Incident Response Plan: Entwurf und Aufbau

Shutterstock ID 1017657610

Wenn Unternehmen oder Organisationen eine Sicherheitsverletzung in der IT registrieren, zählt oft jede Minute. Wer macht was und in welcher Reihenfolge? Den Entwurf von strategischen Gegenmaßnahmen nennt man Incident Response Plan.

Was ist ein IT Incident Response Plan?

Die deutsche Übersetzung lautet Vorfallsreaktionsplan. Darin werden Maßnahmen gegen Vorfälle in der IT-Sicherheit definiert. Leider gibt es nicht das eine Schema F, denn Angriffe von außen sind wandelbar und erfolgen auf unterschiedlichen Ebenen. Um die Ausbreitung eines Schadens schnell einzudämmen, müssen Maßnahmen für unterschiedliche Szenarien mit Voraussicht geplant werden. Das Ziel eines Incident Response Plan (IRP) ist immer dreistufig: Schäden eindämmen, Sicherheitsproblem abstellen, vollständige Wiederherstellung gewährleisten.

Der Plan beinhaltet in der Regel Informationen zu den drängendsten Fragen:

• Verantwortlichkeiten: Wer übernimmt welche Aufgabe?
• Priorität: Welche Maßnahmen sind im Schritt 1 und allen weiteren relevant? 
• Fokus: Welche Assets sind besonders wichtig und schützenswert?

Ein IRP ist eine Säule der Cyber-Resilienz eines Unternehmens.

Warum braucht mein Unternehmen einen Incident Response Plan?

Cyber-Kriminelle sind nicht wählerisch. Sie greifen Unternehmen jeder Größenordnung und Branche an.  Wer bisher verschont geblieben ist, darf sich nicht in Sicherheit wähnen – ganz im Gegenteil: Mit jedem Tag wächst der Markt für Hacker, die willkürliche oder ganz gezielte Attacken starten. 

Laut einer Umfrage von Bitkom waren bereits drei von vier deutschen Unternehmen in 2018 und 2019 Opfer einer Cyber-Attacke (Datendiebstahl, Industriespionage und Sabotage). 70 Prozent der angegriffenen Unternehmen berichten von Schäden, die durch die Attacken entstanden. Die Hiscox-Studie Cyber Readiness Report 2019 zeigt, dass die Durchschnittskosten der Schäden in Deutschland auf über 900.000 Euro für mittelgroße Unternehmen gestiegen sind, und über 1,3 Millionen Euro für Großunternehmen betrug.

Wie erstellt man einen Incident Response Plan?

Vorüberlegungen

• Status der aktuellen Netzwerk-Infrastruktur und IT-Sicherheitsmaßnahmen ermitteln
• Liste von Vorfällen erstellen, die Incident Response auslösen
• Rollen und Verantwortlichkeiten verteilen
• Identifizierung der wichtigsten Assets, Härtung durch Sicherheitsmaßnahmen
• Remote Backups planen

Wiederherstellung kritischer Schlüsselpunkte

• Plan B für Ausfall von Software und Hardware
• Vertretungen für den Ausfall wichtiger Mitarbeiter festlegen

Risiko-Szenarien erstellen

• Vorgehen und Rollen für jedes Szenario definieren
• Simulationen für jedes Szenario durchführen
• Plan im Anschluss nachbessern

Remote-Arbeit einrichten

Auch die Sicherheit Ihres Personals muss bei der Absicherung einkalkuliert werden. Spätestens seit dem Ausbruch der Coronakrise ist offenkundig, dass Unternehmen im Ernstfall sehr schnell auf die Arbeit von Zuhause umzustellen müssen. Diese Umstellung ist planbar. 

• Einrichtung passender Tools (VPN, Kommunikation, Laptops, Zugänge)
• Testlauf: Alle Mitarbeiter sollten Home Office einrichten und verpflichtend einige Tage pro Jahr wahrnehmen

Wie läuft eine Vorfallsreaktion ab?

1. Alert und Klassifikation: Vorfall wird erkannt, anhand der definierten Szenarien löst der Vorfall einen IRP aus
2. Lokalisierung: Ursprung oder Eintrittspunkt feststellen
3. Eindämmung: Wenn möglich, muss die weitere Ausbreitung verlangsamt werden
4. Entfernung: Sicherheitslücken patchen, Updates einspielen, Malware entfernen
5. Recovery: Wiederherstellung der betroffenen Systeme und/oder Daten
6. Analyse und Optimierung: Nach der Wiederherstellung des Systems muss Ursachenforschung betrieben werden, um aus dem Vorfall zu lernen. Verbesserung des bestehenden Incident Response Plans anhand neuer Erkenntnisse.

Das Whitepaper “Incident Handler’s Handbook” des SANS-Instituts wird häufig als standardisierter Fahrplan für den Entwurf eines IRP verwendet. 

Wie bilde ich ein IT Incident Response Team? 

Das Incident Response Team im Unternehmen ist verantwortlich für die Durchführung des Incident Response Plans. Dazu sollte ein Manager ernannt werden, der die Leitung dieses Teams übernimmt. Des Weiteren sollte die übrigen Rollen klar verteilt und dokumentiert werden. Team-Mitglieder sollten außerdem Vertreter festlegen, die im Krankheitsfall ihre Rolle einnehmen. Telefonlisten, E-Mailkontakte oder weitere Kommunikationswege müssen eingerichtet werden.

Besetzung

Die Teamzusammensetzung sollte sich an den täglichen Aufgaben der Mitarbeiter orientieren. Die Arbeitsgruppe mit IT-Fachkräften sollte ergänzt werden durch Mitarbeiter, die mit der Handhabung externer Sicherheitsfälle betraut werden (Epidemien, Naturkatastrophen). Alle festgelegten Mitglieder (und ihre Vertreter) müssen die Incident Response Pläne detailliert kennen und sollten an regelmäßigen Simulationen teilnehmen. Prüfen Sie außerdem, ob zusätzliche Schulungen oder Weiterbildungen für alle oder einzelne Teammitglieder nötig sind. 

Welche Risiken machen eine Incident Response Plan nötig?

Die große Herausforderung für jeden IRP ist die Vielfältigkeit von Cyber-Angriffen. Aber warum? Je nachdem, in welchen Bereich der Sicherheitsstruktur die Angreifer vordringen können, sind unterschiedliche Maßnahmen nötig und wirksam. Die Infizierung mit einer Schadsoftware muss beispielsweise anders gehandhabt werden als der Diebstahl eines Passworts. Die folgenden IT-Sicherheitsvorfälle sollten durch einen Incident Response Plan abgesichert werden.

DDoS-Angriffe

Ein Distributed Denial of Service-Angriff zielt auf die Verlangsamung oder den Totalausfall eines Dienstes ab. Die Beeinträchtigung bzw. Unterbrechung von Geschäftsprozessen schmerzen besonders schnell und mitunter lange, wenn die entsprechenden Vorkehrungen in der IT-Sicherheit nicht bereits im Vorfeld getroffen wurden. In manchen Fällen wird ein DDoS-Angriff auch nur angedroht, wenn die von Angreifern geforderte Geldsumme nicht gezahlt wird. 

Mithilfe eines Incident Response Plan werden bedrohte Teile der IT-Infrastruktur identifiziert und redundant abgesichert. Durch einen aktiven DDoS-Schutz werden Attacken abgewehrt, die sich gegen die Außenanbindung des Unternehmens oder online verfügbare Services richten. 

Malware

Eine Infizierung mit einem oder gar mehreren Schadprogrammen stellt die wohl größte Gefahr für die IT-Sicherheit dar. Die besondere Herausforderung liegt darin, die Ausbreitung des Schädlings einzudämmen, bevor weitere, gefährlichere Schadprogramme automatisch nachgeladen werden. Einmal im System können sich diese unkontrollierbar ausbreiten: Das Ausspähen, Verschlüsseln, Löschen und Abgreifen von Daten sind die Ziele der Cyber-Kriminellen. Je länger eine Sicherheitsverletzung unbemerkt besteht, desto schwerer sind die Auswirkungen. Ein Incident Response Plan definiert, wer wie in welcher Reihenfolge vorgehen muss, um die Gefahr möglichst schnell zu bannen und die wichtigsten Assets zu schützen. 

Passwort-Diebstahl

Die sensiblen Stellen in jedem System sind vor allem diejenigen, die von Menschen benutzt werden. Login-Daten und Passwörter müssen deshalb so vergeben, verwendet und verwaltet werden, dass die Sicherheit an erster Stelle steht. Aber auch ohne menschliches Versagen kann es zum Verlust von Zugangsdaten kommen: Bösartige Bots können Passwörter einsammeln, spezielle Softwares können schwache Passwörter knacken. Zweistufige Identifikationssysteme, starke Passwörter und CAPTCHA helfen. 

Social Engineering/ Social Hacking

Fingierte E-Mails und Anrufe, manipulierte USB-Sticks: All diese Methoden werden genutzt, um Mitarbeiter eines Unternehmens dazu zu bewegen, Informationen preiszugeben. Insbesondere die Methoden des Phishings werden immer kreativer und professioneller. Um die „Schwachstelle Mensch” zu schützen, muss ein Bewusstsein für die Risiken der IT-Sicherheitsarchitektur geschaffen werden. Dies erfordert einen Lernprozess aller Mitarbeiter und Mitarbeiterinnen, der kontinuierlich erfolgen muss. 

Neben diesen vier häufigen Sicherheitsrisiken für die Informationstechnik existieren zahlreiche weitere potenzielle, sehr individuelle Gefahren, die Sie innerhalb der Entwurfsphasen für Ihren Incident Response Plan identifizieren sollten.

Physische Angriffe

Weitere mögliche Sicherheitsvorfälle betreffen die physische Sicherheit der IT: Brände, Überflutungen, Stromausfälle oder Einbrüche stellen Gefahren für Rechenzentren, Cloud-Server etc. dar. Cloud-Umgebungen stellen eine besondere Herausforderung dar, denn ihre Absicherung hängt in erster Linie von den Vorkehrungen Dritter ab. Für den Fall, dass Server auf unbestimmte Zeit ausfallen oder völlig zerstört werden, brauchen Unternehmen einen Plan B für die Wiederherstellung. Auch diese Szenarien gehören in einen Incident Response Plan.

Quellen:

• Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr, bitkom, November 2019 [https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-100-Milliarden-Euro-Schaden-pro-Jahr]
• Hiscox Cyber Readiness Report 2019, Hiscox, 2019
• Incident Handler’s Handbook, Patrick Kral, SANS Institute, Februar 2011