Definition
Incident Response bezeichnet die Eindämmung und Beseitigung von Cyberangriffen in einem Unternehmen. Auch wenn Cybersicherheitsmaßnahmen viele Angriffe abwehren, gibt es keine 100-prozentige Garantie, dass sie alle Eindringlinge abfangen. Deshalb ist Incident Response Management wichtig: Wenn ein Angreifer eine Schwachstelle ausnutzt, muss das Unternehmen diesen Vorfall zunächst erkennen und dann ein Incident Response Team einsetzen, um ihn einzudämmen und zu beseitigen. Die konkreten einzelnen Schritte sind im Incident Response Plan des Unternehmens festgelegt. Der Plan beschreibt, was nach einem Vorfall im Bereich der Cybersicherheit zu tun ist. Dazu gehören die an der Reaktion beteiligten Personen, die für die Datenwiederherstellung zuständigen Teams sowie die Untersuchung des Vorfalls und der möglichen Verantwortlichen.
Warum ist Incident Response wichtig?
Ein Vorfall im Bereich der Cybersicherheit kann Schäden in Millionenhöhe verursachen – für das Unternehmen fallen Kosten für die Aufdeckung, Eindämmung und die rechtlichen Folgen des Datenverlusts an. Die Art und Weise, wie ein Vorfall gehandhabt wird, verkürzt die Zeit, die ein Angreifer im Netzwerk verbleibt, und verringert die Anzahl zukünftiger Vorfälle. In der Vergangenheit haben zahlreiche große Unternehmen die Incident Response schlecht gehandhabt, was ihnen rechtliche Wiedergutmachungen, Geldstrafen und zusätzliche staatliche Vorschriften eingebracht hat.
Wer ist für Incident Response zuständig?
Ein Incident Response Team ist bei einem Vorfall von entscheidender Bedeutung. Das Team kann den Schaden verringern und schneller eindämmen als Mitarbeiter, die mit der Abwehr von Bedrohungen nicht vertraut sind. Je länger ein Angreifer in einem Netzwerk verbleibt, desto komplexer wird die Reaktion, da der Angreifer mehr Malware und Hintertüren hinterlassen kann. Das Team besteht aus IT-Experten und Sicherheitsexperten, die mit der Arbeitsweise von Angreifern vertraut sind.
Wie der Name schon sagt, ist ein Incident Response Team für die Bereinigung und Sicherung der Netzwerkumgebung nach einem erfolgreichen Cybersicherheitsangriff zuständig. Ein Computer Incident Response Team (CIRT) setzt sich entweder aus mehreren wichtigen Akteuren innerhalb des Unternehmens zusammen oder wird an eine professionelle Agentur ausgelagert. In der Regel handelt es sich um IT-Personal, darunter Datenbankadministratoren, Betriebsmitarbeiter und Entwickler. Die folgenden Personen kommen für ein Incident Response Team in Frage:
- Führungskräfte: Führungskräfte sind die einzigen Personen, die während der Reaktion auf einen Vorfall Entscheidungen treffen können. Dabei kann es sich um die Genehmigung des Zugangs zu Netzwerkressourcen oder um Änderungen an der Produktionsumgebung handeln.
- IT-Auditoren: Auditoren stellen sicher, dass die Verfahren vor einem Vorfall eingehalten werden, aber sie helfen auch dabei, herauszufinden, was schiefgelaufen ist und wie man einen Angriff in Zukunft verhindern kann.
- Informationssicherheitsfachkräfte: Das IS-Personal hilft bei der Identifizierung der Schwachstelle. Sie beraten das IT-Personal auch im Hinblick auf künftige Informationssicherheitsprotokolle und -verfahren.
- Anwälte: Anwälte beraten das Unternehmen über die richtigen Schritte, um eine rechtliche Haftung zu vermeiden.
- Personalwesen: Bei Insider-Bedrohungen beraten die Mitarbeiter der Personalabteilung über den Umgang mit Mitarbeiterproblemen.
- Öffentlichkeitsarbeit: Sollte eine Datenschutzverletzung eine Mitteilung an die Kunden erfordern, sorgt ein PR-Team für die nötige Kommunikation, um die breite Öffentlichkeit über den Vorfall zu informieren.
- Finanzprüfer: Die finanziellen Folgen für Unternehmen können von einem Finanzprüfer bewertet und bestimmt werden. Die Kosten für einen Angriff können für bestimmte rechtliche Untersuchungen und für die Erhebung von Strafanzeigen erforderlich sein.
Die wichtigsten Schritte in einem Incident Response Plan
Die Nachwirkungen eines Cyberangriffs bedeuten für alle Beteiligten eine stressige und arbeitsreiche Zeit. Mit einem Incident Response Plan und einem Disaster Recovery Plan, in dem alle notwendigen Schritte festgelegt sind, können Fehler vermieden werden. Aber nicht jedes Unternehmen hat einen Plan, wenn zu einer Datenverletzung kommt. Das SANS Institute beschreibt sechs wichtige Schritte, die einen allgemeinen Überblick über den Ablauf einer Reaktion geben. Die folgenden sechs Schritte sollten in einem Incident Response Plan enthalten sein:
- Vorbereitung: Zur Vorbereitung gehört eine Dokumentation, aus der hervorgeht, wer an der Incident Response beteiligt ist, welche Schritte für den Zugriff auf das System erforderlich sind und wer für die Genehmigungen zuständig ist. Auch die für die Reaktion erforderlichen Hilfsmittel werden dokumentiert.
- Identifizierung: Um festzustellen, dass ein Vorfall aufgetreten ist, ist eine angemessene Überwachung und Analyse erforderlich. Zur Identifizierung des Vorfalls gehört dann die Untersuchung von Protokollen, Prüfpfaden, Fehlern, Authentifizierungsinformationen und Firewall-Berichten.
- Eindämmung: Die schnelle Eindämmung eines Angriffs ist entscheidend. Ein gutes Incident Response Team verhindert, dass die Bedrohung weiter fortbesteht. Es ist nicht ungewöhnlich, dass ein hartnäckiger Angreifer mehrere Hintertüren einbaut, für den Fall dass der Angriff entdeckt wird. Je früher die Bedrohung erkannt wird, desto effektiver ist die Eindämmung und desto unwahrscheinlicher ist es, dass der Angreifer weitere Hintertüren schaffen kann.
- Beseitigung: Durch die Beseitigung wird eine Bedrohung vollständig entfernt. Eine schnelle Eindämmung und Beseitigung verringern das Ausmaß von Schäden und Datendiebstahl. Die Beseitigung ist ein heikles Verfahren: Die Bedrohung muss entfernt werden, aber um die Produktivität des Unternehmens zu gewährleisten, darf die Arbeitsumgebung dabei nicht beschädigt werden.
- Wiederherstellung: Nachdem die Bedrohung beseitigt ist, muss das Unternehmen möglicherweise Daten wiederherstellen und Änderungen am System vornehmen, um es wieder in den ursprünglichen Zustand zu versetzen. Dieser Schritt kann bei großen Änderungen, wie der Wiederherstellung von Daten nach deren Zerstörung, viel Zeit in Anspruch nehmen. Nach Cybersicherheitsvorfällen können Tests erforderlich sein, um sicherzustellen, dass die Arbeitsumgebung die Schwachstelle nicht mehr enthält.
- Gelernte Lektionen: Wenn nicht überprüft wird, was schiefgelaufen ist, werden in Zukunft wahrscheinlich die gleichen Fehler gemacht. Die gewonnenen Erkenntnisse sind eine Gelegenheit, darüber nachzudenken, was während der Incident Response besser gemacht werden könnte und welche Änderungen vorgenommen werden sollten, damit derselbe Angriff nicht noch einmal erfolgreich sein kann.
Prävention von Vorfällen
Im Idealfall wird ein Unternehmen nie mit einem Cybersicherheitsvorfall konfrontiert. Zwar ist keine Cyberabwehr zu 100 % sicher, aber Unternehmen können die notwendigen Vorkehrungen treffen, um zu vermeiden, dass sie zum Opfer werden. Alle Administratoren kennen die Grundlagen: Eine Firewall schützt vor Datenverkehr von außen, Identitätsmanagement und Zugriffskontrollen werden eingesetzt, und die physische Sicherheit schützt die Assets. Was einige Administratoren nicht implementieren, ist eine kontinuierliche Überwachung und Intrusion Detection.
Netzwerk-Überwachung, Cloud-Überwachung und Intrusion Detection alarmieren die Administratoren bei einem potenziellen Angriff. Um Fehlalarme zu vermeiden, wird die Meldung in der Regel an einen Analysten zur weiteren Prüfung weitergeleitet. Zu viele Fehlalarme können die Analysten ermüden (sogenannte Alert Fatigue), so dass eine potenzielle echte Bedrohung vor lauter Fehlalarmen übersehen werden könnte. Die Überwachung sollte daher so präzise wie möglich sein, damit die Analysten möglichst schnell auf einen Vorfall reagieren können.
Werkzeuge zur Intrusion Detection sind eine Komponente der Überwachung. Überwachungs-Tools protokollieren Vorfälle, und die Intrusion Detection mit künstlicher Intelligenz bestimmt, ob ein Angriff stattfindet. Bei einem kontinuierlichen Eindringen können Angreifer monatelang Zugriff auf das Netzwerk haben. Deshalb ist es wichtig, alle sensiblen Daten anhand von Benchmark-Zugriffsanfragen und ungewöhnlichen Autorisierungsversuchen ständig zu überwachen.
Auch wenn die richtigen Präventionsmaßnahmen getroffen wurden, sollten Unternehmen ihren Incident Response Plan jedes Jahr überprüfen, um sicherzustellen, dass er genaue Unterlagen und Informationen enthält. Ein Notfallplan ist entscheidend für den Erfolg des Unternehmens und kann Millionen an Anwaltskosten, Entschädigungen für Kunden und Datenverluste einsparen.
Proofpoint Threat Response
Threat Response von Proofpoint ermöglicht eine schnelle, automatisierte Reaktion auf Online-Bedrohungen. Sichern Sie jetzt Ihre IT!
Global Threat Report: The Cost of Insider Threats
Informieren Sie sich über die finanziellen Folgen von Insider-Bedrohungen. Laden Sie dazu Ihre Ausgabe des Ponemon Institute-Berichts zu den weltweiten Kosten von Insider-Bedrohungen 2022 herunter.
Was sind Netzwerkbedrohungen?
Der Schutz vor E-Mail-Bedrohungen, die zu Netzwerkbedrohungen führen, ist für viele Unternehmen ein Risiko. Erfahren Sie mehr über Network Threat Protection.
Was ist Malware?
Welche Arten von Malware gibt es, woran erkennen Sie eine Infektion mit Schadsoftware und wie lässt sich Malware entfernen? Erfahren Sie es bei Proofpoint!
Was ist Ransomware?
Erfahren Sie wie Proofpoint Ihrem Unternehmen helfen kann, einen effektiven Schutz gegen Ransomware, Verschlüsselungs-Trojanern und weiteren Bedrohungen aufzubauen.
Was ist ein Botnet?
Botnets sind eine der größten Gefahren für das Internet. Erfahren Sie, wie sie genau funktionieren und wie Sie sich schützen können mit Proofpoint.