Cyber Incident Readiness: So klappt es mit der Vorbereitung für den Ernstfall

von Katja Schmalen

Die Unternehmensleitung und andere Stakeholder achten aktuell sehr genau auf jeden einzelnen Euro, den die Fachabteilingen ausgeben. Die Cyber-Sicherheit gehört dabei zu den Bereichen, die gerade verstärkt unter die Lupe genommen werden, da ihre Ausgaben während der globalen Pandemie nicht selten merklich gestiegen sind. Wenn Chief Information Security Officer (CISOs) die vielfältigen Anforderungen innerhalb ihrer Abteilung prüfen, müssen sie oftmals strategische Entscheidungen treffen, die sie gegenüber dem Vorstand verteidigen und vertreten müssen.

Angesichts der jüngsten Microsoft Exchange-Pannen und der immer noch spürbaren Auswirkungen des Solarwinds-Hacks sind die Verantwortlichen im Zugzwang zu entscheiden, wie sie ihr Unternehmen am besten vor den Cyberkriminellen schützen können, die in großem Stil ihr Unwesen treiben.

Entscheidende Weichenstellungen ​für Cybersecurity-Investitionen sind notwendig

Eine These besagt, dass die beste Investition darin besteht, Vorfälle von vornherein zu verhindern. Dem kann man nur schwer widersprechen. Es ist eine Philosophie, die Cybersecurity-Frameworks vorantreiben, wie z. B. die ersten drei Ziele von NIST: Identifizieren, Schützen und Erkennen – identify, protect and detect. Wir alle wissen, dass die Chancen auf ein längeres und gesünderes Leben steigen, wenn wir uns ausgewogen ernähren, einen Helm tragen, wenn wir mit dem Fahrrad unterwegs sind und wir regelmässig an Vorsorgeuntersuchungen teilnehmen.

Wenn wir mit den Verantwortlichen bei Solarwinds oder den Exchange-Architekten bei Microsoft sprechen würden, dann würden sie uns wahrscheinlich bestätigen, dass sie die besten Sicherheitsdesign-Prinzipien angewandt haben, die ihnen zum Zeitpunkt der Einführung ihrer jeweiligen Produkte bekannt waren. Und dennoch wurden sie angegriffen. Wir könnten diesen Artikel damit füllen, die jüngsten Angriffe zu dokumentieren, die ihr Ziel gefunden und entspechenden Schaden angerichtet haben, obwohl die empfohlenen Best Practices befolgt wurden. Die ernüchternde Wahrheit ist, dass die Infosec-Community und die Hersteller der Produkte und Dienste, die wir zu unserem Schutz nutzen, nicht immer vollumfänglich in der Lage sind, uns zu schützen. Gesunde Ernährung, sportliche Betätigung und regelmässige Gesundheitsuntersuchungen können die Auswirkungen des Alterns verzögern oder minimieren, aber irgendwann ist unser Leben hier auf dieser Erde zu Ende.

Ist also das teuer verdiente Geld, das wir für Schutzmaßnahmen ausgeben, umsonst? Sind alle Unternehmen dazu verdammt, die nächsten Opfer von Cyberkriminellen zu sein? Nein, ganz so ist es zum Glück nicht. Allerdings muss ein Realitätscheck durchgeführt werden, um die Notwendigkeit zu erkennen, dass jedes Unternehmen mit einer Internetverbindung und einem schützenswerten Vermögenswert – also im Prinzip jedes Unternehmen – schnellstens anfangen muss, die Kunst und Wissenschaft der Incident Readiness zu praktizieren.

Was ist Incident Readiness?

Das Konzept der Incident Readiness wird oft mit dem der Incident Response verwechselt, beide sind allerdings nicht gleichzusetzen. Nach IDC Definition ist Incident Readiness das, was passiert, wenn Organisationen sich darauf vorbereiten, im Falle eines Sicherheitsvorfalls oder Angriffs zu handeln –  nämlich indem sie organisierte Verfahren zur Bewältigung der Auswirkungen eines Sicherheitsvorfalls einführen. Das Ziel ist es, den Schaden des Sicherheitsvorfalls zu begrenzen und die Wiederherstellungszeit und -kosten zu reduzieren. Incident Readiness legt also Richtlinien, Pläne und Verfahren fest, die im Falle eines Vorfalls zu befolgen sind.

Es gibt zahlreiche Möglichkeiten, wie Unternehmen ihre Incident Readiness-Fähigkeiten ausbauen können. Die Liste ist zu lang, um sie in diesem Artikel aufzuführen. Einige Punkte, die beim Aufbau eines Incident-Readiness-Plans berücksichtigt werden sollten, könnten folgende sein:

  • Zunächst ist es wichtig, dass Richtlinien festgelegt werden. Wenn Sie bei Null anfangen, scheuen Sie sich nicht, einen Spezialisten bzw. Security-Dienstleister zu Rate zu ziehen. Dieser Schritt ist von essentieller Bedeutung, da alle Reaktionspläne und -verfahren auf der Grundlage der in diesen Richtlinien formulierten Grundprinzipien erstellt werden.
  • Identifizieren Sie die potenziellen Akteure, die an einem Incident-Response-Einsatz beteiligt sein müssen. Diese Liste umfasst Personen, die Sie vielleicht nicht unbedingt als technikaffin einstufen, deren jeweilige Einflussbereiche jedoch betroffen sein oder den Ausgang eines Cybervorfalls beeinflussen können. Hierzu gehören Bereiche wie etwa das Personalwesen, PR und Kommunikation, die Rechtsabteilung, das Finanzwesen und die jeweiligen Führungskräfte.
  • Die Mitglieder des oben genannten Teams sollten als Teilnehmer an einer Notfallübung in Betracht gezogen werden. Kalkulieren Sie mit ein, dass die erste Simulation länger dauern wird als die folgenden, da die Mitglieder des Notfallteams ihre Rollen erst einmal kennenlernen müssen und anfangen, über die Entscheidungen nachzudenken, die sie bei einem realen Vorfall zu treffen hätten. Das wird definitiv ein augenöffnendes Ereignis!
  • Assessments. Es müssen Risikobewertungen, Bewertungen der Cyber-Security-Reife und Bewertungen der IT-Architektur durchgeführt werden, um nur einige zu nennen. Da die digitale Transformation (DX) in Ihrer Organisation kontinuierlich zunimmt, werden diese Asssessments in regelmäßigen Abständen wiederholt, um sicherzustellen, dass Ihre Incident Readiness-Fähigkeiten auf die strategische Ausrichtung Ihres Unternehmens abgestimmt sind.

Diese Aufzählung ist sicher nur ein Tropfen auf den heißen Stein. Die Idee ist, nicht nur die verschiedenen Technologie-Teams einzubeziehen, die traditionell mit der Reaktion auf einen Vorfall und der Wiederherstellung oder Behebung von Problemen in Verbindung gebracht werden, sondern auch die Teams, die in den Bereichen Medienarbeit, Compliance, Business Continuity und Cyber Resilience helfen können.

Das Bewusstsein für den Bedarf an Unterstützung schärfen

Es ist oftmals einfacher, sich Unterstützung für den Start eines Incident Readiness Programms zu holen, als man vielleicht vermuten würde. In einer kürzlich durchgeführten IDC-Befragung unter Security-Entscheidern wurde die Frage gestellt, wie anfällig ihre Cloud-Architektur für eine meldepflichtige Sicherheitsverletzung sei. Auf einer Skala von 1 bis 10, wobei 10 bedeutete, dass sie extrem verwundbar seien, lagen 77 % der Befragten bei einer 7 oder höher. Die gute Nachricht dabei ist, dass offenbar zumindest ein gewisses Maß an Bewusstsein dafür vorhanden ist, dass es ein Problem gibt. Und wie wir alle wissen, ist ein Problem kaum in den Griff zu bekommen, bevor es erkannt wird.

Cyber Incident Readiness: Unternehmen fühlen sich anfällig für Sicherheitsverletzungen

Die Bereitschaft, im Falle eines Sicherheitsvorfalls entschlossen zu handeln, minimiert natürlich  nicht die Notwendigkeit, die Organisation davor zu schützen, dass cyberkriminelle Banden und andere Akteure ihr Unwesen treiben können. Das Incident-Response-Team sollte auch für die Mitglieder nicht zum Vollzeitjob werden, weshalb Aktivitäten rund um die Vermeidung der Notwendigkeit, dass diese Teams aktiv eingesetzt werden, unbedingt gefördert werden müssen.

Die Welt nach COVID-19 wird von Unternehmen und anderen Organisationen verlangen, dass sie ihre Geschäftsabläufe und ihre Sicherheitskapazitäten kontinuierlich weiterentwickeln, um sich zu schützen. Die Gewissheit, dass Ihre Organisation darauf vorbereitet ist, im Falle des Falles zu handeln, sollte für etwas Ruhe in einer nicht unbedingt ruhigen Welt sorgen.


Autor dieses Beitrags ist Craig Robinson, Program Director in der Security Services Research Practice von IDC mit einem besonderen Fokus auf Managed Services, Beratung und Integration. Zu seinen Themenbereichen gehören IoT-Sicherheit, Blockchain-Services, Threat Detection und Response Services. Craig liefert tiefe Einblicke und Analysen und nutzt dabei seine langjährige Erfahrung in der Leitung verschiedener IT-Teams in unterschiedlichen Branchen. Dieses Fachwissen ermöglicht es ihm, Anbietern, Dienstleistern und Anwendern auf der ganzen Welt wertvolle Denkanstöße und fiundierte Beratung zu bieten.

Das könnte Sie auch interessieren