25. Jan. 2022
Zehn-Punkte-Plan für den Krisenfall
Sophos hat einen Ratgeber zum Thema Incident-Response veröffentlicht, der Unternehmen dabei unterstützen soll, bei einer Cyberattacke die Kontrolle über die Situation zu behalten. Denn Organisationen und Unternehmen seien gut beraten, sich sowohl mit wirkungsvoller IT-Security als auch mit einer durchdachten und geprobten Incident-Response-Strategie auszustatten. Ein solcher Plan könne nicht nur Folgekosten eines Cyberangriffs minimieren, sondern viele weitere Probleme und sogar Betriebsunterbrechungen im Keim ersticken. Der Ratgeber enthalte zum Beispiel folgende Punkte, die IT-Teams beim Erstellen eines Incident-Response-Plans berücksichten sollten:
Alle Beteiligten und Betroffenen festlegen
Nicht allein das Sicherheits-Team ist verantwortlich und von Angriffen betroffen, sondern viele weitere Personen im Unternehmen. Vom C-Level über Abteilungsleitungen bis hin zur Rechts- oder HR-Abteilung gilt es, die entscheidenden Personen zu identifizieren und in die Incident-Planung aktiv einzubeziehen. Zu diesem Zeitpunkt sollten zudem alternative Kommunikationsmöglichkeiten in Betracht gezogen werden, da ein Ausfall der IT auch die klassischen Kommunikationskanäle betreffen kann.
Kritische Ressourcen identifizieren
Um eine Schutzstrategie zu erarbeiten und im Ernstfall das Ausmaß und die Folgen eines Angriffs bestimmen zu können, müssen die Ressourcen, die für das Unternehmen die höchste Priorität haben, ermittelt werden. Nur so können im Ernstfall die unternehmenskritischsten Systeme gezielt und mit hoher Priorität wiederhergestellt werden.
Ernstfall-Szenarien üben und durchspielen
Übungen sorgen dafür, dass bei einem Cyberangriff koordiniert, schnell und zielgerichtet gehandelt werden kann. Ein Plan ist dann besonders gut, wenn alle Beteiligten jederzeit genau wissen, was sie umgehend zu tun haben, anstatt erst nach einer Handlungsanleitung zu suchen oder gar zu versuchen, intuitiv zu handeln. In den Übungen sollten zudem unterschiedliche Angriffsszenarien definiert sein.
Security-Tools bereitstellen
Ein sehr wichtiger Teil des Schutzes und damit auch des Incident-Response-Plans sind präventive Maßnahmen. Dazu gehören auch geeignete Security-Lösungen für Endpoints, das Netzwerk, die Server und die Cloud sowie für Mobilgeräte und E-Mails.
Maximale Transparenz sicherstellen
Ohne die erforderliche Transparenz über alle Vorgänge während eines Angriffs haben Unternehmen Schwierigkeiten, angemessen zu reagieren. IT- und Sicherheitsteams sollten u?ber das nötige Handwerkszeug verfügen, um das Ausmaß und die Folgen eines Angriffs zu bestimmen – einschließlich der Ermittlung von Eintrittspunkten und Persistenzpunkten der Angreifer.
Zugriffskontrolle implementieren
Angreifer nutzen schwache Zugriffskontrollen aus, um die Abwehr zu unterwandern und um ihre Berechtigungen auszuweiten. Wirksame Zugriffskontrollen sind daher unerlässlich. Hierzu gehören unter anderem die Bereitstellung einer mehrstufigen Authentifizierung, die Beschränkung von Administrator-Rechten auf möglichst wenige Konten. Für manche Unternehmen kann es sinnvoll sein, ein zusätzliches Zero-Trust-Konzept zu erstellen und mit den geeigneten Lösungen und Services zu realisieren.
Analyse-Tools nutzen
Neben der Sicherstellung der erforderlichen Transparenz sind Tools, die während einer Untersuchung den erforderlichen Kontext liefern, enorm wichtig. Dazu zählen Incident-Response-Tools, mit denen die gesamte Umgebung nach Indicators-of-Compromise (IOCs) und Indicators-of-Attack (IOA) durchsucht werden kann.
Reaktionsmaßnahmen festlegen
Eine Attacke rechtzeitig zu erkennen ist gut, jedoch nur die halbe Miete. Denn nach der Entdeckung geht es darum, den Angriff einzugrenzen beziehungsweise zu eliminieren. IT- und Sicherheitsteams müssen in der Lage sein, eine Vielzahl von Reaktionsmaßnahmen zum Stoppen und Beseitigen von Angreifern einzuleiten – je nach Angriffsart und Schwere des potenziellen Schadens.
Awareness-Trainings durchführen
Alle Mitarbeiter eines Unternehmens sollten sich der Risiken bewusst sein, die sie unter Umständen mit ihren Handlungen auslösen. Daher ist ein Training ein wichtiger Teil eines Incident-Response-Plans beziehungsweise der Prävention. Mit Tools zur Angriffssimulation lassen sich reale Phishing-Angriffe auf Mitarbeiter ohne Sicherheitsrisiko simulieren. Je nach Ergebnis helfen spezielle Trainings die Mitarbeiter zusätzlich zu sensibilisieren.
Managed Security-Services
Nicht jedes Unternehmen hat die Ressourcen, einen Incident-Response-Plan und vor allem ein Incident-Response-Team mit ausgewiesenen Experten intern zu realisieren. Abhilfe schaffen Dienstleister wie Managed-Detection-and-Response-(MDR)-Provider. Sie helfen Unternehmen nicht nur auf Vorfälle zu reagieren, sie senken gleichzeitig die Wahrscheinlichkeit eines Vorfalls.
Der "Incident Response Guide" lässt sich nach einer Registrierung hier herunterladen.
