Das Unvorhersehbare planen: Computer Security Incident Response

Schnell und effektiv auf einen Cyberangriff reagieren kann nur, wer entsprechend vorbereitet ist. Wie aber kann man sich auf einen solchen Angriff vorbereiten? Hier kommt das Computer Security Incident Response Team, kurz CSIRT, ins Spiel. Ein CSIRT kümmert sich um die effektive und effiziente Behandlung von schweren Sicherheitsvorfällen. Dazu braucht es, neben den entsprechenden Fähigkeiten, Methoden und Werkzeugen, auch viel Training. Das ist mit erheblichem Aufwand verbunden. Deshalb kann es sinnvoll sein, mit einem externen CSIRT zusammenzuarbeiten, welches die eigene Organisation entlastet und jederzeit verfügbar ist, wenn es gebraucht wird.

Die Arbeit eines CSIRT beginnt aber nicht mit erst mit einem Incident, sondern im Idealfall bereits heute:

Vorbereitung: Angriffsszenarien definieren und die Reaktion planen

So wie Piloten sehr intensiv Ausnahmesituationen trainieren, so müssen sich auch Unternehmen bestmöglich organisatorisch und technisch vorbereiten. Zumindest folgende Fragen sollten geklärt und in einem Incident Response Playbook (IR Playbook) festgehalten werden:

• Für welches Szenario oder welche Szenarien kann das IR Playbook angewendet werden?
• Welche vorsorglichen organisatorischen und technischen Massnahmen (Ressourcen und Tools) wurden getroffen, bzw. stehen zur Verfügung?
• Welche Rollen sollen/können involviert werden und was ist ihre Aufgabe?
• Welche sicheren Kommunikationskanäle stehen zur Verfügung?
• Welches sind die für die Anwendung notwendigen Kontaktinformationen?
• Welche formalen Prozessschritte sind während der jeweiligen Phase eines Incidents zwingend einzuhalten?

Zu diesen organisatorischen Vorbereitungen kommen eine ganze Reihe von technischen Massnahmen, die im Vorfeld durchzuführen sind.

Erkennen und analysieren: Den Ernstfall beherrschen

Ist der Ernstfall eingetreten, muss zunächst geklärt werden, ob es sich bei dem Vorfall tatsächlich um einen Incident handelt oder ob falscher Alarm ausgelöst wurde. Liegt ein Incident vor, muss dieser näher analysiert werden. Dazu gehören Antworten auf die Fragen:

• Was wurde getroffen, was ist betroffen?
• Wie ist der Sicherheitsvorfall entstanden?
• Wann bzw. wie ist die zeitliche Abfolge der Ereignisse?
• Wer ist der Urheber des Vorfalls?

Sind diese Informationen vorhanden, kann mit der nächsten Phase begonnen werden.

Eindämmen, bereinigen und wiederherstellen: Schadensbegrenzung hat Priorität

Ist klar, was das Unternehmen getroffen hat und wo die Ursache liegt, kann mit den notwendigen Eindämmungs-Massnahmen begonnen werden. Da die wenigsten Unternehmen intern über das nötige Know-how verfügen, ist es wichtig, rechtzeitig Hilfe zu organisieren, damit im Ernstfall die Reaktion schnell von statten gehen kann. Jene Massnahmen, die den Schaden begrenzen, sollten Priorität haben. Denn den Schaden zu verhindern oder zu begrenzen ist das wichtigste Ziel.

„Lessons learned“ für die Optimierung nutzen

Ist alles bereinigt und wieder hergestellt, ist es unerlässlich, die Lehren aus dem Vorfall zu ziehen und diese für Optimierungen zu nutzen. So können gleichgeartete oder ähnliche Vorfälle künftig verhindert oder besser und schneller bewältigt werden.