So erstellen Sie einen effektiven Incident-Response-Plan

Einschätzen der Tragweite eines Vorfalls

Bei der Überlegung, ob es sich bei einer Situation um einen Vorfall oder eine Katastrophe handelt, ist es eine gute Regel, den Schweregrad des Ereignisses und die Wahrscheinlichkeit einer schnellen Beendigung des Vorfalls zu beurteilen. Legen Sie anhand der Ergebnisse einer Risikoanalyse im Vorfeld Kennzahlen fest, die bestimmte Vorfälle, die von ihnen ausgehenden Bedrohungen, die Wahrscheinlichkeit einer Eskalation und den potenziellen Schaden - zum Beispiel betrieblicher, finanzieller und rufschädigender Art -, der daraus entstehen könnte, identifizieren. Ein Vorfall ist ein Ereignis, das eine Geschäftsunterbrechung, eine Störung, ein Verlust oder eine Krise sein oder dazu führen kann.

Ein Vorfall kann zum Beispiel etwas so Einfaches wie ein undichtes Rohr sein, aber wenn das Rohr platzt, kann die Situation schnell zu einer Katastrophe eskalieren. Die Einschleppung eines Virus in ein Netzwerk würde zunächst als Cybersicherheitsvorfall behandelt werden, da man davon ausgeht, dass er mit verschiedenen Software-Tools und Sicherheitstechniken schnell behoben werden kann. Erweist sich der Virus jedoch als ein größerer Denial-of-Service- oder Ransomware-Angriff, kann der Vorfall schnell zu einer Katastrophe werden, wenn das Geschäft unterbrochen wird.

In diesem Leitfaden zur IR-Planung erfahren Sie, wie Sie einen IRP schreiben und was darin enthalten sein muss, und können anschließend unsere kostenlose Mustervorlage für einen Incident-Response-Plan herunterladen.

Was ist ein Incident-Response-Plan?

Ein Incident Response Plan (IRP) ist eine organisierte Methode zur Behandlung und Verwaltung von Sicherheitsereignissen. IRPs werden manchmal auch als Notfallmanagementpläne (Emergency Response Plan) oderIncident-Management-Pläne bezeichnet. Beide Bezeichnungen sind akzeptabel, solange die Zusammensetzung des Plans mit guten Praktiken zur Reaktion auf Vorfälle übereinstimmt. Sicherheitsvorfall-Reaktionspläne werden von verschiedenen Regulierungs- und Zertifizierungsstellen gefordert.

Warum ist ein Incident-Response-Plan wichtig?

Wie bereits erwähnt, hilft ein IRP dabei, die Auswirkungen potenzieller Sicherheitsereignisse zu reduzieren und so betriebliche, finanzielle und rufschädigende Schäden zu begrenzen. Er legt außerdem Vorfallsdefinitionen, Eskalationsanforderungen, personelle Zuständigkeiten sowie wichtige Schritte und Kontaktpersonen für den Fall eines Vorfalls fest.

Ein IRP legt die empfohlene Organisation, Maßnahmen und Verfahren fest, die für Folgendes erforderlich sind:

• einen Vorfall zu erkennen und darauf zu reagieren
• die Situation schnell und effektiv zu bewerten
• die entsprechenden Personen und Organisationen über den Vorfall zu informieren
• die Reaktion des Unternehmens zu organisieren, einschließlich der Aktivierung einer Kommandozentrale
• die Reaktionsmaßnahmen des Unternehmens je nach Schwere des Vorfalls zu eskalieren
• Unterstützung bei der Wiederherstellung des Geschäftsbetriebs nach dem Vorfall

Die Vorteile eines gut ausgearbeiteten IRP sind zahlreich. Hier sind nur einige davon:

• Schnellere Reaktion auf Vorfälle. Ein IRP stellt sicher, dass eine Organisation ihre Risikobewertung und Aktivitäten nutzt, um frühe Anzeichen zu erkennen, dass ein Vorfall oder Angriff bevorsteht oder bereits stattfindet. Es hilft Organisationen auch, das richtige Protokoll zu befolgen, um eine Bedrohung einzudämmen und sich von ihr zu erholen.
• Frühzeitige Bedrohungsabwehr. In der Praxis kann ein gut organisiertes Incident-Response-Team mit einem detaillierten Reaktionsplan die möglichen Auswirkungen ungeplanter Situationen abmildern. Ein Incident-Response-Plan kann die forensische Analyse beschleunigen, die Dauer eines Sicherheitsvorfalls minimieren und die Wiederherstellungszeit verkürzen. Der Gesamteffekt kann darin bestehen, betriebliche, finanzielle und sogar rufschädigende Schäden einzudämmen.
• Noch vor dem DR-Plan nutzen. Eine schnelle Behandlung von Vorfällen, gepaart mit gut einstudierten Aktionen, kann ein Unternehmen oft davor bewahren, komplexere und kostspielige Business-Continuity- und Disaster-Recovery-Pläne (BC/DR) aufzurufen. Ein IRP hilft dem Unternehmen nicht nur, schnell zur Normalität zurückzukehren, sondern kann auch negative Publicity minimieren, die den Ruf und die Wettbewerbsposition des Unternehmens beeinträchtigen könnte. Incident-Response-Pläne werden in der Regel aktiviert, wenn ein lokaler Incident-Manager oder ein anderer entsprechend geschulter Mitarbeiter feststellt, dass ein Vorfall oder ein nicht normaler Zustand eingetreten ist. Solche Maßnahmen gehen in der Regel detaillierteren Aktivitäten voraus, beispielsweise der Verwendung von BC/DR-Plänen. Wenn wir einen Zeitplan für eine Katastrophe betrachten, wie in Abbildung 2 dargestellt, sehen wir, dass das Vorfallmanagement oft die erste Reaktion und das Bindeglied zu den nachfolgenden Maßnahmen zur Wiederherstellung des Geschäftsbetriebs ist.
• Gute Geschäftskontinuität (Business Continuity). Diese Praxis, die von Organisationen wie dem Business Continuity Institute und dem Disaster Recovery Institute International befürwortet wird, umfasst die IR-Planung als wichtigen Teil des gesamten BC-Managementprozesses.
• Bessere Kommunikation für schnelleres Handeln. Es wird Situationen geben, in denen die Schwere eines Vorfalls die Fähigkeiten eines Incident Response Teams übersteigt. In diesen Szenarien gibt das IR-Team die ihm bekannten Informationen an Notfallmanagement-Teams und Ersthelfer-Organisationen weiter, um zu versuchen, den Vorfall zu beheben. Wenn die Situation physische Schäden an einem Gebäude oder schwere Schäden an kritischen Geschäftssystemen verursacht, sollten die Mitarbeiter an einen alternativen Standort verlegt und BC/DR-Pläne aktiviert werden.

Wichtige Überlegungen für die Incident-Response-Planung

Hier sind einige wichtige Punkte, die Sie bei der Erstellung eines IRP beachten sollten:

• Unterstützung der Geschäftsleitung ist unerlässlich. Ohne die Unterstützung der Unternehmensleitung werden Sie nicht in der Lage sein, einen guten IRP zu formulieren und ein gut ausgebildetes Team für die Reaktion auf Vorfälle zu sichern.
• Halten Sie den Plan einfach. Ein gut organisierter, schrittweiser IRP mit relevanten Informationen wird Ihnen helfen, die meisten Situationen zu meistern.
• Kommunizieren Sie regelmäßig den Status des Vorfalls. Stellen Sie die relevanten Fakten zur Verfügung, sobald sie verfügbar sind, verbreiten Sie sie schnell, verfolgen Sie sie regelmäßig weiter, halten Sie die relevanten Parteien auf dem Laufenden und klären Sie falsche Informationen.
• Überprüfen und testen. Sobald der Plan für die Reaktion auf einen Vorfall fertiggestellt ist, sollte er überprüft und getestet werden – zum Beispiel mit einem Durchgang am Tisch - um sicherzustellen, dass die dokumentierten Verfahren sinnvoll sind und dass das Team geschult und ausgerüstet ist, um gemäß dem Plan zu reagieren.
• Seien Sie flexibel. Ein IRP sollte so flexibel sein, dass er sich an eine Vielzahl von Situationen anpassen lässt; dazu gehört auch die Zusammensetzung des Teams und der Zugang zu Ressourcen, um den Vorfall zu minimieren.

Bestandteile eines Incident-Response-Plans

Ein Incident-Response-Plan sollte die Rollen und Verantwortlichkeiten der Mitglieder des Incident-Response-Teams identifizieren und beschreiben, die den Plan aktuell halten, ihn regelmäßig testen und in die Tat umsetzen müssen. Der Plan sollte auch die Tools, Technologien und physischen Ressourcen spezifizieren, die vorhanden sein müssen, um beschädigte Systeme und kompromittierte, beschädigte oder verlorene Daten wiederherzustellen. Er sollte auch Kriterien für die Einbeziehung von BC/DR-Plänen definieren, wenn der Schweregrad des Vorfalls eskaliert ist.

Laut NIST besteht ein Incident Response Plan aus sechs Teilen:

1. Vorbereitung. Schulung der Benutzer und des IT-Personals für den Umgang mit potenziellen Vorfällen, sollten diese auftreten.
2. Identifizierung. Bestimmen Sie, ob ein Ereignis tatsächlich ein Sicherheitsvorfall ist.
3. Eingrenzung. Begrenzen Sie den Schaden durch den Vorfall und isolieren Sie die betroffenen Systeme, um weiteren Schaden zu verhindern.
4. Eliminieren. Finden Sie die Ursache des Vorfalls und entfernen Sie die betroffenen Systeme aus der Produktionsumgebung.
5. Wiederherstellung. Integrieren Sie betroffene Systeme wieder in die Produktionsumgebung und stellen Sie sicher, dass keine Bedrohung mehr besteht.
6. Lehren ziehen. Dokumentieren Sie den Vorfall und analysieren Sie, wie er sich ereignet hat, damit die Mitarbeiter daraus lernen und künftige Reaktionsmaßnahmen verbessern können.

Wichtige Beteiligte des Incidentt-Response-Plans

Ein IRP erfordert in der Regel die Bildung eines Computer Security Incident Response Teams (CSIRT), das für die Pflege des IRP verantwortlich ist. Die Mitglieder des CSIRT müssen mit dem Plan vertraut sein und sicherstellen, dass er regelmäßig getestet und vom Management genehmigt wird.

Das Reaktionsteam sollte technische Mitarbeiter mit Plattform- und Anwendungskenntnissen umfassen. Es sollten sowohl Infrastruktur- und Netzwerkexperten als auch Systemadministratoren und Personen mit einer Reihe von Sicherheitsexpertisen dazugehören.

Auf der Seite des Managements sollte das Team einen Vorfallskoordinator umfassen, der es versteht, Teammitglieder mit unterschiedlichen Perspektiven, Tagesordnungen und Zielen dazu zu bringen, auf gemeinsame Ziele hinzuarbeiten. Außerdem sollte es ein Teammitglied geben, das für die Kommunikation mit dem Management zuständig ist. Diese Rolle erfordert eine Person, die in der Lage ist, technische Probleme in die Sprache des Unternehmens zu übersetzen und umgekehrt.

Verschiedene Dateneigentümer und Geschäftsprozessmanager im gesamten Unternehmen sollten entweder Teil des CSIRT sein oder eng mit ihm zusammenarbeiten und Einfluss auf den IRP haben. Vertreter aus den kundenorientierten Bereichen des Unternehmens, zum Beispiel Vertrieb und Kundendienst, müssen ebenfalls Teil des CSIRT sein. Und je nach den gesetzlichen und Compliance-Verpflichtungen des Unternehmens sollten auch die Rechtsabteilung und die Öffentlichkeitsarbeit einbezogen werden.

So entwickeln Sie einen Incident-Response-Plan

Die Entwicklung und Implementierung eines IRP für Cybersecurity-Vorfälle umfasst mehrere Schritte. Die Reihenfolge, in der eine Organisation diese Schritte ausführt, hängt von einer Reihe von Variablen ab, einschließlich ihrer spezifischen Cybersicherheitsschwachstellen und den Anforderungen an die Einhaltung von Vorschriften. Ein solider Plan für die Reaktion auf Vorfälle hängt jedoch von bestimmten Grundvoraussetzungen ab.

Laut Peter Wenham, Mitglied des strategischen Gremiums des BCS Security Forums und Direktor des Beratungsunternehmens für Informationssicherheit Trusted Cyber Solutions, müssen die folgenden Schlüsselabschnitte enthalten sein:

• Richtlinie, Definition und Umfang.
• Eine Diagrammdarstellung des Prozesses mit den wichtigsten Informationen.
• Meldung von Vorfällen.
• Ersthelfer und Zusammensetzung des Vorfallsteams - Namen, Kontaktdaten, Rollen und Verantwortlichkeiten innerhalb des Teams.
• Bewertung des Vorfalls, einschließlich der Frage, ob eine forensische Beweisaufnahme erforderlich ist.
• Gegenmaßnahmen bei Vorfällen - Isolierung von Servern/Workstations/Netzwerken, Aufrufen eines Disaster-Recovery-Plans oder eines Business-Continuity-Plans, Sammlung von Beweisen und Management von Medienberichten und Öffentlichkeitsarbeit, ggf. unter Einbeziehung externer Parteien, einschließlich Strafverfolgungsbehörden und forensischer Ermittler.
• Identifizierung von Abhilfemaßnahmen - ein detaillierter Vorfallsüberprüfungs-, Projekt- und Budgetplan zur Umsetzung von Abhilfemaßnahmen kann Unternehmensrichtlinien und -verfahren, Schulungen, Hardware und/oder Software umfassen.
• Überwachung der Korrekturmaßnahmen bis zu dem Punkt, an dem das Vorfallsteam glaubt, dass der Vorfall abgeschlossen werden kann. Anschließend sollte ein ausführlicher Bericht und ein zusammenfassender Bericht für die Verteilung an Führungskräfte und den Vorstand erstellt werden.

Vorlage für einen Incident-Response-Plan

Klicken Sie hier, um unsere kostenlose, bearbeitbare Vorlage für einen Notfallplan herunterzuladen. Sie ist ein nützlicher Ausgangspunkt für die Entwicklung eines IRP für die Bedürfnisse Ihres Unternehmens. Stellen Sie sicher, dass Sie ihn mit verschiedenen internen Organisationen, wie Facility Management, Rechtsabteilung, Risikomanagement, Personalabteilung und wichtigen operativen Einheiten, besprechen.

Wenn möglich, sollten Sie den Plan auch von den örtlichen Rettungsdiensten prüfen lassen. Ihre Vorschläge sollten sich als wertvoll erweisen und können den Erfolg Ihres Notfallplans erhöhen.

Wie man einen Notfallplan testet

Das Testen der Prozesse, die in einer Vorlage für einen Notfallplan beschrieben sind, ist entscheidend. Unternehmen sollten nicht bis zu einem tatsächlichen Vorfall warten, um herauszufinden, ob ihr IRP funktioniert. Incident-Response-Pläne sollten mindestens jährlich neu bewertet und validiert werden. Sie sollten auch überarbeitet werden, wenn Änderungen an der IT-Infrastruktur des Unternehmens oder an der Geschäfts-, Regulierungs- oder Compliance-Struktur vorgenommen werden.

Unternehmen, die regelmäßig mit Angriffen konfrontiert werden, haben vielleicht das Gefühl, dass sie ihre IRP weniger testen müssen. Die regelmäßige Abwehr von ein oder zwei Arten von Angriffen stellt jedoch nicht sicher, dass ein Unternehmen auf die dritte oder vierte Art von Angriffen vorbereitet ist.

Alle Organisationen müssen Simulationen durchführen, um sicherzustellen, dass die Mitarbeiter auf dem neuesten Stand des Plans sind und ihre Rollen und Verantwortlichkeiten in Bezug auf Reaktionsprozesse und Protokolle verstehen. Die Tests sollten eine Vielzahl von Bedrohungsszenarien umfassen, von Ransomware und verteilten Denial-of-Service-Angriffen bis hin zu Datendiebstahl und Systemsabotage.

Ein häufig genutzter Ansatz für das Testen sind diskussionsbasierte Übungen, bei denen eine Gruppe die Verfahren durchspricht, die sie anwenden würde, sowie Probleme, die bei einem bestimmten Cybersicherheitsereignis auftreten könnten. Ein tiefgreifender Ansatz sind praktische operative Übungen, bei denen die funktionalen Prozesse und Verfahren im IRP auf Herz und Nieren geprüft werden. Am besten ist eine Kombination aus diesen beiden Ansätzen. Achten Sie beim Testen von BC/DR-Plänen darauf, die IRP in den Testprozess einzubeziehen.

Beim Durchlaufen eines Vorfalls, sei es ein echter Vorfall oder ein Testlauf, muss sich das Reaktionsteam die Zeit nehmen, die tatsächliche Reaktion mit dem zu vergleichen, was im Notfallplan skizziert ist, um sicherzustellen, dass er die Realität der Reaktion einer Organisation auf einen Vorfall widerspiegelt. Die Teammitglieder sollten alle Diskrepanzen und Probleme verfolgen, egal wie klein sie sind, und den Plan anpassen, um das widerzuspiegeln, was tatsächlich während einer Reaktion passiert oder passieren wird.

Die Bedeutung von SOAR für die Reaktion auf Vorfälle

Viele Sicherheitsexperten sind der Meinung, dass SOAR-Tools (Security, Orchestration, Automation, Response) dazu beitragen können, Bedrohungen für Netzwerke abzuwehren und die Reaktionsmöglichkeiten auf Vorfälle zu verbessern. Eine SOAR-Plattform ist eine Reihe von Softwareprogrammen, die die Sammlung von Sicherheitsbedrohungsdaten überwacht und die Entscheidungsfindung unterstützt. Das Ziel einer SOAR-Plattform ist es, die Effizienz, Geschwindigkeit und Effektivität der Analyse von Vorfällen, der Priorisierung und Reaktion sowie der Berichterstattung nach einem Vorfall zu steigern, indem die Orchestrierung, die verschiedene interne und externe Sicherheits-Tools und Bedrohungsdaten-Feeds miteinander verbindet, mit der Sicherheitsautomatisierung kombiniert wird, die künstliche Intelligenz und maschinelles Lernen nutzt, um einfache Sicherheitsaufgaben und Reaktionen zu automatisieren.