web analytics

6 wichtige Punkte für Ihren Incident Response Plan – Source: www.csoonline.com

6-wichtige-punkte-fur-ihren-incident-response-plan-–-source:-wwwcsoonline.com
Rate this post

Source: www.csoonline.com – Author:

Nach einem Cybervorfall müssen CISOs die richtigen Strategien, Rollen und Prozesse zur Hand haben. Diese Tipps können helfen.

Teamarbeit
Lesen Sie, welche Schritte für Ihren Notfallplan besonders wichtig sind.

PeopleImages.com – Yuri A – Shutterstock.com

Wenn ein Unternehmen einen größeren Ausfall seiner IT-Systeme erlebt – beispielsweise aufgrund eines Cyberangriffs – ist es zu diesem Zeitpunkt nicht mehr voll geschäftsfähig. Deshalb ist ein effektiver Plan zur Reaktion auf Vorfälle (Incident Response, IR) unerlässlich.

Es geht jedoch nicht nur darum, die Quelle eines Angriffs zu finden und ihn einzudämmen. Unternehmen müssen auf Widerstandsfähigkeit ausgelegt sein, um auch dann weiterarbeiten zu können, wenn wichtige Systeme nicht mehr verfügbar sind.

Was gehört zu einem effektiven Incident Response Plan? Hier sind sechs wesentliche Komponenten:

Folgen abschätzen

Wenn eine Sicherheitsverletzung wichtige Systeme zum Erliegen bringt, müssen Unternehmen über einen soliden IT-Ausfallsicherheits- oder Business-Continuity-Plan (BC) verfügen. Selbst wenn das Unternehmen nur für ein paar Stunden ausfällt, kann dies zu großen finanziellen Verlusten und einer negativen PR führen.

„Eine der wichtigsten Komponenten ist es, die wesentlichen Funktionen zu verstehen, die Ihr Unternehmen erfüllt, und welche Auswirkungen es hätte, wenn diese gestört würden“, betont Justin Kates, leitender Business-Continuity-Berater für den Betreiber von Convenience-Stores Wawa.

„Dies geschieht in der Regel durch eine sogenannte Business Impact Analysis (BIA)“, ergänzt der Experte. “Einige im Bereich der Geschäftskontinuität sind der Meinung, dass die BIA kein hilfreiches Mittel ist. Sie hilft jedoch dem Verantwortlichen für Business Continuity , ein besseres Verständnis dafür zu bekommen, wie Prozesse im gesamten Unternehmen funktionieren.“

Die BIA katalogisiert jeden Prozess und ermittelt, welche Auswirkungen in bestimmten Intervallen je nach Dauer eines Geschäftsausfalls zu erwarten sind. Laut Kates können dabei Workarounds mit manuellen Schritten zur Durchführung des Prozesses oder die Nutzung alternativer Dienste zur Erfüllung von Mindestanforderungen hilfreich sein.

Schon im Vorfeld sollte klar sein, welche Teile des Unternehmens für den Betrieb am wichtigsten sind. „Nach Meinung von Adam Ennamli, Chief Risk, Compliance and Security Officer bei der General Bank of Canada, besteht die Grundlage eines jeden effektiven Notfallplans darin, „sein Unternehmen wirklich zu verstehen – von den Menschen über die Prozesse bis hin zum Betrieb, und zwar durch eine detaillierte und pragmatische Folgenabschätzung.“

Der Security-Spezialist fügt hinzu: „Wenn man über BIA und RTOs [Recovery Time Objective] spricht, sollte man nicht nur Kästchen ankreuzen. Sie erstellen eine Karte, die Ihnen und Ihren Entscheidungsträgern genau zeigt, worauf Sie sich konzentrieren müssen, wenn etwas schief geht.“

Laut Enmamil behandeln allerdings viele Organisationen ihre Systeme als gleich kritisch. „Und wenn es bei einem tatsächlichen Vorfall darauf ankommt, wird wertvolle Zeit mit weniger wichtigen Ressourcen verschwendet, während kritische Geschäftsfunktionen offline bleiben und keine Einnahmen bringen.“

Umfassende Kommunikationsstrategie

Ein weiteres Schlüsselelement, das über Erfolg oder Misserfolg einer Strategie zur Reaktion auf Vorfälle entscheiden kann, ist die Kommunikation. Ohne klare Kommunikation zwischen den wichtigsten Interessengruppen des Unternehmens kann es zu viel längeren Ausfallzeiten oder zum Verlust wichtiger Prozesse über längere Zeiträume kommen.

“Es geht nicht nur darum, eine Telefonkette oder eine Liste mit E-Mail-Adressen zu haben. Sie benötigen vorab genehmigte Inhaltsblöcke und Vorlagen für verschiedene Szenarien, [mehrere] Backup-Kommunikationskanäle und klare Entscheidungs- und Delegationsstrukturen. Es muss klar sein, wer was zu wem sagen darf“, betont Ennamil. „Wenn ein Vorfall eintritt, ist das Letzte, was Sie wollen, Pressemitteilungen zu verfassen, Massen-E-Mails zu versenden oder herauszufinden, wie Sie Ihr Team erreichen können, weil Ihre primären Kanäle ausgefallen sind.“

Jason Wingate, CEO von Emerald Ocean fügt hinzu, dass Unternehmen über solide Kommunikationsprotokolle verfügen sollten. „Sie werden sich eine klare Befehlskette und Kommunikation wünschen“, sagt er. „Ohne festgelegte Protokolle sind Sie in etwa so effektiv wie bei dem Versuch, eine Brandbekämpfung mit Rauchzeichen zu koordinieren.“

Die Schwere des Vorfalls sollte die Kommunikationsstrategie bestimmen, ergänzt David Taylor, Geschäftsführer des globalen Beratungsunternehmens Protiviti. „Während die Mitglieder des Cybersicherheitsteams in engem Kontakt stehen und zusammenarbeiten, sind andere wahrscheinlich nicht so gut eingebunden oder nicht so gut informiert.“

Taylor führt aus: „Je nach Schweregrad sollte die Art, das Publikum und die Häufigkeit der Kommunikation von der Unternehmensführung vorgegeben werden.“ Dies ermögliche es den Verantwortlichen für Cybersicherheit und anderen Führungskräften, einen einheitlichen Zeitrahmen zu entwickeln, in dem sie mit Updates rechnen können. „Gemeinsam können sich die technischen Einsatzteams auf die Reaktion konzentrieren, ohne den Fortschritt zu stoppen, um ad hoc Updates bereitzustellen.“

Einer der wichtigsten Schritte ist die Ernennung eines Kommunikationsleiters , merkt Business-Continuity-Berater Kate an. „Wenn Technologiesysteme nicht verfügbar sind, müssen viele innerhalb der Organisation Workarounds implementieren, um wesentliche Prozesse am Laufen zu halten.“ Dem Experten zufolge basieren viele Entscheidungen auf Updates, die über den Status des Vorfalls und die erwarteten Lösungszeiten bereitgestellt werden. „Die Technologieteams werden sich darauf konzentrieren, die Auswirkungen des Vorfalls zu mildern, und haben möglicherweise nicht die Zeit, Updates bereitzustellen“, so Kates. „In Ihren Plänen sollte festgelegt sein, wer die Führung bei der Weitergabe von Updates an interne und externe Interessengruppen übernimmt, einschließlich der Aktualisierung, wenn es möglicherweise keine neuen Informationen gibt.“

Klare Strukturen mit definierten Reaktionsrollen und Arbeitsabläufen

Es ist wichtig zu verstehen, wer nach einem Vorfall wofür verantwortlich ist. „Wenn ein Cybervorfall eintritt, ist Verwirrung der größte Feind“, so der CEO von Emerald Ocean. “Ein Team ohne definierte Rollen wird wie ein Orchester ohne Dirigenten herumlaufen. Bei Vorfällen kostet Verwirrung Zeit, und wenn ein Vorfall eintritt, ist Zeit alles.“

Struktur und Rollen sollten über die Cybersecurity- oder IT-Mitarbeiter hinausgehen. „Der größte Irrglaube in der Cybersicherheit ist, dass es sich nur um ein IT-Problem handelt“, mahnt Wingate. Die IR-Struktur und die Rollen sollten idealerweise Vertreter aus dem gesamten Unternehmen umfassen.

„Zu den wichtigsten Rollen im Bereich Cybersicherheit gehören unter anderem der CIO/CTO, der CISO, der Einsatzleiter, der Koordinator für Vorfälle, der Endpunktanalyst, der Netzwerkanalyst und die externe forensische Unterstützung“, fasst Taylor zusammen. Zu den Rollen außerhalb der Cybersicherheit sollten das Krisenmanagementteam und möglicherweise Vertreter aus den Bereichen Recht, Unternehmenskommunikation, Personalwesen, Finanzen und andere gehören, je nach Ausmaß des Vorfalls.

„Es ist wichtig festzulegen, wer welche dieser Rollen übernimmt, und die damit verbundenen Verantwortlichkeiten sollten ebenfalls klar definiert und in den entsprechenden Plänen leicht nachzuschlagen sein“, betont Taylor.

Laut Rocco Grillo, Geschäftsführer der Unternehmensberatungsfirma Alvarez & Marsal Disputes and Investigations , ist es auch wichtig, dass „die wichtigsten externen Interessengruppen identifiziert werden.

„Dazu gehören externe Anwälte, IR- und forensische Ermittlungsunternehmen, Cyber-Versicherungskontakte, Benachrichtigungs- und Kreditüberwachungsunternehmen, Strafverfolgungsbehörden und Ransomware-Verhandlungsunternehmen“, so  der Leiter der globalen Praxis für Cyberrisiken und Incident Response Services des Unternehmens.

Überblick über die gesamte Bedrohungslandschaft

Die Bedrohungslandschaft im Bereich der Cybersicherheit ist breit gefächert und komplex. Wirksame IR-Strategien müssen so konzipiert werden, dass sie dieser Komplexität gerecht werden. Angriffe können von einer wachsenden Zahl von Quellen ausgehen und nicht nur ein Unternehmen, sondern auch seine Lieferanten und andere Geschäftspartner betreffen. „Der Fokus liegt mehr auf Angriffen auf die Lieferkette als auf direkten Angriffen auf Unternehmen“, ergänzt Grillo.

Angriffe auf die Lieferkette sind so, als würde ein Einbrecher in das Büro des Hausmeisters einbrechen, um sich die Schlüssel für alle Wohnungen im Gebäude zu verschaffen”, erläutert der Unternehmensberater, “im Gegensatz zu einem Einbrecher, der nur in das Penthouse des Gebäudes einbricht, um die Kronjuwelen zu stehlen.“

Darüber hinaus müssen sich IR-Pläne nicht nur auf externe Bedrohungen konzentrieren, sondern auch auf Insider-Bedrohungen. „Insider-Bedrohungsrisiken beschränken sich nicht nur auf böswillige Mitarbeiter, sondern auch auf Mitarbeiter, die menschliche Fehler begehen und/oder unwissentlich Cyber-Risiken für ihre Unternehmen schaffen, die Bedrohungsakteure ausnutzen können“, ergänzt Grillo.

Auch Drittanbieter und Lieferanten würden in diese Kategorie fallen. „Dritte können autorisierten Zugang zu einem Unternehmen haben. Wenn sie von einem Bedrohungsakteur kompromittiert werden, schaffen sie diesen versehentlich Zugang“, so der Berater.

Regelmäßige Tests

Unternehmen müssen ihre Pläne zur Reaktion auf Vorfälle und zur Geschäftskontinuität regelmäßig testen, um sicherzustellen, dass sie wirksam sind. „Das sollte eigentlich selbstverständlich sein: Wie bei allem anderen in der Technik auch, sollte man alles erst einmal testen“, fordert Wingate von Emerald Ocean. “Wenn Sie aus einem Flugzeug springen, möchten Sie ja auch, dass Ihr Fallschirm vorher überprüft wurde.“

Einer der Gründe, warum regelmäßige Tests so wichtig sind, ist die sich ständig verändernde Cybersicherheitslandschaft. „Meiner Erfahrung nach liegt der Schlüssel zu einer effektiven Wiederherstellung darin, Incident-Response-Pläne nicht als statische Dokumente zu betrachten und sie regelmäßig einem Stresstest zu unterziehen“, erklärt Ennamli von der General Bank of Canada. “Der Dreh- und Angelpunkt liegt darin, über die theoretische Planung hinauszugehen und praktische, getestete Schritte zu unternehmen, die sich unter Druck bewährt haben.“

Nach jedem Sicherheitsvorfall müssen die IR- und BC-Teams des Unternehmens überprüfen, wie gut die Pläne umgesetzt wurden und wo Verbesserungen vorgenommen werden können.

„Nach der Wiederherstellung nach einem Vorfall [und] Übungen des Vorfallsreaktionsprogramms muss eine disziplinierte Auswertung der gewonnenen Erkenntnisse erfolgen“, so Taylor von Protiviti. „Diese werden allgemein als After-Action-Reviews (AARs), Post-Incident-Reviews (PIRs), Hotwashes oder Debriefings bezeichnet. Unabhängig von der Bezeichnung ist ein disziplinierter und dokumentierter Ansatz zur Bewältigung sowohl positiver als auch negativer Aspekte nach einem Vorfall für eine kontinuierliche Verbesserung von entscheidender Bedeutung.“

Einfachheit und Modularität sollten im Vordergrund stehen

Obwohl die Bedrohungslandschaft komplex ist, müssen IR- und BC-Strategien dies nicht sein. Manchmal ist einfacher besser.

„Wir sehen in der Regel, dass Organisationen zahlreiche, hundertseitige Ordner für ihre Notfallpläne erstellen, einen für die Reaktion auf Vorfälle, einen anderen für die Geschäftskontinuität, einen weiteren für die Notfallwiederherstellung“, beschreibt Kates von Wawa. „Die meisten dieser Pläne überschneiden sich erheblich und sind nur kopierte Vorlagen, die sie online gefunden haben.“

Anstatt für jede Art von Vorfall separate, umständliche Pläne zu erstellen, empfiehlt Kates einen modularen ‘Playbook“-Ansatz. „Man kann einige wenige gefahrenspezifische Playbooks entwickeln – Ransomware, Stromausfall, Unwetter –, die gängige Funktionen der Reaktion auf Vorfälle [wie] Kommunikation, Lagebewertung, Umgehung von Geschäftsprozessen – sofort einsatzbereit machen“.

Dieser Ansatz ermögliche es den Teams, relevante Maßnahmen je nach Art des Vorfalls zu aktivieren und zu kombinieren, wodurch ein nützlicherer Plan entsteht. „Ich habe festgestellt, dass es auch viel einfacher ist, als mehrere große Pläne zu verwalten, um sicherzustellen, dass die Informationen aktuell bleiben“, sagt er. “Die Strategiebücher enthalten Checklisten und Entscheidungsbäume, die die Einsatzkräfte durch komplexe Verfahren führen und so die kognitive Überlastung während einer Krise reduzieren.“ (jm)

vgwort

SUBSCRIBE TO OUR NEWSLETTER

From our editors straight to your inbox

Get started by entering your email address below.

Original Post url: https://www.csoonline.com/article/3842982/6-wichtige-punkte-fur-ihren-incident-response-plan.html

Category & Tags: Incident Response – Incident Response

Views: 0

LinkedIn
Twitter
Facebook
WhatsApp
Email

advisor pick´S post

Nathalie Cole
How Much 10 Companies Paid Their Virtual CISO Service in 2022 Benchmark by Nathaniel Cole
How Much 10 Companies Paid...
Tushar Subhra Dutta
Top 10 Cyber Attack Maps to See Digital Threats 2022 by Tushar Subhra Dutta – Cyber Security News.
Top 10 Cyber Attack Maps...
Microsoft
Microsoft Zero Trust Maturity Model
Microsoft Zero Trust Maturity Model
US Deparment of Defense
DevSecOps Fundamentals Guidebook – Tools & Activities by American Deparment of Defense
DevSecOps Fundamentals Guidebook – Tools...
HADESS
DevSecOps Guides – Comprehensive resource for integrating security into the software development by HADESS
DevSecOps Guides – Comprehensive resource...
Microsoft
Microsoft 365 and the NIST Cybersecurity Framework
Microsoft 365 and the NIST...
Vendict
The 2024 CISO Burnout Report by Vendict
The 2024 CISO Burnout Report...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Marcos Jaimovich
The Silent Spectre Haunting Your Network: QPhishing, the CISO’s Unspoken Nightmare.
The Silent Spectre Haunting Your...
Marcos Jaimovich
Goodbye to Traditional: Why Conventional Cybersecurity Tools are No Longer Sufficient for the Future of Digital Threats ?
Goodbye to Traditional: Why Conventional...
Marcos Jaimovich
Why do we compare a SOC (Security Operations Center) with the cockpit of a commercial airplane? by Marcos Jaimovich
Why do we compare a...
Joas Antonio
Security Operations Center (SOC) – Tools for Operations Development by Joas Antonio
Security Operations Center (SOC) –...

LASTEST PUBLISHED POSTS

Cyberint
Retail Threat Landscape Report Q1-Q3 – November 2024 Summary by Cyberint a Check Point Company
Retail Threat Landscape Report Q1-Q3...
NCSC
Protecting Critical Supply Chains – A Guide to Securing your Supply Chain Ecosystem
Protecting Critical Supply Chains –...
Culture AI
Time to Adapt – The State of Human Risk Management in 2024 by Culture AI.
Time to Adapt – The...
National Cyber Security Centre
Engaging with Boards to improve the management of cyber security risk.
Engaging with Boards to improve...
Microsoft Security
2024 State of Multicloud Security Report by Microsoft Security
2024 State of Multicloud Security...
bugcrowd
Inside the Mind of a CISO 2024 The Evolving Roles of Security Leaders 2024 by bugcrowd
Inside the Mind of a...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Lacework
CISO’s Playbookto Cloud Security by Lacework
CISO’s Playbookto Cloud Security by...
MITRE - Carson Zimmerman
Ten Strategies of a World-Class Cybersecurity Operations Center by MITRE
Ten Strategies of a World-Class...
SILVERFRONT - AIG
Identity Has Become the Prime Target of Threat Actors by Silverfort AIG.
Identity Has Become the Prime...
CYZEA.IO
Enterprise Information Security
Enterprise Information Security
IGNITE Technologies
ENCRYPTED REVERSE
ENCRYPTED REVERSE

More Latest Published Posts

WORLD BANK GROUP
Global Cybersecurity Capacity Program
Global Cybersecurity Capacity Program
Gary Hinson
Getting started withsecurity metrics
Getting started withsecurity metrics
EDPS
Generative AI and the EUDPR.
Generative AI and the EUDPR.
Bright
2024 Guide to Application Security Testing Tools
2024 Guide to Application Security Testing Tools
HADESS
Hacker Culture
Hacker Culture
Quuensland Govermment
RISK ASSESSMENT PROCESS HANDBOOK
RISK ASSESSMENT PROCESS HANDBOOK
Ministry of MOS Security
HIPAA SIMPLIFIED
HIPAA SIMPLIFIED
Hacker Combat
How Are Passwords Cracked?
How Are Passwords Cracked?
CIS - Center for Internet Security
How to Plan a Cybersecurity Roadmap in Four Steps
How to Plan a Cybersecurity Roadmap in Four Steps
ACSC Australia
Information Security Manual
Information Security Manual
Kaspersky
Incident Response Playbook: Dark Web Breaches
Incident Response Playbook: Dark Web Breaches
ninjaOne
Endpoint Hardening Checklist
Endpoint Hardening Checklist
HADESS
Important Active Directory Attribute
Important Active Directory Attribute
ISA GLOBAL CYBERSECURITY ALLIANCE
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
Rajneesh Gupta
IAM Security CHECKLIST
IAM Security CHECKLIST
sqrrl
Hunt Evil
Hunt Evil
Searchinform
How to protect personal data and comply with regulations
How to protect personal data and comply with regulations
Giuseppe Manco
Threat Intelligence Platforms
Threat Intelligence Platforms
CSA Cloud Security Alliance
Hardware Security Module(HSM) as a Service
Hardware Security Module(HSM) as a Service
IGNITE Technologies
CREDENTIAL DUMPING FAKE SERVICES
CREDENTIAL DUMPING FAKE SERVICES
IGNITE Technologies
A Detailed Guide on Covenant
A Detailed Guide on Covenant
NIST
Computer Security Incident Handling Guide
Computer Security Incident Handling Guide
IGNITE Technologies
DIGITAL FORENSIC FTK IMAGER
DIGITAL FORENSIC FTK IMAGER
Accedere
Cloud Security Assessment
Cloud Security Assessment
YL VENTURES
CISO Reporting Landscape 2024
CISO Reporting Landscape 2024
CISO Edition
Reporting Cyber Risk to Boards
Reporting Cyber Risk to Boards
CIOB
CIOB Artificial Intelligence (AI) Playbook 2024
CIOB Artificial Intelligence (AI) Playbook 2024
INCIBE & SPAIN GOVERNMENT
Nuevas normativas de 2024 de ciberseguridad para vehículos
Nuevas normativas de 2024 de ciberseguridad para vehículos