Wenn es brennt, sollten Sie wissen, wo Sie schnell einen Eimer Wasser herbekommen!
Klingt banal? Wenn Sie den Satz aber genau betrachten, steckt da viel Inhalt drin, den wir im Folgenden betrachten wollen.
„Es brennt“ ist ein Vorfall, der in der Regel relativ einfach festzustellen ist. Das Feuer kann an der richtigen Stelle viel Schaden in Ihrem Unternehmen anrichten, an anderen Stellen keinen oder nur einen geringen. Je nachdem, wie Sie den Brand einschätzen, kippen Sie ein Glas Wasser drüber, holen den Feuerlöscher oder rufen die Feuerwehr.
Wenn der Brand gelöscht ist, werden die Schäden beseitigt, die Wände neu gestrichen und dann ist wieder alles OK. Nicht ganz! Man sollte sich natürlich noch überlegen, ob es eine gute Idee war, in einem Papieraktenarchiv eine Kerze anzuzünden und wie man das beim nächsten Mal verhindert.
Wie geht man nun aber im Ernstfall vor?
Man kann die Voraussetzungen für eine Behandlung von Informationssicherheits-Vorfällen in zwei Gruppen teilen, organisatorische und prozessuale Maßnahmen.
Für eine erfolgreiche Zwischenfall-Behandlung muss Ihre Organisation bereit sein, darauf zu reagieren. Sie sollten einen Krisenstab haben, sollten dafür sorgen, dass alle Mitarbeitenden wissen, wie die Meldekette dorthin verläuft und festlegen, worum sich der Krisenstab wie kümmert.
Dabei bezieht sich das Kümmern sowohl auf interne wie externe Adressaten. Daher sollte auch hier vorbereitend festgelegt werden, wer mit wem wie spricht bzw. sprechen darf (z.B. Presse) oder muss (Meldepflichten beachten! z.B. BSI, Polizei). Eine proaktive Kommunikation ist nach unseren Erfahrungen besser, als der Versuch, nicht zu kommunizieren.
Prozessual begeben wir uns in einen zyklischen Prozess – das kennen wir aus unsere Beratungstätigkeit sehr gut. Ein Sicherheitsvorfall hat immer eine zeitliche Komponente, einen Lebenszyklus. An diesem Lebenszyklus entlang richtet sich die Behandlung:
- Detektion und Information – Ein Sicherheitsvorfall will erstmal bemerkt werden und dafür braucht es geeignete Mittel, einen Feuermelder, eine Alarmanlage, Überwachungsmechanismen für Ihre IT-Infrastruktur oder ähnliches
- Triage – Es ist zu entscheiden, welchen Einfluss der Zwischenfall auf das Geschäft haben wird, welche Ressourcen für die Bekämpfung zu allokieren sind und welche „Alarmstufe“ aufzurufen ist
- Eindämmung – Das Ereignis wird analysiert und wenn möglich, werden Maßnahmen zur Eindämmung ergriffen. Dabei sind die Auswirkungen auf die Unternehmensprozesse zu beachten, allerdings auch Risiken der Ausbreitung des Schadens. Eine Maßnahme kann beispielsweise die Isolierung eines Netzwerkabschnittes, die Stilllegung eines Servers oder die Deaktivierung von Benutzerkonten sein.
- Beseitigung – Besonders im Zusammenhang mit Malware ist eine gewisse chirurgische Großzügigkeit angebracht, da einige Spezies dieser Gattung nicht als singuläres Programm auftauchen, sondern in Form von Modulen mit unterschiedlichen Aufgaben, die sich von einem Rechner schwer bis gar nicht entfernen lassen. Daher lieber einmal zu viel wegschmeißen. Der Bundestag-Hack 2015 hat zu einer weitestgehenden Erneuerung der Infrastruktur des Bundestag-Netzes inklusive der Endpunkte geführt. Ähnliches passierte an Uniklinikum Frankfurt Anfang 2024.
- Nachbereitung – Der wichtigste und oft nicht durchgeführte Schritt ist die Nachbereitung des Angriffes mit dem Ziel, für die Zukunft zu lernen. Diese Zeit sollte man sich nehmen, weil daraus wertvolle Informationen entstehen. Ein gutes Beispiel für die Früchte aus dem Prozess ist das MITRE ATT&CK® Framework (https://attack.mitre.org), in dem die Erkenntnisse aus Cyber-Angriffen systematisch aufgearbeitet und dokumentiert für die (Fach-) Öffentlichkeit zur weiteren Verwendung aufbereitet werden.
- Beendigung des Zwischenfalls – Wenn alles getan ist, dürfen Sie den Zwischenfall für beendet erklären. Geschafft…
…und sich auf den nächsten Zwischenfall vorbereiten. Hatten wir schon erwähnt, dass wir PDCA-Zyklen lieben? Die machen sich gut auf Powerpoint-Folien.
Bis zum nächsten und letzten Teil (Link auf Part 5 – Weitere Bausteine)
Cyber-Risiko-Check – ein neues Angebot der Oberender AG
Sie wollen schon jetzt wissen, wo Sie in der Informationssicherheit stehen? Super – dann lassen Sie uns zusammen den Cyber-Risiko-Check machen. Mehr Infos dazu gibt’s hier.