Ein Incident and Response Team für den Mittelstand

Verfasst von Robert Krick am 25.09.20 10:39
Robert Krick
Finden Sie mich auf:

Die aktuellen Ereignisse (wie der Vorfall im Universitätsklinikum Düsseldorf) zeigen, wie wichtig das Thema IT-Sicherheit ist. An oberster Stelle steht es, Cyber-Angriffe abzuwehren bevor etwas passiert. Doch auch wenn Sie alle verfügbaren Ressourcen zur Abwehr einsetzen, es gleicht immer einem Wettlauf mit der Zeit bis es doch einen Sicherheitsvorfall gibt, auch wenn viele davon zum Glück nicht so prekär sind, wie der Erpressungsversuch in Düsseldorf.

Ist ein Sicherheitsvorfall eingetreten, ist es wichtig versierte Entscheidungen zu treffen und schnell zu handeln. Auch hier gilt: je besser Sie vorbereitet sind, umso schneller sind Sie wieder einsatzbereit. Genau für diesen Zweck, empfehlen wir ein Incident and Response (IR) Team. Leider fehlt dieses in mittelständischen Unternehmen noch häufig.

Warum ist das IR-Team so wichtig und wie funktioniert es?

Das Incident and Response Team ist im Unternehmen die zentrale Anlaufstelle, wenn es einen Sicherheitsvorfall gibt. Somit entscheidet sich an diesem Punkt, wie groß der Schaden im Unternehmen sein wird und wie schnell Sie wieder regulär arbeiten können.

Das Team ist zunächst eine Gemeinschaft auf Zeit und in der Regel hochkarätig besetzt. Das heißt, die Gruppe formiert sich nur im Bedarfsfall und trennt sich nach der Lösung wieder. Je nach Kritikalität des Sicherheitsvorfalls, sollte das Team aus Mitgliedern unterschiedlicher Rangstufen bestehen. Je kritischer der Incident, umso eher wird auch die Geschäftsleitung und/oder der Vorstand involviert.

Gemeldet werden kann ein IT-Sicherheitsvorfall von jedem Mitarbeiter. Aus dem IT-Sicherheitsteam prüft dann jemand diese Meldung und entscheidet auf Basis von vorher festgelegten Kriterien über das weitere Vorgehen und aktiviert entsprechend das IR-Team.

Der Prozess des IR-Teams und die damit einhergehenden Aufgaben sehen in der Regel wie folgt aus:

Identifizierung

Ein gemeldeter Sicherheitsvorfall wird zunächst vom IR-Team identifiziert und dessen Ursache untersucht. Von der Phishing-E-Mail, über den Anrufer, der nach sicherheitsrelevanten Informationen fragt, bis hin zum USB-Stick, der auf dem Parkplatz gefunden wird oder dem ungewöhnlichen Verhalten des Endgeräts, kann hier die gesamte Bandbreite auftauchen.

Auch Security-Systeme wie der Endpoint- oder Server-Sensor sind hervorragende „Mitarbeiter“, wenn es darum geht Incidents zu entdecken und zu melden. Besonders geeignet sind Systeme, welche die Möglichkeiten der Root Cause Analyse (Ursachen-Analyse) mitbringen, wie z.B. Trend Micro Worryfree Services. In der Phase der Identifizierung wird auch entschieden, ob der Incident ein meldepflichtiger Vorgang gemäß einer entsprechenden Compliance-Richtline (z.B. DSGVO) ist. Anschießend startet die Phase der Eindämmung.

Eindämmung

Die Eindämmung hat das Ziel, das weitere Ausbreiten des Sicherheitsvorfalls im Unternehmen zu verhindern. Um dies zu gewährleisten, müssen jedoch oft Entscheidungen mit gesamtunternehmerischer Tragweite getroffen werden. Im Notfall muss die gesamte IT heruntergefahren werden oder der Internetzugang muss deaktiviert werden. Ggf. legt dies den kompletten Betrieb lahm. Damit solche Entscheidungen schnellstmöglich und sicher getroffen werden können, sollten bei kritischen Incidents auch hochrangige Entscheider im Team inkludiert sein. War die Eindämmung erfolgreich geht es mit der Phase der Eliminierung weiter.

Eliminierung

Bei der Eliminierung soll die Ursache des Vorfalls vollständig beseitigt werden. Auch die Dokumentation und die entsprechenden Berichte darüber, werden in diesem Prozessschritt angefertigt.

Wiederherstellung

Die Wiederherstellung ist die Phase, in der die Betriebsfähigkeit des Unternehmens wieder vollständig hergestellt wird. Dies kann durch das Einspielen der Datensicherungen erfolgen oder durch das komplette Neuaufsetzen der betroffenen Systeme. Ist die Phase abgeschlossen, geht es an die Optimierung.

Optimierung

Auch wenn der Sicherheitsvorfall nun eigentlich beendet ist, gehört auch die Optimierung noch zu den Aufgaben des IR-Teams. Hierbei wird der Incident analysiert und gibt der Gruppe dabei die Möglichkeit, konstruktive Kritik zu üben. Optimierungspotenzial wird ausgelotet aber auch positive Dinge werden für folgende Einsätze festgehalten. Auch technische oder organisatorische Vorschläge werden erarbeitet, die ein erneutes Vorkommen unterbinden sollen. Die Phase ist also auch für die Prävention wichtig.

Die optimale Zusammenstellung des Teams…

Wie oben bereits beschrieben, richtet sich die Besetzung des Teams dynamisch an der Kritikalität des Vorfalls aus. Der gefundene und nicht verwendete USB-Stick, sollte keine Meldung an den Vorstand auslösen. In einem solchen Fall reicht es aus, wenn das operative Team sich darum kümmert. Das Ausbrechen des Krypto-Schadcodes mit flächendeckender Verschlüsselung in der Produktionsumgebung, sollte wiederum umgehend die Geschäftsführung auf den Plan rufen. Die einzelnen Stufen sollten aber nicht zu kleinteilig gefasst werden. In der Regel sind drei Stufen ausreichend.

Wird ein Vorfall als kritisch eingestuft, empfehlen wir folgende Teambesetzung:

  • IR-Manager
  • Geschäftsleitung
  • Beschaffung / Einkauf
  • Marketing / Presseabteilung
  • Rechtsabteilung / Compliance-Beauftragter
  • HR / Betriebsrat
  • IT-Leitung
  • IT-Betrieb

Schlüsselposition IR-Manager

Aus unserer Erfahrung heraus, ist der IR-Manager am besten jemand mit entsprechender IT- und Projekterfahrung im Bereich IT-Security und er sollte in der Lage sein, auch in Krisensituationen den Überblick zu bewahren. Wenn es Ihnen innerhalb des Unternehmens an einer solchen Fachkraft fehlt, kann diese Position auch extern vergeben werden. Externe Partner sind auf solche Vorfälle spezialisiert und können Sie mit ihrer Expertise schnell und nachhaltig unterstützen.

Auch das Team von Krick unterstützt Sie gerne bei allen Fragen rund um Ihre Sicherheit. Nehmen Sie gerne Kontakt zu uns auf und wir finden gemeinsam eine erfolgreiche Lösungen!

VEREINBAREN SIE EINEN TERMIN MIT UNS!

Themen: bedrohungsschutz, it-security, sicherheitsluecke