Informationssicherheit
Security Incident Response Management: Erklärung und Tipps für die Umsetzung
Wie sieht ein Incident-Response-Plan aus und wie reagieren Unternehmen erfolgreich auf IT-Sicherheitsvorfälle?
Zum Blog Wissen kompakt
Informationssicherheit
Wie sieht ein Incident-Response-Plan aus und wie reagieren Unternehmen erfolgreich auf IT-Sicherheitsvorfälle?
Zum Blog Wissen kompaktCyberangriffe nehmen rasant zu und sie können jedes Unternehmen treffen, unabhängig von Größe und Branche. Die möglichen Folgen reichen vom Verlust wertvoller Daten über Imageschäden bis hin zum Stillstand von Geschäftsprozessen.
Ein effektives Security Incident Response Management schafft die Voraussetzungen dafür, dass Verantwortliche im Ernstfall schnell reagieren und effektive Gegenmaßnahmen treffen. So lässt sich das Schlimmste oftmals verhindern.
Wir haben uns mit dem Sicherheitsexperten und Trainer Thomas Kuhn (Kuhn-Informatik GmbH) darüber unterhalten,
Als Security Incident Response Management, Security Incident Management oder nur Security Incident Response bezeichnet man einen organisierten und strukturierten Prozess, um IT-Sicherheitsvorfälle (Incidents) zu erkennen und zu beheben. Vorrangiges Ziel ist es, schnell den normalen Geschäftsbetrieb wiederherzustellen und Schäden zu minimieren.
Dabei gibt es viele verschiedene Arten von Incidents, mit denen Unternehmen heute konfrontiert sind.
Eine Schadsoftware (Malware) sperrt den Zugang zu einem Computer oder verschlüsselt Daten, bis Opfer ein Lösegeld zahlen.
Mitarbeitende erhalten zum Beispiel eine E-Mail, die angeblich von einer vertrauenswürdigen Person oder Organisation stammt. Darin werden sie aufgefordert, auf einen Link zu klicken, der Malware herunterlädt, oder auf einer Website sensible Daten einzugeben.
Zugriffsrechte sind falsch eingestellt oder eine Datenbank ist nicht gesichert. Außenstehende können sensible Informationen einsehen.
Ein Laptop oder Smartphone geht verloren beziehungsweise wird gestohlen. Es entsteht das Risiko, dass Unbefugte auf Unternehmensdaten zugreifen.
Eine große Anzahl an Anfragen überlastet einen Server oder ein Netzwerke. Wichtige Dienste sind nicht mehr erreichbar.
Ein:e (ehemalige:r) Mitarbeiter:in oder Dienstleister missbraucht Zugriffsrechte, um beispielsweise Daten zu kopieren, zu löschen oder zu verändern.
Diese Beispiele machen deutlich: Security Incidents sind vielfältig und sie gehen nicht immer auf Cyberkriminelle zurück. Ausschlaggebend kann auch ein Versehen oder eine fehlerhafte Einstellung sein.
Eines haben alle Incidents gemeinsam: Eine schnelle, angemessene Reaktion ist entscheidend, um Schäden zu verhindern oder zu begrenzen.
Am Anfang jedes erfolgreichen Security Incident Response Managements steht ein Bewusstsein für die Wichtigkeit des Themas. „Das Security Incident Response Management ist eine Prio-1-Aufgabe in der Informationssicherheit“, betont Thomas Kuhn.
Bei der Umsetzung können sich Unternehmen an zwei Normen bzw. Standards orientieren:
Nach der ISO 27035 besteht ein Security-Incident-Response-Prozess aus 5 Schritten:
1. Plan and Prepare (Planung und Vorbereitung)
Zunächst halten Verantwortliche grundlegende Richtlinien, Prozesse und Rollen in einem Incident-Response-Plan fest. Außerdem treffen sie technische sowie organisatorische Vorbereitungen und sensibilisieren Mitarbeitende für das Thema.
2. Detection and Reporting (Erkennung und Meldung)
Wird ein potenzieller IT-Sicherheitsvorfall erkannt, so müssen Mitarbeitende, Kund:innen oder Zulieferer die Möglichkeit haben, ihn schnell und einfach zu melden.
3. Assessment and Decision (Bewertung und Entscheidung)
Im nächsten Schritt müssen Verantwortliche beantworten, ob es sich um einen echten Sicherheitsvorfall handelt. Lautet die Antwort Ja, kommunizieren sie alle relevanten Informationen dazu – intern und gegebenenfalls extern, zum Beispiel an Behörden. Wie schwer ist der Vorfall, welche Ursachen sowie Auswirkungen hat er und welche Maßnahmen müssen ergriffen werden? Diese Fragen stehen nun im Mittelpunkt.
4. Responses (Maßnahmen/Reaktion)
„Der vierte Schritt“, so Thomas Kuhn, „ist die eigentliche Response.“ Sie beinhaltet zum Beispiel, betroffene Systeme zu isolieren, Malware zu entfernen und Systeme wiederherzustellen. Wichtig für die abschließende Phase ist es, Maßnahmen und zentrale Erkenntnisse zu dokumentieren.
5. Lessons Learned (Nachbereitung und Verbesserung)
Nach einem Vorfall ist (leider) vor dem nächsten. Zu einem guten Security Incident Response Management gehört deshalb eine Auswertung am Ende.
Zentrale Fragen dabei sind:
Mithilfe der Antworten können Verantwortliche ihren Incident-Response-Plan optimieren.
Das Herzstück eines erfolgreichen Security Incident Response Managements ist ein Incident-Response-Plan: ein Dokument, das sich an den oben aufgeführten fünf beziehungsweise sechs Phasen orientiert. „Üblicherweise“, erläutert Thomas Kuhn, „handelt es sich um ein Flussdiagramm mit Erläuterungen zu den einzelnen Phasen.“ Dafür eigne sich kein Plan von der Stange. „Jedes Unternehmen hat andere Prozesse, Verantwortlichkeiten und Strukturen. Daran muss es seinen Plan anpassen.“
Thomas Kuhn empfiehlt, das Security Incident Response Management nicht einfach einer vorhandenen IT-Abteilung als Zusatzaufgabe zu übertragen, sondern ein eigenes Incident Response Team (IRT) zu bilden. „Dieses kümmert sich dann um die Verdachtsfälle und Vorfälle. In großen Unternehmen sei es meist kein Problem, ein solches Team ins Leben zu rufen. Allerdings mache es sowohl für große als auch für kleine Unternehmen mit weniger Ressourcen Sinn, externe Partner hinzuzuziehen, um wirklich abgesichert zu sein. „Interne Teams kennen nie alle Angriffsvektoren.“
In jedem Fall brauche es eine Person, die die Fäden in der Hand hält. Falls dafür keine Ressourcen im Unternehmen vorhanden sind, bieten sogenannte Security Operations Center (SOC) ein Komplettpaket (Managed Service) an.
Aber: „Je mehr Know-how intern vorhanden ist und je mehr Verantwortlichkeit eine Person übernehmen kann, die in das Unternehmen integriert ist, desto besser ist es. Optimalerweise bauen Unternehmen möglichst viele Ressourcen intern auf und greifen nur bei ausgewählten Themen auf externe Unterstützung zurück.“
Den Kompetenzaufbau hält Thomas Kuhn für eine der zentralen Herausforderungen im Security Incident Response Management. Eine andere sei die Bereitstellung notwendiger Ressourcen: „Externe Unterstützung kostet Geld und manche Geschäftsführer sehen Security Incident Response immer noch vor allem als Kostenfaktor.“
Außerdem werde das Üben und Testen gerne vernachlässigt. „Oft gibt es zwar ein Dokument, in dem alle Maßnahmen und Abläufe festgehalten sind, aber diese wurden nie geprobt. Bei einem Security Incident müssen Verantwortliche dann erst nachlesen, wie sie richtig reagieren.“ Manchmal sei der Security-Incident-Response-Plan seit Jahren nicht mehr aktualisiert worden und seien einige darin genannte Personen gar nicht mehr im Unternehmen.
Verhindern lassen sich solche Situationen durch praktische Übungen, am besten mindestens einmal im Jahr. „Unternehmen können zum Beispiel einen Phishing-Angriff oder einen Ransomware-Angriff simulieren. So können Mitarbeitende üben, wie sie in dieser Situation richtig reagieren und beispielsweise betroffene Konten sperren.“ Teilweise machen Cyberversicherungen diese Übungen sogar zur Voraussetzung, damit sie im Ernstfall eine bestimmte Schadenshöhe übernehmen.
Ein gutes Security Incident Response Management ist mehr als eine optionale Zutat im Bereich Informationssicherheit. Angesichts fortschreitender Digitalisierung, zunehmender Cyberkriminalität und der schnellen Entwicklung von künstlicher Intelligenz trägt es entscheidend dazu bei, dass Unternehmen wettbewerbsfähig bleiben.
Allerdings reicht es nicht aus, einen Security-Incident-Response-Plan zu erstellen und in einer Schublade abzulegen. Das Erkennen und Eindämmen von Sicherheitsvorfällen klappt nur dauerhaft, wenn Unternehmen systematisch Know-how aufbauen sowie erweitern und die Reaktion auf Vorfälle regelmäßig trainieren. Nur dann können Verantwortliche bei einem Security Incident umgehend die richtigen Maßnahmen ergreifen.
Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.
Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.
Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.
