VorfallreaktionsplanWas ist ein Incident Response Plan?

Bei einem Cyberangriff oder einer Datenschutzverletzung muss ein Unternehmen schnell handeln. Mit einem Incident Response Plan (Vorfallreaktionsplan) stellt sich das Unternehmen auf die Bedrohung ein, um den entstehenden Schaden zu begrenzen und eine weitere Ausbreitung zu verhindern.

Unter Incident Response (Vorfallreaktion) versteht man die Reaktion eines Unternehmens auf einen IT-Sicherheitsvorfall. Dazu zählen alle organisatorischen und technischen Maßnahmen zur Abwehr und schnellen Eindämmung des Cybervorfalls, damit der Schaden möglichst gering bleibt.

Bei einem Cyberangriff oder Datenschutzvorfall gilt es schnell zu handeln und keine Zeit zu verlieren. Deshalb muss das Unternehmen auf einen Angriff vorbereitet sein. Das Sicherheitsteam arbeitet bereits im Vorfeld einen umfassenden Incident Response Plan (Vorfallreaktionsplan) aus, in dem alle nötigen Aktionen deutlich definiert und die Verantwortlichkeiten einzelner Teams und Personen klar festgelegt werden.

Wie sieht ein typischer Incident Response Lebenszyklus aus?

Ein typischer Incident Response Lebenszyklus durchläuft sechs Phasen.

1. Vorbereitung

Die Vorbereitungsphase ist die wohl wichtigste Phase. Sie bildet den Grundstein für den gesamten Prozess und entscheidet über Gelingen oder Versagen. Hier gilt es sicherzustellen, dass alle Mitarbeiter im Hinblick auf ihre Rollen und Verantwortlichkeiten bei der Reaktion auf Cybervorfälle angemessen geschult sind. Es empfiehlt sich, Übungsszenarien zu entwickeln und regelmäßig „Schein-Angriffe“ durchzuführen, um den Vorfallsreaktionsplan zu evaluieren und gegebenenfalls optimieren zu können.

2. Vorfallserkennung

Ins Rollen kommt der Incident Response Prozess schließlich mit der Identifizierung eines potenziellen Cyberangriffs oder einer möglichen Datenschutzverletzung. Hier gilt es klar zu definieren, welche Kennzeichen und Symptome das Incident Response Team in Gang setzen. Zeitnah müssen dann folgende Fragen beantwortet werden: Wann fand der Angriff statt? Wer hat ihn entdeckt? Welche Bereiche sind betroffen? Wurde die Ursache, die Schwachstelle oder der Einstiegspunkt bereits identifiziert? Welche Auswirkungen hat der Vorfall auf den laufenden Betrieb?

3. Eindämmung

Bei der Eindämmung des Vorfalls sollten IT-Teams zwar schnell, aber dennoch behutsam vorgehen. Anstatt alle betroffenen Dateien sofort zu löschen, sollten Bedrohungen zunächst nur an der weiteren Ausbreitung gehindert werden. Auf diese Weise bleiben wichtige Hinweise auf den Ursprung des Vorfalls bewahrt. Generell sollten alle betroffenen Systeme unbedingt gespeichert werden, um sie später forensisch untersuchen zu können.

4. Vollständige Beseitigung

Sobald die Bedrohung eingedämmt wurde, gilt es, die Ursache für den Vorfall zu identifizieren und zu beseitigen. Das bedeutet, dass sämtliche Schaddateien umfänglich entfernt, die betroffenen Systeme gehärtet und gepatcht und sämtliche Updates installiert werden müssen. Hier ist äußerste Gründlichkeit gefragt, da Rückstände von Malware oder übersehene Sicherheitslücken eine Wiederholung des Vorfalls bedeuten könnten.

5. Wiederherstellung

Wenn zweifelsfrei feststeht, dass alle Systeme sicher und frei von Malware sind, ist es Zeit für die Wiederherstellung und Rückführung der betroffenen Systeme und Geräte in ihre Geschäftsumgebung.

6. Gewonnene Erkenntnisse

Sobald der Wiederherstellungsprozess abgeschlossen ist, sollten alle Mitglieder des Incident Response Teams zu einem After-Action-Meeting zusammenkommen und gemeinsam besprechen, welche Erkenntnisse aus dem Vorfall gezogen werden können und müssen. Weist der Incident Response Plan Mängel auf? Kann er optimiert werden? Wie hat die Zusammenarbeit im Team funktioniert? Was kann getan werden, um ähnliche Vorfälle zukünftig zu verhindern?

Welche möglichen Cybervorfälle sollte ein Incident Response Plan berücksichtigen?

Digitale Angriffe sind heute so vielfältig wie die digitale Welt selbst. Dies macht die Ausarbeitung eines umfassenden Incident Response Plans für viele IT-Abteilungen auch zur Herausforderung. Folgende fünf Angriffstypen sollten IT-Abteilungen dabei auf jeden Fall einbeziehen, da Unternehmen hierfür besonders anfällig sind. Sie machen rund 90 Prozent der Angriffe aus.

Phishing

Ein Mitarbeiter klickt unbedarft auf einen Link in einer authentisch aussehenden E-Mail. Der Link führt auf die Seite des Angreifers, wo der Mitarbeiter vertrauliche Informationen preisgibt (zum Beispiel ein Passwort) oder Ransomware oder eine andere Schadsoftware aktiviert. Phishing ist mittlerweile ein bekanntes Phänomen – die Aufklärung hat in den letzten Jahren stark zugenommen. Dennoch sind die Erfolgsraten der Angreifer nach wie vor sehr hoch. Die Phishing-Nachrichten werden immer professioneller und sind dank zeitintensiver Recherche der Kriminellen immer genauer auf ihre Opfer zugeschnitten.

Distributed-Denial-of-Service (DDoS)

Bei DDoS-Angriffen überfluten Cyberkriminelle einen Server oder andere Komponenten des Datennetzes des Opfers mit Traffic, um eine Überlastung des Netzes hervorzurufen und so einen Crash zu verursachen. Für das Opfer kann die Nichterreichbarkeit schwerwiegende Reputationsschäden und kostspielige Ausfälle zur Folge haben.

Man-in-the-middle (MitM)

Bei einem Man-in-the-Middle-Angriff schaltet sich der Angreifer in die Verbindung zwischen zwei Netzwerkteilnehmern, kontrolliert ihren Datenverkehr und kann auf diese Weise sensible Daten abgreifen oder manipulieren. Dies gelingt ihm, indem er den Kommunikationspartnern vortäuscht, das jeweilige Gegenüber zu sein. Typische Beispiele sind Session Hijacking, E-Mail Hijacking und Wi-Fi Lauschangriffe.

Drive-by-Angriff

Drive-by-Attacken sind eine gängige Methode zur Verbreitung von Malware. Dabei platzieren Hacker bösartige Skripts auf unsicheren Seiten. Allein durch den Besuch der Seite wird beim Opfer unbemerkt Schadsoftware installiert. Die Schadsoftware ist in der Regel auf die Browser- und Windows-Sicherheitslücken des Opfers abgestimmt.

Passwortangriffe

Diese Art von Angriff ist speziell darauf ausgerichtet, das Passwort eines Benutzers oder eines Kontos auszuspähen. Hierfür setzen Hacker eine Vielzahl von Angriffstechniken ein: Passwortschnüffler, Password-Cracking, Wörterbuchangriffe oder Brute-Force-Angriffe. Dass die Cyberkriminellen hier oft ans Ziel kommen, liegt nicht nur an den ausgefeilten Techniken, sondern auch an viel zu schwachen Unternehmenspasswörtern.

Fazit

Keine Sicherheitstechnologie und keine auch noch so umfangreiche Mitarbeiterschulung kann hundertprozentige Sicherheit garantieren. Cyberkriminelle werden immer Wege finde, Netzwerke zu infiltrieren und zu infizieren. Mit einem ausgereiften und erprobten Incident Response Plan lässt sich der Erfolg der Angreifer und die Höhe des angerichteten Schadens jedoch mindern.

Dazu im Management-Handbuch

Ähnliche Artikel

Gesundheitstipps