Cyberattacke: Sind Sie vorbereitet?

/ Kategorie: CISO, Detect & Response
Erstellt von Reto Zeidler

Cyberangreifer investieren viel Zeit in die Vorbereitung ihrer Attacken. Wer denkt, vor Angriffen gefeit zu sein, der lebt besonders gefährlich. Unternehmen sollten sich daher mindestens genauso gut für den Ernstfall eines Incidents rüsten. Das Schadensausmass hängt schliesslich entscheidend davon ab, wie schnell auf einen Angriff reagiert wird. Mit einem Incident Response Plan bereiten Sie Ihre Organisation optimal vor.

Cyberattacke: Sind Sie vorbereitet?

Krankenhäuser haben einen, Energieversorger haben einen, Kantone, Städte und viele andere Organisationen auch. Katastrophenpläne dienen dazu, im Ernstfall schnell und wirksam Massnahmen zur Schadenseindämmung setzen zu können. Obwohl mittlerweile Cyberangriffe die am meisten gefürchtete Ursache für Betriebsunterbrechungen sind, sind Schweizer Unternehmen in der Regel ungenügend darauf vorbereitet. Nur wenige verfügen über einen Incident Response Plan oder ein Computer Security Incident Response Team.

Ein ungleicher Kampf

Sicherheitsvorfälle passieren nicht einfach so. Sie werden begünstigt durch Schwachstellen, die böswilligen Akteuren erlauben, unbefugt auf Unternehmenssysteme und Daten zuzugreifen oder durch legitime Benutzer, die versehentlich oder unbewusst vertrauliche Daten offenlegen oder einem Angreifer Zugriff gewähren. Dabei reicht dem Cyberkriminellen eine einzige Schwachstelle. Die Sicherheitsteams dagegen müssen laufend sämtliche Schwachstellen finden und beheben. Es ist also ein ungleicher Kampf mit stets ungewissem Ausgang. Wichtig zu verstehen ist, dass man einen Angriff praktisch nicht verhindern, sondern nur dessen Folgen abmildern kann. Deshalb sind Sie gut beraten, sich auf den Tag vorzubereiten, an dem dieser Kampf zu Ihren Ungunsten ausgeht.

Das Leben besteht hauptsächlich darin, dass man mit dem Unvorhergesehenen fertig werden muss. 

John Steinbeck, US-amerikanischer Autor.

Reaktionszeit beeinflusst die Schadenshöhe

Laut der Ponemon Studie "Cost of a Data Breach Report 2020" benötigten Unternehmen im Durchschnitt 207 Tage, um einen Datendiebstahl zu identifizieren, und 73 Tage, um ihn einzudämmen. Dies entspricht einem durchschnittlichen "Lebenszyklus" einer Attacke von 280 Tagen. Je schneller eine Attacke eingedämmt werden kann, desto eher lässt sich der Schaden klein halten. Die sogenannte mittlere Zeit bis zur Eindämmung (MTTC Mean Total Time To Contain) hängt von der Bereitschaft des Unternehmens ab, schnell in den Notfallmodus zu wechseln und die richtigen Aufgaben in der richtigen Reihenfolge auszuführen – alles unter starkem Druck und der Hektik, die sich aus einer Krisensituation ergeben. Klar ist: Unternehmen mit engagierten, geschulten Teams und getesteten Reaktionsplänen sind schneller in der Lage, zu reagieren.

CSIRT – Spezialistenteam für den Katastrophenfall

Was bei Natur- und zivilisationsbedingten Gefahren die Zivilschutzorganisationen sind, sind bei Cyberattacken in Unternehmen die Computer Security Incident Response Teams (CSIRT). Erstere werden auch nicht erst dann organisiert, ausgebildet, trainiert, ausgestattet und geplant, wenn die Katastrophe eingetreten ist. Auch bei CSIR-Teams muss all das rechtzeitig passieren. Unternehmen mit einer ausgefeilten Sicherheitsstrategie verfolgen daher nicht nur einen proaktiven Ansatz zur Minderung von Bedrohungen. Sie schulen ihre Mitarbeiter auch darin, was im schlimmsten Fall zu tun ist und implementieren einen Incident Response Plan. Zudem sorgen Sie dafür, dass dieser Plan kontinuierlich auf Lücken und Ineffizienzen überprüft und entsprechend angepasst wird.

Nicht warten, handeln

Können Sie sich vorstellen, dass die Feuerwehr bei einem Einsatz zuerst das Handbuch für die Drehleiter studiert? Wohl kaum. Aber genau so sind viele Organisationen heute auf Cyber Incidents vorbereitet. Und das, obwohl das Risiko für einen Cyberangriff statistisch wesentlich grösser sein dürfte als für einen Brand. Eine gute Vorbereitung umfasst die folgenden Schritte:

  1. Holen Sie sich Management-Support
    Ein Incident Response Plan gilt nicht nur für die IT- und Security-Verantwortlichen. Um die Krise gut zu meistern, benötigen sie in den meisten Fällen die Kooperation und Ressourcen von Personen ausserhalb der Sicherheitsorganisation, wie zum Beispiel Rechts-, Personal- und auch Business Abteilungen.
     
  2. Kennen Sie Ihre Risiken
    Um Ihren Incident Response Plan zu entwickeln, müssen Sie zunächst die möglichen Szenarien und deren Auswirkungen auf Ihre Organisation analysieren. Datenverlust ist ein Beispiel, Betriebsunterbruch infolge einer Ransomware Attacke ein anderes. Aber vielleicht auch weniger offensichtliche Szenarien, wie zum Beispiel Drittpartei Risiken, sollten berücksichtigt werden. Es ist deshalb wichtig, dass diese Szenarien in Abstimmung mit dem Risikobeauftragten Ihrer Organisation definiert werden.
     
  3. Definieren Sie Rollen und Verantwortlichkeiten
    Im Fall eines Incidents fehlt die Zeit, um zuerst Rollen und Verantwortlichkeiten festzulegen. Diese sollten daher bereits im Rahmen der Incident Response Planung definiert sein. Es werden zudem rasch wichtige Entscheidungen getroffen werden müssen. Deshalb sollte ein CSIR Team nicht nur aus Sicherheitsexperten bestehen, sondern auch Vertreter des Managements und der betroffenen Geschäftsbereiche umfassen.
     
  4. Bestimmen Sie die Kommunikationskanäle
    Im Notfall ist es wichtig, die relevanten Kommunikationskanäle bereits definiert zu haben. Diese Kommunikationskanäle müssen jederzeit nutzbar sein, auch wenn die üblichen Kanäle beeinträchtigt oder vorübergehend nicht verfügbar sind. Ein Kommunikationsplan definiert zudem, wer welche Stakeholder informiert, seien es interne Bereiche oder Kunden und Partner bzw. der Regulator oder die Öffentlichkeit.
     
  5. Regeln des Engagements
    Gerade bei den ersten Massnahmen als Reaktion auf einen Cyber Incident kann man viel falsch machen und dadurch das Problem vielleicht sogar verschlimmern. Deshalb sollten alle Massnahmen einer entsprechenden Methodik und Struktur folgen. Die Grundlagen und Ansätze dafür sind zum Beispiel beim SANS Institute oder bei NIST zu finden. Es ist allerdings wichtig, dass diese Vorgehensmodelle an die jeweilige Organisation angepasst werden.
     
  6. Trainieren Sie den Plan
    Pläne müssen trainiert und optimiert werden, damit im Ernstfall alles reibungslos läuft und der potenzielle Schaden klein bleibt. Es ist ausserdem hilfreich, erfolgreiche Praktiken mit anderen CSIR Teams auszutauschen, um von deren Erfahrung zu profitieren und die eigenen Pläne zu optimieren.

Die Vorteile überwiegen den Aufwand

Die Einführung und der Unterhalt von Incident Response Plänen sind mit Aufwand verbunden. Aber Ihre Organisation ist dadurch wesentlich besser gerüstet, um rasch und effektiv auf einen Incident reagieren und den damit verbundenen Schaden minimieren zu können. Das überwiegt den Aufwand bei weitem.

Zusammen. Sicher.

Wie gut ist Ihre Organisation heute auf einen Incident vorbereitet? Unsere Experten unterstützen Sie gern dabei, Ihre Sicherheitsstrategie zu erarbeiten und umzusetzen..

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

 

Whitepaper

ISPIN Whitepaper Security-Incident-Response

Lesen Sie dazu auch unser Whitepaper "Sicherheit in einer Welt der Unsicherheit".

» Download

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top