherheitsvorfällen wiederholt.
5. Wiederherstellung: Bestimmen Sie, wie Sie alle Systeme wieder in die Vollproduktion bringen können, nachdem Sie sich vergewissert haben, dass sie sauber und frei von jeglichen Schädlingen sind, die zu einem neuen Sicherheitsvorfall führen könnten.
6. Lehren ziehen: Überprüfen Sie die Dokumentation des Vorfalls mit dem Response-Team für Schulungszwecke. Aktualisieren und verfeinern Sie Ihren IR-Plan auf der Grundlage von Feedback und festgestellten Mängeln. Vergessen Sie nicht, dass IT-Sicherheit ein andauernder Prozess ist, der nur durch ständige Verbesserung erfolgreich gestaltet werden kann.

„Überprüfen Sie die Dokumentation des Vorfalls mit dem Response-Team für Schulungszwecke. Aktualisieren und verfeinern Sie Ihren IR-Plan auf der Grundlage von Feedback und festgestellten Mängeln.“

Thomas Ehrlich, Varonis

Woraus sollte ein Incident-Response-Team bestehen?

Bei allen Maßnahmen kommt es wesentlich auf die Qualität und die Zusammenstellung Ihres Incident-Response-Teams an. Bei den Mitgliedern kann es sich um Vollzeit-Sicherheitsfachkräfte handeln, aber auch um Spezialisten, die im Unternehmen in erster Linie eine andere Rolle innehaben. Das Team sollte dabei unter anderem aus folgenden Positionen bestehen:

• Der Incident-Response-Manager leitet das Team und überwacht die Ausführung des IR-Plans.
• Sicherheitsanalysten bilden so etwas wie die Bodentruppen, welche für die Neutralisierung der Bedrohung und die Eindämmung eines aktiven Sicherheitsvorfalls verantwortlich sind.
• Ein Team aus Bedrohungsforschern ist für die Bereitstellung von Informationen und Recherchen verantwortlich, um dem Sicherheitsvorfall einen Kontext hinzuzufügen. Sie suchen oft nach anderen Vorfällen und analysieren Protokolle nach anderen Hinweisen auf den Vorfall.

Neben diesen Fachleuten ist es sinnvoll, auch andere Personen aus dem Unternehmen mit ins Boot zu holen. Immerhin betreffen schwere Sicherheitsvorfälle nicht nur die IT, sondern das gesamte Unternehmen.

• Aus diesem Grund sollte das Management über alle wesentlichen Schritte informiert werden. Zudem muss es sicherstellen, dass das IR-Team über ausreichend Ressourcen verfügt.
• Die Personalabteilung sollte insbesondere in den Fällen einbezogen werden, wenn Mitarbeiter (wissentlich oder unwissentlich) am Angriff beteiligt sind beziehungsweise Mitarbeiterdaten kompromittiert wurden.
• Compliance und Regulierung sind ein integraler Bestandteil der Datensicherheit, daher sollte die Rechtsabteilung unbedingt einbezogen werden, möglicherweise sogar als Teil des Vollzeitteams. Einige Unternehmen verfügen über hauptamtliche Compliance-Beauftragte, die für diese Rolle prädestiniert sind.
• Da es sich bei einem größeren Datenschutzverstoß durchaus um eine ernstzunehmende Krise handelt, kann eine offene, strategische Öffentlichkeitsarbeit für die Krisenkommunikation hilfreich sein. Dies gilt insbesondere nach der Einführung der DSGVO, die eine Meldung dieser Verstöße vorschreibt.

Und nach dem Sicherheitsvorfall?

Wenn sich der Staub gelegt hat und der Angriff so weit wie möglich abgewehrt wurde (auch weil sich das IR-Team an seinen Plan gehalten hat), ist es dennoch nicht die Zeit für Selbstzufriedenheit beziehungsweise sich zurückzulehnen. Machen Sie eine Bestandsaufnahme und rüsten Sie sich für die nächste Attacke. Denn diese kommt bestimmt.

Führen Sie erneut Schwachstellen- und Risikobewertungen durch und schließen Sie mögliche neue Sicherheitslücken. Hinterfragen Sie Ihren IR-Plan: Hat er sich bewährt? An welchen Stellen muss man nachjustieren? Verfügten wir früh genug über wesentliche Informationen und waren wir in der Lage, den Angriff forensisch nachzubilden? Reichen also unsere eingesetzten Lösungen aus oder müssen wir technologisch „nachrüsten“. Denn eins ist klar: Auch Cyberkriminelle werden immer professioneller und (aus ihrer Sicht) besser.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!