5 Schritte als Reaktion auf IT-Security-Vorfälle

Einen 100-prozentigen Schutz vor IT-Sicherheitsvorfällen gibt es nicht. Darauf muss man als Unternehmen gefasst sein - und sich entsprechend vorbereiten. Doch was ist im Fall der Fälle zu tun? [...]

Dass Unternehmen gänzlich vor Sicherheitsvorfällen gefeit sind, ist ein Trugschluss: eine 100-prozentige Absicherung kann es nicht geben. Jedes Unternehmen sollte sich dieser Tatsache stellen und auf Störungen vorbereitet sein. NTT Com Security, Teil der NTT Group und Spezialist für Informationssicherheit und Risikomanagement, hat ein paar Empfehlungen zu diesem Thema zusammengestellt.

Klar ist, dass die Abwehr eines Angriffs nicht erst beim Sicherheitsvorfall selbst beginnen sollte. Im Vorfeld sollte eine Abwehrstrategie etabliert sein. Eine solche Incident-Response-Strategie muss detaillierte Vorgehensweisen und Maßnahmen bei der Behandlung von Sicherheitsvorfällen beinhalten. Konkret sollten hier beispielsweise Verantwortlichkeiten festgelegt, Aufgaben definiert, Schadensfälle klassifiziert oder Kommunikationsmaßnahmen – auch im Hinblick auf die zentralen staatlichen Ansprechstellen für Cybercrime-Vorfälle – geregelt werden. NTT Com Security empfiehlt die Einhaltung von folgenden fünf Handlungsschritten:

1. Identifizierung

Zunächst müssen Verantwortliche feststellen, um welchen Vorfall es sich handelt. Zur Analyse können zum Beispiel Log-Files – auch aus SIEM (Security Information and Event Management)-Systemen – herangezogen werden. Zudem müssen sie ermitteln, welche Zielsysteme betroffen sind, welchen aktuellen Status der Angriff hat und inwieweit bereits das gesamte Unternehmensnetzwerk kompromittiert ist. Neben der Erkennung und Erfassung von Sicherheitsvorfällen beinhaltet dieser Schritt auch die Bewertung der Attacke und ihrer Relevanz für unternehmenskritische Systeme und Daten. Nur auf Basis einer solchen detaillierten Analyse kann ein Unternehmen zielgerichtete Abwehrmaßnahmen ergreifen.

2. Stoppen des Angriffs

Der zweite Schritt umfasst das Stoppen beziehungsweise Eindämmen der Attacke. Abhängig vom Angriffsszenario sind hier unterschiedliche Maßnahmen denkbar, vom Abschalten einzelner Systeme über das Abtrennen bestimmter Netzwerkbereiche bis hin zu einem vollständigen Kappen aller Internetverbindungen. Um weitere Angriffe abzuwehren, ist zudem oft ein sofortiges Patchen der Systeme angezeigt. Natürlich muss die IT bei der Eindämmung der Auswirkungen von Sicherheitsvorfällen auch immer die Business Continuity berücksichtigen  – gemäß dem Motto „soviel abschalten wie möglich.“

3. Wiederherstellung

Der dritte Schritt sieht die Beseitigung aller Schäden vor. Dabei muss die IT alle Systeme, die potenziell betroffen sind, detailliert untersuchen. Das betrifft Betriebssysteme, Applikationen und Konfigurationsdateien ebenso wie alle Anwenderdateien. Zur Überprüfung eignen sich nur Sicherheitstools, die auf neuestem Stand sind wie aktuelle Antivirenlösungen. Bei Datenverlust muss die IT entsprechende Recovery-Maßnahmen ergreifen.  

4. Aufnahme des Normalbetriebs

Der nächste Schritt umfasst die Wiederaufnahme des Normalbetriebs, beispielsweise mit der sukzessiven Zuschaltung aller abgeschalteten Subsysteme. Vor der Wiederinbetriebnahme müssen dann auf jeden Fall umfassende Testläufe erfolgen, in denen der reibungslose Systembetrieb überprüft wird – zum Beispiel mittels Anwendungsfunktionstests.  

5. Dokumentation und Maßnahmeneinleitung

Der letzte Schritt, den nach Erfahrungswerten von NTT Com Security die meisten Unternehmen vernachlässigen, betrifft die Aspekte Dokumentation beziehungsweise Reporting und Maßnahmeneinleitung. Ein Report muss eine klare Bestandsaufnahme des vergangenen Incidents enthalten sowie eine detaillierte Bewertung der ergriffenen Aktivitäten. So sollte zum Beispiel konkret spezifiziert werden, was gut und was weniger gut gelaufen ist, welche Kosten entstanden sind und in welchen Bereichen sich ein deutlicher Handlungsbedarf herauskristallisiert hat. Auf dieser Basis kann ein Unternehmen dann entsprechende Veränderungen initiieren und Maßnahmen einleiten, um einen gleichartig gelagerten Sicherheitsvorfall künftig zuverlässig auszuschließen.

„Ein etabliertes Incident-Response-Verfahren ist angesichts der aktuellen Sicherheitsbedrohungen für ein Unternehmen heute unerlässlich. Doch auch wenn es vorhanden ist, zeigt unsere Erfahrung, dass die Notfallpläne nicht regelmäßig überprüft und getestet werden“, betont Patrick Schraut, Director Consulting & GRC bei NTT Com Security im deutschen Ismaning. „Das führt dazu, dass im Gefahrenfall oft Unsicherheit herrscht und eine verzögerte Reaktion einen ungewollten Datenabfluss ermöglicht. Mit unseren fünf Schritten beim Incident-Handling wollen wir Unternehmen eine Hilfestellung geben, wie sie im Schadenfall agieren sollten, um aktuelle und künftige Auswirkungen soweit wie möglich zu minimieren.“ (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*