Incident Response Plan: Entwurf und Aufbau
Wenn Unternehmen oder Organisationen eine Sicherheitsverletzung in der IT registrieren, zählt oft jede Minute. Wer macht was und in welcher Reihenfolge? Den Entwurf von strategischen Gegenmaßnahmen nennt man Incident Response Plan.
Was ist ein IT Incident Response Plan?
Die deutsche Übersetzung lautet Vorfallsreaktionsplan. Darin werden Maßnahmen gegen Vorfälle in der IT-Sicherheit definiert. Leider gibt es nicht das eine Schema F, denn Angriffe von außen sind wandelbar und erfolgen auf unterschiedlichen Ebenen. Um die Ausbreitung eines Schadens schnell einzudämmen, müssen Maßnahmen für unterschiedliche Szenarien mit Voraussicht geplant werden. Das Ziel eines Incident Response Plan (IRP) ist immer dreistufig: Schäden eindämmen, Sicherheitsproblem abstellen, vollständige Wiederherstellung gewährleisten.
Der Plan beinhaltet in der Regel Informationen zu den drängendsten Fragen:
- Verantwortlichkeiten: Wer übernimmt welche Aufgabe?
- Priorität: Welche Maßnahmen sind im Schritt 1 und allen weiteren relevant?
- Fokus: Welche Assets sind besonders wichtig und schützenswert?
Ein IRP ist eine Säule der Cyber-Resilienz eines Unternehmens.
Warum braucht mein Unternehmen einen Incident Response Plan?
Cyber-Kriminelle sind nicht wählerisch. Sie greifen Unternehmen jeder Größenordnung und Branche an. Wer bisher verschont geblieben ist, darf sich nicht in Sicherheit wähnen – ganz im Gegenteil: Mit jedem Tag wächst der Markt für Hacker, die willkürliche oder ganz gezielte Attacken starten.
Laut einer Umfrage von Bitkom waren bereits drei von vier deutschen Unternehmen in 2018 und 2019 Opfer einer Cyber-Attacke (Datendiebstahl, Industriespionage und Sabotage). 70 Prozent der angegriffenen Unternehmen berichten von Schäden, die durch die Attacken entstanden. Die Hiscox-Studie Cyber Readiness Report 2019 zeigt, dass die Durchschnittskosten der Schäden in Deutschland auf über 900.000 Euro für mittelgroße Unternehmen gestiegen sind, und über 1,3 Millionen Euro für Großunternehmen betrug.
Wie erstellt man einen Incident Response Plan?
Vorüberlegungen
- Status der aktuellen Netzwerk-Infrastruktur und IT-Sicherheitsmaßnahmen ermitteln
- Liste von Vorfällen erstellen, die Incident Response auslösen
- Rollen und Verantwortlichkeiten verteilen
- Identifizierung der wichtigsten Assets, Härtung durch Sicherheitsmaßnahmen
- Remote Backups planen
Wiederherstellung kritischer Schlüsselpunkte
- Plan B für Ausfall von Software und Hardware
- Vertretungen für den Ausfall wichtiger Mitarbeiter festlegen
Risiko-Szenarien erstellen
- Vorgehen und Rollen für jedes Szenario definieren
- Simulationen für jedes Szenario durchführen
- Plan im Anschluss nachbessern
Remote-Arbeit einrichten
Auch die Sicherheit Ihres Personals muss bei der Absicherung einkalkuliert werden. Spätestens seit dem Ausbruch der Coronakrise ist offenkundig, dass Unternehmen im Ernstfall sehr schnell auf die Arbeit von Zuhause umzustellen müssen. Diese Umstellung ist planbar.
- Einrichtung passender Tools (VPN, Kommunikation, Laptops, Zugänge)
- Testlauf: Alle Mitarbeiter sollten Home Office einrichten und verpflichtend einige Tage pro Jahr wahrnehmen
Wie läuft eine Vorfallsreaktion ab?
- Alert und Klassifikation: Vorfall wird erkannt, anhand der definierten Szenarien löst der Vorfall einen IRP aus
- Lokalisierung: Ursprung oder Eintrittspunkt feststellen
- Eindämmung: Wenn möglich, muss die weitere Ausbreitung verlangsamt werden
- Entfernung: Sicherheitslücken patchen, Updates einspielen, Malware entfernen
- Recovery: Wiederherstellung der betroffenen Systeme und/oder Daten
- Analyse und Optimierung: Nach der Wiederherstellung des Systems muss Ursachenforschung betrieben werden, um aus dem Vorfall zu lernen. Verbesserung des bestehenden Incident Response Plans anhand neuer Erkenntnisse.
Das Whitepaper “Incident Handler’s Handbook” des SANS-Instituts wird häufig als standardisierter Fahrplan für den Entwurf eines IRP verwendet.
Wie bilde ich ein IT Incident Response Team?
Das Incident Response Team im Unternehmen ist verantwortlich für die Durchführung des Incident Response Plans. Dazu sollte ein Manager ernannt werden, der die Leitung dieses Teams übernimmt. Des Weiteren sollte die übrigen Rollen klar verteilt und dokumentiert werden. Team-Mitglieder sollten außerdem Vertreter festlegen, die im Krankheitsfall ihre Rolle einnehmen. Telefonlisten, E-Mailkontakte oder weitere Kommunikationswege müssen eingerichtet werden.
Besetzung
Die Teamzusammensetzung sollte sich an den täglichen Aufgaben der Mitarbeiter orientieren. Die Arbeitsgruppe mit IT-Fachkräften sollte ergänzt werden durch Mitarbeiter, die mit der Handhabung externer Sicherheitsfälle betraut werden (Epidemien, Naturkatastrophen). Alle festgelegten Mitglieder (und ihre Vertreter) müssen die Incident Response Pläne detailliert kennen und sollten an regelmäßigen Simulationen teilnehmen. Prüfen Sie außerdem, ob zusätzliche Schulungen oder Weiterbildungen für alle oder einzelne Teammitglieder nötig sind.
Welche Risiken machen eine Incident Response Plan nötig?
Die große Herausforderung für jeden IRP ist die Vielfältigkeit von Cyber-Angriffen. Aber warum? Je nachdem, in welchen Bereich der Sicherheitsstruktur die Angreifer vordringen können, sind unterschiedliche Maßnahmen nötig und wirksam. Die Infizierung mit einer Schadsoftware muss beispielsweise anders gehandhabt werden als der Diebstahl eines Passworts. Die folgenden IT-Sicherheitsvorfälle sollten durch einen Incident Response Plan abgesichert werden.
DDoS-Angriffe
Ein Distributed Denial of Service-Angriff zielt auf die Verlangsamung oder den Totalausfall eines Dienstes ab. Die Beeinträchtigung bzw. Unterbrechung von Geschäftsprozessen schmerzen besonders schnell und mitunter lange, wenn die entsprechenden Vorkehrungen in der IT-Sicherheit nicht bereits im Vorfeld getroffen wurden. In manchen Fällen wird ein DDoS-Angriff auch nur angedroht, wenn die von Angreifern geforderte Geldsumme nicht gezahlt wird.
Mithilfe eines Incident Response Plan werden bedrohte Teile der IT-Infrastruktur identifiziert und redundant abgesichert. Durch einen aktiven DDoS-Schutz werden Attacken abgewehrt, die sich gegen die Außenanbindung des Unternehmens oder online verfügbare Services richten.
Malware
Eine Infizierung mit einem oder gar mehreren Schadprogrammen stellt die wohl größte Gefahr für die IT-Sicherheit dar. Die besondere Herausforderung liegt darin, die Ausbreitung des Schädlings einzudämmen, bevor weitere, gefährlichere Schadprogramme automatisch nachgeladen werden. Einmal im System können sich diese unkontrollierbar ausbreiten: Das Ausspähen, Verschlüsseln, Löschen und Abgreifen von Daten sind die Ziele der Cyber-Kriminellen. Je länger eine Sicherheitsverletzung unbemerkt besteht, desto schwerer sind die Auswirkungen. Ein Incident Response Plan definiert, wer wie in welcher Reihenfolge vorgehen muss, um die Gefahr möglichst schnell zu bannen und die wichtigsten Assets zu schützen.
Passwort-Diebstahl
Die sensiblen Stellen in jedem System sind vor allem diejenigen, die von Menschen benutzt werden. Login-Daten und Passwörter müssen deshalb so vergeben, verwendet und verwaltet werden, dass die Sicherheit an erster Stelle steht. Aber auch ohne menschliches Versagen kann es zum Verlust von Zugangsdaten kommen: Bösartige Bots können Passwörter einsammeln, spezielle Softwares können schwache Passwörter knacken. Zweistufige Identifikationssysteme, starke Passwörter und CAPTCHA helfen.
Social Engineering/ Social Hacking
Fingierte E-Mails und Anrufe, manipulierte USB-Sticks: All diese Methoden werden genutzt, um Mitarbeiter eines Unternehmens dazu zu bewegen, Informationen preiszugeben. Insbesondere die Methoden des Phishings werden immer kreativer und professioneller. Um die „Schwachstelle Mensch” zu schützen, muss ein Bewusstsein für die Risiken der IT-Sicherheitsarchitektur geschaffen werden. Dies erfordert einen Lernprozess aller Mitarbeiter und Mitarbeiterinnen, der kontinuierlich erfolgen muss.
Neben diesen vier häufigen Sicherheitsrisiken für die Informationstechnik existieren zahlreiche weitere potenzielle, sehr individuelle Gefahren, die Sie innerhalb der Entwurfsphasen für Ihren Incident Response Plan identifizieren sollten.
Physische Angriffe
Weitere mögliche Sicherheitsvorfälle betreffen die physische Sicherheit der IT: Brände, Überflutungen, Stromausfälle oder Einbrüche stellen Gefahren für Rechenzentren, Cloud-Server etc. dar. Cloud-Umgebungen stellen eine besondere Herausforderung dar, denn ihre Absicherung hängt in erster Linie von den Vorkehrungen Dritter ab. Für den Fall, dass Server auf unbestimmte Zeit ausfallen oder völlig zerstört werden, brauchen Unternehmen einen Plan B für die Wiederherstellung. Auch diese Szenarien gehören in einen Incident Response Plan.
Quellen:
- Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr, bitkom, November 2019 [https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-100-Milliarden-Euro-Schaden-pro-Jahr]
- Hiscox Cyber Readiness Report 2019, Hiscox, 2019
- Incident Handler’s Handbook, Patrick Kral, SANS Institute, Februar 2011
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
A simple visualization of how the Underground Cybercrime Economy cashes in on data and DDoS attacks. To learn more,…
9 Retweets 9
Mehr lesenHow to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0