Checkliste bei einem Security-Vorfall
Sechs Tipps zur IT-Sicherheit
IT-Sicherheit
Obwohl für viele Unternehmen der Schutz ihrer IT-Infrastruktur, Systeme, Workplaces und Daten Priorität hat, ist die Mehrheit für einen Angriff nicht gewappnet. Wie sich Unternehmen vorbereiten und richtig reagieren, hat Timo Schlüter, Business Consultant Cyber Security bei Arvato Systems, in sechs Tipps zusammengefasst.
1. Tipp: In Cyber Security investieren
Die meisten Unternehmen haben definierte IT-Krisenprozesse. Häufig eignen sie sich aber nicht, um einen ausgefeilten Angriff abzuwehren. Die Methoden der Hacker werden immer komplexer – ebenso wie die Komplexität der notwendigen Maßnahmen. Je nach Art des Vorfalls sollten binnen kurzer Zeit Maßnahmen eingeleitet werden, die oft jahrelang niemand angepackt hat. Im Zweifel ist eine über Jahre gewachsene IT-Infrastruktur innerhalb weniger Wochen komplett neu zu organisieren – was großen Aufwand und hohe Kosten verursacht. Daher sollte man nicht erst dann reagieren, wenn man durch einen akuten Sicherheitsvorfall dazu gezwungen ist. Investitionen in Cyber Security lohnen sich, weil sie das Risiko eines kritischen Security Incidents nachweislich reduzieren.
2. Tipp: Vorhandene Security-Maßnahmen überprüfen
Sollten bereits dedizierte Maßnahmen definiert sein, ist das nur die halbe Miete. Um das Security-Level langfristig hochzuhalten, sollten die präventiven Maßnahmen regelmäßig überprüft werden: Sind sie geeignet, um einen Sicherheitsvorfall abzuwehren (Prevention) und einem tatsächlichen Angriff zu begegnen (Detection und Response)? Sie müssen jederzeit gegen hochentwickelte Angriffe gewappnet sein. Angriffsmethoden, die bisher nur von APTs (Advanced Persistent Threats) bekannt waren, sind nun auch bei gewöhnlichen Cyber-Kriminellen zu beobachten.
3. Tipp: Individuelle Maßnahmenpakete definieren
Cyber Security ist Ergebnis eines fortlaufenden Prozesses und darum höchstindividuell. Für eine erfolgreiche Incident Response (IR) gibt es mehrere Erfolgsfaktoren: Kommunikation, Organisation, Prozesse und Ressourcen. Angelehnt an die jeweiligen Prozesse, sollten einzelne Maßnahmenpakete präventiv abgeleitet und dokumentiert werden. Es sollten das Ziel, die Vorgehensweise sowie die notwendigen Rollen, Unternehmensbereiche und Skills beschrieben werden. Beispiele sind hier Domain Administration und Datacenter Management. Auch ein Incident-Response-Kommunikationsplan sollte nicht fehlen.
4. Tipp: Strukturiert vorgehen
Um für den Fall der Fälle bestmöglich aufgestellt zu sein, ist die Incident Response in zwei Handlungsstränge aufzuteilen. Da wäre zunächst die forensische Untersuchung des vermeintlichen Vorfalls. Hier lässt sich ermitteln, wie und wie tief der Angreifer in die IT-Infrastruktur eingedrungen ist, welche Ziele er verfolgt und welche Technologie er angewendet hat. Hierfür sollten die Unternehmens-Analysten neben Logging-Daten auch Informationen der Endpoint Detection sowie des Netzwerk-Monitorings heranziehen und auffällige Systeme bis in die Tiefe analysieren. Üblicherweise konzentrieren sich Analysten dabei auf Active Directory, DMZ (Demilitarisierte Zone) und besonders schützenswerte Bereiche.
Auf dieser Basis lassen sich Maßnahmen zur Abwehr des Angriffs und zur Entfernung des Angreifers aus Ihrem Netzwerk planen. Bei laufenden Vorfällen muss entschieden werden, welche Handlungen ad hoc vorzunehmen (Containment) und welche vordefinierten Maßnahmen anzuwenden sind. Gleiches gilt für die Remediation. Hier sind Maßnahmenpakete vonnöten, die an die Komplexität der Geschäftsprozesse, den Aufbau der Infrastruktur, die Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr sowie verfügbare Analyse-Skills angepasst sind. Die Abwehrmaßnahmen sollten ebenfalls den Methoden des Angreifers entsprechen.
5. Tipp: Eigene Systemkritikalität kennenlernen
Um schützenswerte Bereiche und neuralgische Punkte zu ermitteln, muss man die Eigenheiten der eigenen Organisation, IT-Infrastruktur und vorhandenen Skills genau kennen. Es hilft, die Incident Response als Mannschaftssport mit Spielern zu betrachten, die ihre Stärken nach abgestimmten Playbooks einbringen. Um die Positionen optimal zu besetzen, braucht es den idealen Mix aus Erfahrung und Skills. Diese Fähigkeiten intern aufzubauen, verursacht großen Aufwand. Einen Dienstleister heranzuziehen, der Managed Security als Service bietet, kann eine Überlegung wert sein. Aber auch dann sind regelmäßige Trainings unverzichtbar, um eine hohe Reaktionsfähigkeit sicherzustellen.
6. Tipp: Auf Teamwork setzen
Bei einem Angriff ist das ganze Security-Team gefragt. Das Security Operations Center (SOC) bewertet das Gefahrenpotenzial und entscheidet mit dem Incident Response Team, ob ein Angriff vorliegt. Handelt es sich um einen massiven Vorfall – von Erpressungsfällen mit Ransomware bis hin zu APT-Angriffen –, koordiniert das Incident Response Team die Eindämmungs- und Bereinigungsaktivitäten und führt sie durch. Wichtig ist auch die Nachbereitung. Wer aus einem Vorkommnis strategische Maßnahmen ableitet, kann eine bessere Reaktionsfähigkeit und Resilienz entwickeln. Übertragen auf den Fußball, geht es um Fragen wie: Passten Spielaufbau und Organisation? Waren die Positionen richtig besetzt? Hat die Kommunikation funktioniert? Waren die personellen und technologischen Ressourcen in der richtigen Menge und Intensität verfügbar? War die Visibilität über das Spielgeschehen ausreichend? Schließlich sind Risikomanagement- und Entscheidungsprozesse fortlaufend zu optimieren. Denn: Nach dem Angriff ist vor dem Angriff.