Die traurige Wahrheit ist, dass die Unternehmen zwar mehr in die Cyberabwehr investieren und die Cybersicherheit ernster nehmen als je zuvor, aber die Zahl der erfolgreichen Sicherheitsverletzungen und Ransomware-Angriffe steigt. Ein erfolgreicher Einbruch ist zwar nicht unvermeidlich, wird aber trotz aller Bemühungen, ihn zu verhindern, immer wahrscheinlicher.
Genauso wie es nicht regnete, als Noah die Arche baute, müssen sich Unternehmen mit der Tatsache auseinandersetzen, dass sie einen gut durchdachten Reaktionsplan für den Fall eines erfolgreichen Cyberangriffs vorbereiten – und die Organisation darüber informieren – müssen. Der schlechteste Zeitpunkt, um deine Reaktion auf einen Cyberangriff zu planen, ist natürlich, wenn er passiert.
Da so viele Unternehmen Opfer von Cyberangriffen geworden sind, hat sich eine ganze Branche von Incident Response (IR) Dienstleistungen entwickelt. Tausende von IR-Einsätzen haben dazu beigetragen, Best Practices und Vorbereitungsleitfäden zu entwickeln, um denjenigen zu helfen, die noch nicht Opfer eines Cyberangriffs geworden sind.
Kürzlich hat das Cybersecurity-Unternehmen Cynet eine Word-Vorlage für einen Incident-Response-Plan zur Verfügung gestellt, um Unternehmen bei der Planung für diesen unglücklichen Fall zu unterstützen.
Planung für das Schlimmste
Das alte Sprichwort „Auf das Beste hoffen, für das Schlimmste planen“ ist hier nicht ganz zutreffend. Die meisten Unternehmen arbeiten aktiv daran, sich vor Cyberangriffen zu schützen und hoffen sicher nicht nur auf das Beste. Trotzdem lohnt es sich, zu planen, was nach einem Cyberangriff zu tun ist, damit das Unternehmen sofort handeln kann, anstatt darauf zu warten, dass der Plan umgesetzt wird. Wenn es zu einem Einbruch kommt und die Angreifer Zugang zum Netzwerk haben, zählt jede Sekunde.
Ein IR-Plan dokumentiert in erster Linie klare Rollen und Zuständigkeiten für das Reaktionsteam und definiert den übergeordneten Prozess, den das Team bei der Reaktion auf einen Cybervorfall befolgen wird. Die von Cynet erstellte IR-Plan-Vorlage empfiehlt, dem strukturierten 6-stufigen IR-Prozess zu folgen, den das SANS Institute in seinem Incident Handler’s Handbook definiert, das übrigens eine weitere hervorragende IR-Ressource ist.
Die sechs Schritte lauten:
Vorbereitung – Überprüfung und Kodifizierung einer organisatorischen Sicherheitsrichtlinie, Durchführung einer Risikobewertung, Identifizierung sensibler Vermögenswerte, Festlegung, auf welche kritischen Sicherheitsvorfälle sich das Team konzentrieren sollte, und Aufbau eines Computer Security Incident Response Teams (CSIRT). Identifizierung: Überwache die IT-Systeme und stelle Abweichungen vom Normalbetrieb fest, um festzustellen, ob es sich um tatsächliche Sicherheitsvorfälle handelt. Wenn ein Vorfall entdeckt wird, sammle zusätzliche Beweise, stelle die Art und Schwere des Vorfalls fest und dokumentiere alles. Eindämmung – Führe eine kurzfristige Eindämmung durch, indem du zum Beispiel das angegriffene Netzwerksegment isolierst. Konzentriere dich dann auf die langfristige Eindämmung, indem du vorübergehende Korrekturen vornimmst, damit die Systeme in der Produktion genutzt werden können, während du gleichzeitig saubere Systeme wieder aufbaust. Ausrottung: Entferne die Malware von allen betroffenen Systemen, ermittle die Ursache des Angriffs und ergreife Maßnahmen, um ähnliche Angriffe in Zukunft zu verhindern. Wiederherstellung: Bringe die betroffenen Produktionssysteme vorsichtig wieder online, um weitere Angriffe zu verhindern. Teste, überprüfe und überwache die betroffenen Systeme, um sicherzustellen, dass sie wieder normal funktionieren. Lehren aus dem Vorfall: Spätestens zwei Wochen nach dem Vorfall solltest du einen Rückblick auf den Vorfall machen. Bereite eine vollständige Dokumentation des Vorfalls vor, untersuche den Vorfall weiter, mache dir klar, was getan wurde, um den Vorfall einzudämmen und ob irgendetwas an der Reaktion auf den Vorfall verbessert werden könnte.
Die IR-Plan-Vorlage hilft Organisationen dabei, die oben genannten Punkte in einem praktikablen Plan zu kodifizieren, der in der gesamten Organisation verwendet werden kann. Die IR-Plan-Vorlage von Cynet enthält eine Checkliste für jeden der IR-Schritte, die natürlich an die besonderen Umstände des jeweiligen Unternehmens angepasst werden kann und sollte.
Außerdem geht die Cynet IR-Planvorlage auf die Struktur des IR-Teams sowie auf die Rollen und Zuständigkeiten ein, um zu verhindern, dass jeder bei den verzweifelten Bemühungen, sich von einem Cybervorfall zu erholen, mit dem Kopf durch die Wand rennt. Angesichts der vielen beweglichen Teile und Aufgaben, die zu bewältigen sind, ist es wichtig, dass die Mitarbeiter/innen sich vorbereiten und wissen, was von ihnen erwartet wird.