Wenn Unternehmen oder Organisationen eine Sicherheitsverletzung in der IT registrieren, zählt oft jede Minute. Wer macht was und in welcher Reihenfolge? Den Entwurf von strategischen Gegenmaßnahmen nennt man Incident Response Plan.
Die deutsche Übersetzung lautet Vorfallsreaktionsplan. Darin werden Maßnahmen gegen Vorfälle in der IT-Sicherheit definiert. Leider gibt es nicht das eine Schema F, denn Angriffe von außen sind wandelbar und erfolgen auf unterschiedlichen Ebenen. Um die Ausbreitung eines Schadens schnell einzudämmen, müssen Maßnahmen für unterschiedliche Szenarien mit Voraussicht geplant werden. Das Ziel eines Incident Response Plan (IRP) ist immer dreistufig: Schäden eindämmen, Sicherheitsproblem abstellen, vollständige Wiederherstellung gewährleisten.
Der Plan beinhaltet in der Regel Informationen zu den drängendsten Fragen:
Ein IRP ist eine Säule der Cyber-Resilienz eines Unternehmens.
Cyber-Kriminelle sind nicht wählerisch. Sie greifen Unternehmen jeder Größenordnung und Branche an. Wer bisher verschont geblieben ist, darf sich nicht in Sicherheit wähnen – ganz im Gegenteil: Mit jedem Tag wächst der Markt für Hacker, die willkürliche oder ganz gezielte Attacken starten.
Laut einer Umfrage von Bitkom waren bereits drei von vier deutschen Unternehmen in 2018 und 2019 Opfer einer Cyber-Attacke (Datendiebstahl, Industriespionage und Sabotage). 70 Prozent der angegriffenen Unternehmen berichten von Schäden, die durch die Attacken entstanden. Die Hiscox-Studie Cyber Readiness Report 2019 zeigt, dass die Durchschnittskosten der Schäden in Deutschland auf über 900.000 Euro für mittelgroße Unternehmen gestiegen sind, und über 1,3 Millionen Euro für Großunternehmen betrug.
Auch die Sicherheit Ihres Personals muss bei der Absicherung einkalkuliert werden. Spätestens seit dem Ausbruch der Coronakrise ist offenkundig, dass Unternehmen im Ernstfall sehr schnell auf die Arbeit von Zuhause umzustellen müssen. Diese Umstellung ist planbar.
Das Whitepaper “Incident Handler’s Handbook” des SANS-Instituts wird häufig als standardisierter Fahrplan für den Entwurf eines IRP verwendet.
Das Incident Response Team im Unternehmen ist verantwortlich für die Durchführung des Incident Response Plans. Dazu sollte ein Manager ernannt werden, der die Leitung dieses Teams übernimmt. Des Weiteren sollte die übrigen Rollen klar verteilt und dokumentiert werden. Team-Mitglieder sollten außerdem Vertreter festlegen, die im Krankheitsfall ihre Rolle einnehmen. Telefonlisten, E-Mailkontakte oder weitere Kommunikationswege müssen eingerichtet werden.
Die Teamzusammensetzung sollte sich an den täglichen Aufgaben der Mitarbeiter orientieren. Die Arbeitsgruppe mit IT-Fachkräften sollte ergänzt werden durch Mitarbeiter, die mit der Handhabung externer Sicherheitsfälle betraut werden (Epidemien, Naturkatastrophen). Alle festgelegten Mitglieder (und ihre Vertreter) müssen die Incident Response Pläne detailliert kennen und sollten an regelmäßigen Simulationen teilnehmen. Prüfen Sie außerdem, ob zusätzliche Schulungen oder Weiterbildungen für alle oder einzelne Teammitglieder nötig sind.
Die große Herausforderung für jeden IRP ist die Vielfältigkeit von Cyber-Angriffen. Aber warum? Je nachdem, in welchen Bereich der Sicherheitsstruktur die Angreifer vordringen können, sind unterschiedliche Maßnahmen nötig und wirksam. Die Infizierung mit einer Schadsoftware muss beispielsweise anders gehandhabt werden als der Diebstahl eines Passworts. Die folgenden IT-Sicherheitsvorfälle sollten durch einen Incident Response Plan abgesichert werden.
Ein Distributed Denial of Service-Angriff zielt auf die Verlangsamung oder den Totalausfall eines Dienstes ab. Die Beeinträchtigung bzw. Unterbrechung von Geschäftsprozessen schmerzen besonders schnell und mitunter lange, wenn die entsprechenden Vorkehrungen in der IT-Sicherheit nicht bereits im Vorfeld getroffen wurden. In manchen Fällen wird ein DDoS-Angriff auch nur angedroht, wenn die von Angreifern geforderte Geldsumme nicht gezahlt wird.
Mithilfe eines Incident Response Plan werden bedrohte Teile der IT-Infrastruktur identifiziert und redundant abgesichert. Durch einen aktiven DDoS-Schutz werden Attacken abgewehrt, die sich gegen die Außenanbindung des Unternehmens oder online verfügbare Services richten.
Eine Infizierung mit einem oder gar mehreren Schadprogrammen stellt die wohl größte Gefahr für die IT-Sicherheit dar. Die besondere Herausforderung liegt darin, die Ausbreitung des Schädlings einzudämmen, bevor weitere, gefährlichere Schadprogramme automatisch nachgeladen werden. Einmal im System können sich diese unkontrollierbar ausbreiten: Das Ausspähen, Verschlüsseln, Löschen und Abgreifen von Daten sind die Ziele der Cyber-Kriminellen. Je länger eine Sicherheitsverletzung unbemerkt besteht, desto schwerer sind die Auswirkungen. Ein Incident Response Plan definiert, wer wie in welcher Reihenfolge vorgehen muss, um die Gefahr möglichst schnell zu bannen und die wichtigsten Assets zu schützen.
Die sensiblen Stellen in jedem System sind vor allem diejenigen, die von Menschen benutzt werden. Login-Daten und Passwörter müssen deshalb so vergeben, verwendet und verwaltet werden, dass die Sicherheit an erster Stelle steht. Aber auch ohne menschliches Versagen kann es zum Verlust von Zugangsdaten kommen: Bösartige Bots können Passwörter einsammeln, spezielle Softwares können schwache Passwörter knacken. Zweistufige Identifikationssysteme, starke Passwörter und CAPTCHA helfen.
Fingierte E-Mails und Anrufe, manipulierte USB-Sticks: All diese Methoden werden genutzt, um Mitarbeiter eines Unternehmens dazu zu bewegen, Informationen preiszugeben. Insbesondere die Methoden des Phishings werden immer kreativer und professioneller. Um die „Schwachstelle Mensch” zu schützen, muss ein Bewusstsein für die Risiken der IT-Sicherheitsarchitektur geschaffen werden. Dies erfordert einen Lernprozess aller Mitarbeiter und Mitarbeiterinnen, der kontinuierlich erfolgen muss.
Neben diesen vier häufigen Sicherheitsrisiken für die Informationstechnik existieren zahlreiche weitere potenzielle, sehr individuelle Gefahren, die Sie innerhalb der Entwurfsphasen für Ihren Incident Response Plan identifizieren sollten.
Weitere mögliche Sicherheitsvorfälle betreffen die physische Sicherheit der IT: Brände, Überflutungen, Stromausfälle oder Einbrüche stellen Gefahren für Rechenzentren, Cloud-Server etc. dar. Cloud-Umgebungen stellen eine besondere Herausforderung dar, denn ihre Absicherung hängt in erster Linie von den Vorkehrungen Dritter ab. Für den Fall, dass Server auf unbestimmte Zeit ausfallen oder völlig zerstört werden, brauchen Unternehmen einen Plan B für die Wiederherstellung. Auch diese Szenarien gehören in einen Incident Response Plan.
