09.03.2022 / Kategorie: Detect & Response
Cybersecurity-Verletzungen sind zum Alltag geworden. Die Schweizer Unternehmen sollten sich daher auf den Ernstfall vorbereiten. Dazu benötigen Sie einen umfassenden Incident Response Plan, der es ihnen ermöglicht, schnell und effektiv auf einen Vorfall zu reagieren. Denn das ist entscheidend für die Schadensminimierung und die Wiederherstellung nach einer erfolgreichen Attacke.
Die Zahl der Cyberangriffe steigt. Erfolgreiche Attacken können weitreichende finanzielle, rechtliche und Imageschäden nach sich ziehen. Für Unternehmen heisst das: Um die Unternehmenswerte und den Ruf bestmöglich zu schützen, braucht es einen robusten und dennoch flexiblen Plan für die Reaktion auf Vorfälle, der auf die individuellen Bedürfnisse des jeweiligen Unternehmens zugeschnitten ist.
Im Kern handelt es sich dabei um eine Reihe von Anweisungen, die von Ihrem Team - wahrscheinlich mit Unterstützung Ihres Security-Anbieters (z. B. ISPIN) - entwickelt wurden. In diesen Anweisungen ist festgehalten, wie ein Sicherheitsvorfall zu erkennen, darauf zu reagieren ist und wie die Wiederherstellung des normalen Geschäftsbetriebs zu erfolgen hat. Obwohl die meisten Reaktionspläne für Zwischenfälle eher technologieorientiert sind und sich auf die Erkennung und Behebung von Problemen wie Malware, Datendiebstahl und Serviceausfälle konzentrieren, kann ein Sicherheitsvorfall weitreichende Auswirkungen auf alle üblichen Aktivitäten Ihres Unternehmens haben. Daher enthält ein guter Incident Response Plan nicht nur Anweisungen für die IT-Abteilung, sondern auch Anleitungen und wichtige Informationen für andere Abteilungen und Beteiligte. Dazu können z. B. das Personalwesen, die Finanzabteilung, die Kundenbetreuung, die Mitarbeitenden, das Rechtsteam, Ihr Versicherungsanbieter, Aufsichtsbehörden, Zulieferer, Partner und lokale Behörden gehören.
Um maximale Wirksamkeit zu erzielen, muss der Incident Response Plan Ihres Unternehmens sowohl spezifisch als auch umsetzbar sein und klar festlegen, wer was wann zu tun hat. Alle wichtigen Interessengruppen müssen in die Entwicklung des Plans einbezogen und über alle Änderungen des Plans auf dem Laufenden gehalten werden. Er sollte diese sechs Bereiche umfassen: Aufspüren, Alarmieren, Untersuchen, Beheben, Überprüfen und Wiederholen.
Aufspüren Sie können nur dann auf eine Bedrohung reagieren, wenn Sie wissen, dass es sie gibt. Hier ist es wichtig, einen proaktiven Ansatz für Ihre Cybersicherheit zu wählen. Dazu gehört, dass Sie aktiv nach potenziellen Sicherheitsbedrohungen suchen und Ihre Sicherheitsprotokolle regelmässig überprüfen. Nur so können Sie sicherzustellen, dass sie weiterhin den Anforderungen Ihres Unternehmens entsprechen. Um Sicherheitsbedrohungen aufzuspüren, sollten Sie intern alle E-Mail-Adressen des Unternehmens auf Anzeichen von Problemen wie Phishing-Betrug überwachen und in Sicherheitstools investieren, die Sie auf potenziell verdächtige Aktivitäten hinweisen.
Alarmieren Sollten verdächtige Aktivitäten entdeckt werden, müssen Sie einen Prozess einrichten, der sicherstellt, dass Ihr internes Sicherheitsteam oder Ihr Security Service Partner (z. B. ISPIN) auf das Problem aufmerksam gemacht wird, damit die Experten Ihnen helfen können, festzustellen, ob die Bedrohung glaubwürdig ist. Sollten Sie in dieser ersten Phase eine Bedrohung entdecken, benötigen Sie Protokolle, um:
Untersuchen Bei einem Vorfall muss Ihre oberste Priorität darin bestehen, die Bedrohung einzudämmen und den Schaden zu minimieren. Sobald die Bedrohung beseitigt ist, sollten Sie sowohl den Angriff als auch Ihre Reaktion darauf überprüfen, um sicherzustellen, dass dieselbe Bedrohung nicht erneut gegen Sie eingesetzt werden kann.
Beheben Sobald Sie die Bedrohung eingedämmt und beseitigt haben, ist es an der Zeit, mit der Beseitigung des Schadens zu beginnen. Ihr Wiederherstellungs- und Sanierungsprozess sollte die Benachrichtigung aller zuständigen externen Stellen umfassen (einschliesslich Ihrer Kunden, der zuständigen Aufsichtsbehörden und potenziell betroffener Dritter, wie z. B. Lieferanten). Die betroffenen externen Stellen sollten über die Art des Vorfalls und das Ausmass des Schadens informiert werden.
Im Rahmen der Abhilfe-Massnahmen müssen auch Beweise gesammelt werden, damit sie von Ihrem Sicherheitsteam, Ihrem Security Service Partner und den Aufsichtsbehörden sowie gegebenenfalls von den Strafverfolgungsbehörden geprüft werden können. Sobald Sie alle Beweise haben, müssen Sie eine Ursachenanalyse durchführen, um das Grundproblem zu ermitteln und zu bestimmen, welche Schritte unternommen werden müssen, um dieses zu beheben und sicherzustellen, dass sich ein ähnlicher Vorfall nicht wiederholen kann.
Überprüfung Wenn Sie Opfer eines Angriffs geworden sind, ist es das Beste, aus den Ereignissen zu lernen, um Ihr Unternehmen in Zukunft bestmöglich zu schützen. Stellen Sie sicher, dass Sie im Rahmen des Überprüfungsprozesses alle beteiligten internen und externen Teammitglieder versammeln, um Ihre Reaktion auf den Vorfall zu besprechen und etwaige Unzulänglichkeiten oder Versäumnisse zu ermitteln, die behoben werden müssen.
Wiederholung Nur weil es Ihrem Team gelungen ist, einen Sicherheitsvorfall zu erkennen und wirksam darauf zu reagieren, heisst das nicht, dass Ihr Unternehmen für immer sicher ist. Ständige Wachsamkeit ist erforderlich, um sicherzustellen, dass Ihr Team immer bereit ist, auf Bedrohungen zu reagieren, unabhängig davon, wann und wie Angreifer agieren.
Sie möchten einen Incident Response Plan für Ihr Unternehmen erstellen oder Ihren bestehenden Plan optimieren? Kontaktieren Sie uns. Unsere erfahrenen und kompetenten Experten beraten und unterstützen Sie gerne dabei.Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.
.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications