Wie gut ist Ihr Incident Response Plan?

Eine der bemerkenswertesten Eigenschaften des Menschen ist seine Vorsicht gegenüber dem, was um ihn herum geschieht, und gleichzeitig seine Skepsis gegenüber bestimmten Situationen. Dieser Charakterzug von uns erstreckt sich auch auf die Cybersecurity, wo wir oft Entscheidungen auf der Grundlage […]

Incident response plan

Eine der bemerkenswertesten Eigenschaften des Menschen ist seine Vorsicht gegenüber dem, was um ihn herum geschieht, und gleichzeitig seine Skepsis gegenüber bestimmten Situationen. Dieser Charakterzug von uns erstreckt sich auch auf die Cybersecurity, wo wir oft Entscheidungen auf der Grundlage des Risikos treffen, das mit der Situation einhergeht. Es kommt vor, dass wir das Szenario vorhersehen, was im Falle eines Cyber-Angriffs geschehen wird. Die Entscheidungen über Sicherheitsgegenmaßnahmen werden oft auf der Grundlage eines bestimmten Bedrohungsszenarios getroffen.

Die gängige Antwort, die wir von vielen unserer Kunden erhalten, lautet: “Wir haben keinen formell definierten und getesteten Prozess, wie wir uns von einem Cyber-Angriff erholen können. Mit anderen Worten: Es existiert kein getesteteter Incident Response Plan”. Die meisten der etablierten Organisationen haben einen sehr guten Incident Response Plan, aber wie effektiv ist der Plan wirklich, wenn er in die Tat umgesetzt wird? Laut dem EY Global Information Security Survey 2016-2017 investiert der Öl- und Gassektor mehr Geld in Business Continuity (47%) als in andere Lösungen. Ein Incident Response Plan legt fest, wie im Falle eines Cyber-Angriffs zu reagieren ist. Er ist eine der Schlüsselkomponenten eines Business Continuity-Plans. Wie kann man sich von einem Cyberangriff erholen?

Befolgen Sie die Maßnahmen eines Incident Response Plans

Die meisten Cyber-Angriffe werden nicht sofort erkannt. Im Durchschnitt dauert es etwa 206 Tage, bis ein Unternehmen einen Cyber-Angriff erkennt oder überhaupt bemerkt, dass ein Cyber-Angriff stattgefunden hat. Warum es so lange dauert? Dafür gibt es verschiedene Gründe, z.B. unzureichende Überwachung und das Fehlen einer angemessenen Sicherheitspolitik. Es gibt nur wenige Aktionen aus dem Incident Response Playbook, die durchgeführt werden müssen, um Zeit und Datum des Angriffs, die Art des Angriffs, die Auswirkungen des Cyber-Angriffs, das Sammeln von Protokollen aus dem betroffenen System (wenn möglich) usw. herauszufinden. Diese Schritte erleichtern es, auf das Problem zu reagieren. Nachdem der Angriff identifiziert wurde, geht es darum, ihn einzudämmen und zu verhindern, dass er sich auf andere Systeme oder Netzwerke ausbreitet. Wenn es nicht gelingt, den Einbruch einzudämmen, kann dies zu einem Worst-Case-Szenario mit fatalen Auswirkungen, Verlust von Menschenleben, Umweltkatastrophen, usw., führen. Als Teil des Eindämmungsprozesses müssen die folgenden Schritte durchgeführt werden:

  • Trennung sensibler Daten von den betroffenen Daten
  • Anmeldung und Autorisierungs-Reset durchführen
  • das Patchen des Systems mit aktuellen Sicherheitsupdates
  • einen Datenwiederherstellungsprozess durchführen

Stakeholder und Kunden über den Angriff informieren

Verschiedene Länder haben unterschiedliche Gesetze, wie entsprechende Regierungsinstitutionen über den Cyber-Angriff informiert werden sollen. Einige Länder haben strenge Regeln, nach denen Organisationen die Bundesorganisation über den Angriff informieren müssen. Dies hilft ihnen, mehr Informationen über den Angriff zu erhalten. Im Gegenzug kann die betroffene Organisation auch Unterstützung von der Regierung erhalten. Ebenso wichtig ist es, die Stakeholder oder Kunden über Gegenmaßnahmen und Entschädigungen zu informieren. Stakeholder und Kunden sollten auch über die Strategien zur Verhinderung und Eindämmung künftiger Angriffe informiert werden. Dies demonstriert das Engagement der Organisation.

Messung der Konsequenzen nach dem Angriff

Die Risikomatrix der Organisation erklärt die Auswirkungen eines Cyberangriffs im Hinblick auf Sicherheit, Finanzen, Umwelt und Reputation. Nachdem der Angriff stattgefunden hat, muss die Auswirkungsmatrix bewertet werden, und wenn nötig sind Änderungen vorzunehmen. Dies wird eine genauere Messung der Auswirkungen eines Cyber-Angriffs ermöglichen. Die anfänglichen Identifizierungsverfahren, Eindämmungsmaßnahmen und die Unterrichtung der Stakeholder sind die ersten Schritte, um auf den Angriff zu reagieren. Es ist wichtig, dass eine Organisation aus dem Angriff lernt. Das bedeutet auch, die Wirksamkeit der vorhandenen Security-Gegenmaßnahmen zu überprüfen. Der Angriff ist in erster Linie auf unsachgemäße und unwirksame Security-Gegenmaßnahmen zurückzuführen. Um die Angriffsfolgen beurteilen zu können, ist es auch wichtig, Security auf den neuesten Stand zu bringen.

Die Security-Gegenmassnahmen verbessern

Die Bewertung des Angriffs liefert nützliche Informationen wie die Angriffsquelle, betroffene Anlagen/Systeme und andere technische Details wie Logdaten, Art des Angriffs usw. Diese Informationen helfen nicht nur, die Wirksamkeit der bereits bestehenden Gegenmaßnahmen zu überprüfen, sondern auch diese zu verbessern. Die Cyber Kill Chain kann bei der Entscheidung über die Gegenmaßnahmen helfen. Die Entscheidung über SIEM oder andere Überwachungslösungen muss in der Liste der Gegenmaßnahmen enthalten sein, sofern sie nicht bereits vorhanden sind. Die Gegenmaßnahmen müssen in regelmäßigen Abständen auf ihre volle Funktionsfähigkeit getestet werden, um einen weiteren Angriff in der Zukunft zu vermeiden.

Zur Verbesserung und Überprüfung der Bereitschaft des Incident Response-Plans empfiehlt Yokogawa den Organisationen dringend, Cyberwar-Spiele durchzuführen. Durch diese Cyberwar-Spiele können die Bereitschaft und die Genauigkeit des Incident Response Plans getestet werden. Sie bieten den Organisationen auch eine reale Erfahrung über Cyber-Angriffe und darüber, wie sie reagieren sollen, wenn ein solcher Angriff stattfindet. Eine periodische Überprüfung und Validierung des Incident Response Plans ist für die Geschäftskontinuität einer Organisation von entscheidender Bedeutung. Hat Ihr Incident Response Plan bereits die Feuerprobe bestanden?


Anatomie eines Cyber-Angriffs – Teil 1

Anatomie eines Cyber-Angriffs- ICS ATT&CK Matrix – Teil 2

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Scroll to Top