Das Unvorhersehbare planen: Computer Security Incident Response

/ Kategorie: Detect & Response, Threat Intelligence
Erstellt von Martin Frank

Ausnahmslos jedes Unternehmen muss damit rechnen, früher oder später Opfer einer Cyberattacke zu werden. Das Ausmass der Schäden hängt wesentlich davon ab, wie schnell und wie effektiv reagiert wird, sobald der Fall der Fälle eintritt. Die Herausforderung ist also, sich der Gefahr bewusst zu sein, die notwendigen Vorbereitungen auf das Unplanbare zu treffen und zu wissen, was im Ernstfall zu tun ist. Die Lösung: Computer Security Incident Response.

Schnell und effektiv auf einen Cyberangriff reagieren kann nur, wer entsprechend vorbereitet ist. Wie aber kann man sich auf einen solchen Angriff vorbereiten? Hier kommt das Computer Security Incident Response Team, kurz CSIRT, ins Spiel. Ein CSIRT kümmert sich um die effektive und effiziente Behandlung von schweren Sicherheitsvorfällen. Dazu braucht es, neben den entsprechenden Fähigkeiten, Methoden und Werkzeugen, auch viel Training. Das ist mit erheblichem Aufwand verbunden. Deshalb kann es sinnvoll sein, mit einem externen CSIRT zusammenzuarbeiten, welches die eigene Organisation entlastet und jederzeit verfügbar ist, wenn es gebraucht wird.

Die Arbeit eines CSIRT beginnt aber nicht mit erst mit einem Incident, sondern im Idealfall bereits heute:

Vorbereitung: Angriffsszenarien definieren und die Reaktion planen

So wie Piloten sehr intensiv Ausnahmesituationen trainieren, so müssen sich auch Unternehmen bestmöglich organisatorisch und technisch vorbereiten. Zumindest folgende Fragen sollten geklärt und in einem Incident Response Playbook (IR Playbook) festgehalten werden:

  • Für welches Szenario oder welche Szenarien kann das IR Playbook angewendet werden?
  • Welche vorsorglichen organisatorischen und technischen Massnahmen (Ressourcen und Tools) wurden getroffen, bzw. stehen zur Verfügung?
  • Welche Rollen sollen/können involviert werden und was ist ihre Aufgabe?
  • Welche sicheren Kommunikationskanäle stehen zur Verfügung?
  • Welches sind die für die Anwendung notwendigen Kontaktinformationen?
  • Welche formalen Prozessschritte sind während der jeweiligen Phase eines Incidents zwingend einzuhalten?

Zu diesen organisatorischen Vorbereitungen kommen eine ganze Reihe von technischen Massnahmen, die im Vorfeld durchzuführen sind.

Erkennen und analysieren: Den Ernstfall beherrschen

Ist der Ernstfall eingetreten, muss zunächst geklärt werden, ob es sich bei dem Vorfall tatsächlich um einen Incident handelt oder ob falscher Alarm ausgelöst wurde. Liegt ein Incident vor, muss dieser näher analysiert werden. Dazu gehören Antworten auf die Fragen:

  • Was wurde getroffen, was ist betroffen?
  • Wie ist der Sicherheitsvorfall entstanden?
  • Wann bzw. wie ist die zeitliche Abfolge der Ereignisse?
  • Wer ist der Urheber des Vorfalls?

Sind diese Informationen vorhanden, kann mit der nächsten Phase begonnen werden.

Eindämmen, bereinigen und wiederherstellen: Schadensbegrenzung hat Priorität

Ist klar, was das Unternehmen getroffen hat und wo die Ursache liegt, kann mit den notwendigen Eindämmungs-Massnahmen begonnen werden. Da die wenigsten Unternehmen intern über das nötige Know-how verfügen, ist es wichtig, rechtzeitig Hilfe zu organisieren, damit im Ernstfall die Reaktion schnell von statten gehen kann. Jene Massnahmen, die den Schaden begrenzen, sollten Priorität haben. Denn den Schaden zu verhindern oder zu begrenzen ist das wichtigste Ziel.

„Lessons learned“ für die Optimierung nutzen

Ist alles bereinigt und wieder hergestellt, ist es unerlässlich, die Lehren aus dem Vorfall zu ziehen und diese für Optimierungen zu nutzen. So können gleichgeartete oder ähnliche Vorfälle künftig verhindert oder besser und schneller bewältigt werden.

Zusammen. Sicher.

Incident Response: Sicherheit in einer Welt der Unsicherheit

Haben Sie bereits einen Computer Incident Response Plan oder ein CSIR Team? Wissen Sie, wie die einzelnen Phasen im Detail ausgestaltet sein sollten? Lesen Sie mehr darüber in unserem Whitepaper „Computer Security Incident Response“.

Laden Sie das Whitepaper hier kostenlos herunter.

» Download

Sie setzen lieber auf kompetente und erfahrene Unterstützung bei der Entwicklung Ihres CSIR Plans? Unsere Experten stehen Ihnen zur Verfügung. Kontaktieren Sie uns – wir helfen gerne.

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top