Incident Response, auch als „Reaktion auf Cybersecurity-Vorfälle“ bezeichnet, umfasst die strategischen Prozesse und Technologien, die ein Unternehmen einsetzt, um Cyberbedrohungen oder Sicherheitsverletzungen zu erkennen und einzudämmen. Das Ziel ist es, die Auswirkungen von Cyber-Angriffen auf den Geschäftsbetrieb zu minimieren und die Kosten, die durch solche Angriffe entstehen können, zu reduzieren.
Incidence Response umfasst dabei nicht ausschließlich technologische Aspekte. Insbesondere in großen Unternehmen sind ein Incident Response Team,
wie auch eine Vielzahl von organisatorischen Maßnahmen erforderlich. Sowohl technische, als auch nicht-technische Schritte werden gemäß eines festgelegten und verbindlichen Incident Response Plans unternommen. Dieser Plan enthält klare Anweisungen und Richtlinien. Er ermöglicht so eine eindeutige Aufgabenverteilung und präzise Verantwortlichkeiten. Durch einen gut durchdachten Plan können Cyber-Security-Teams Bedrohungen schneller erkennen, betroffene Systeme zügig wiederherstellen und finanzielle Verluste, Strafen und andere Kosten, die mit solchen Bedrohungen verbunden sind, minimieren.
1. Schlüsselelemente eines wirksamen Incident Response Plans
Die Erstellung eines umfassenden und detaillierten Incident Response-Plans ist entscheidend, um im Ernstfall effektiv reagieren zu können. Die meisten Incident Response-Pläne orientieren sich an einem Rahmen, der vom National Institute of Standards and Technology (NIST) entwickelt wurde und folgende 3 Aspekte definiert (1) :
-
Computer Security Incident Response-Team (CSIRT): Welche Rollen und Verantwortlichkeiten kommen den beteiligten Personen zu?
-
Incident Management-Prozess: Wie wird in einem Notfall vorgegangen?
-
Incident Kommunikation: Wie werden Informationen kommuniziert und geteilt?
Dabei ist es durchaus üblich, dass verschiedene Pläne für verschiedene Arten von Vorfällen, wie Ransomware, DDoS-Angriffe, Malware oder Phishing erstellt werden, da jede Art von Vorfall eine spezifische Reaktion erfordert. Fast die Hälfte der Unternehmen hat auch Pläne zur Bekämpfung von Insider-Bedrohungen. (2)
1.1. Computer Security Incident Response-Team (CSIRT)
Das Computer Security Incident Response-Team (CSIRT) ist verantwortlich für die Erstellung und Durchführung des Incident Response Plans. Das Team kann sich aus Mitarbeitern des gesamten Unternehmens zusammensetzen. Beispielsweise dem Chief Information Security Officer (CISO) oder Mitarbeitern aus IT, Geschäftsleitung, Rechts-und Compliance-Abteilung. Dabei gibt es verschiedene Rollen innerhalb eines CSIRT, darunter Teamleiter, Analysten, Forensiker und Kommunikationsbeauftragte.
Die Hauptaufgaben eines CSIRT umfassen die Überwachung von Sicherheitsereignissen, Untersuchung von Vorfällen, Bewertung von Bedrohungen, Erstellung von Reaktionsplänen, Koordination von Maßnahmen zur Schadensbegrenzung und Wiederherstellung, Kommunikation mit internen und externen Stakeholdern sowie die kontinuierliche Verbesserung der Sicherheitsmaßnahmen.
1.2. Incident Management-Prozess
Für den Incident Management-Prozess empfiehlt das Institute folgende 6 Schritte
- 1. Vorbereitung: Dieser Schritt beinhaltet die Erstellung einer verbindlichen Sicherheitsrichtlinie, eine Risikobewertung sowie die Bildung des Incident-Response-Teams.
- 2. Identifizierung und Analyse: Im zweiten Schritt sollen IT-Systeme kontinuierlich überwacht werden, um Abweichungen vom Normalbetrieb erkennen zu können. Falls es zu einer Abweichung kommt, muss geprüft werden, ob es sich dabei um tatsächliche Sicherheitsvorfälle handelt.
- 3. Eindämmung: Handelt es sich um einen Sicherheitsfall, soll in diesem Schritt eine vorläufige Eindämmung, beispielsweise durch die Isolierung angegriffener Systeme oder Netzwerksegmente erfolgen. Danach konzentriert man sich auf langfristige Eindämmungsmaßnahmen. Diese können auch vorübergehende Korrekturen beinhalten, damit der produktive Betrieb während der Maßnahmen aufrechterhalten werden kann.
- 4. Bereinigung: Im 4. Schritt sollen die schadhaften Elemente von allen betroffenen Systemen entfernt und der Ursprung des Angriffs ermittelt werden. Zudem gilt es jetzt Maßnahmen zu ergreifen, um ähnliche Angriffe in Zukunft zu verhindern.
- 5. Wiederherstellung: Nach der Bereinigung werden die betroffenen Produktionssysteme behutsam wieder in Betrieb genommen. Die betroffenen Systeme werden getestet, verifiziert und überwacht, um sicherzustellen, dass sie wieder normal funktionieren.
- 6. Dokumentieren und lernen: Informationen über die Sicherheitsverletzung müssen in jeder Phase des Prozesses gesammelt und dokumentiert werden. Das CSIRT sollte alle Schritte aufzeichnen, die zur Eindämmung und Behebung der Bedrohung unternommen werden. Anhand der Dokumente muss das Team spätestens in diesem letzten Schritt versuchen, die Ursache des Angriffs herauszufinden und mögliche Schwachstellen zu beheben, um ähnliche Vorfälle in Zukunft zu verhindern.
Zudem sollte man jetzt Budgets überprüfen und nach Möglichkeiten suchen, wie man die Systeme, Tools und Prozesse der Incident Response gegen künftige Angriffe verbessern kann. In manchen Fällen, wenn z.B. eine Straftat vermutet wird, können auch Ermittlungsbehörden in die anschließende Untersuchung einbezogen werden.
Ziel dieses letzten Schrittes ist es, Lehren aus dem Vorfall zu ziehen und sich noch besser auf zukünftige Vorfälle vorzubereiten.
1.3. Incident Kommunikation
Ein wichtiger Aspekt des Incident-Response-Plans ist die Kommunikation. Unternehmen sollten einen klaren Kommunikationsplan entwickeln, um alle relevanten Stakeholder über den Vorfall zu informieren. Dies umfasst sowohl die interne Kommunikation z.B. an Mitarbeiter und Geschäftsführung als auch die externe Kommunikation mit Kunden, Partnern, Strafverfolgungsbehörden und der Öffentlichkeit.
2. Incident Response Tools und Technologien
Ein Incident Response-Plan umfasst, neben den erwähnten Informationen zum Team und zu den Prozessen, auch konkrete Sicherheitslösungen, die im gesamten Unternehmen implementiert werden müssen. Diese Werkzeuge sollen die effektive Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle unterstützen. Folgende Tools und Technologien zählen zu den gängigen und wichtigen für Incident Response.
2.1. Security Information and Event Management (SIEM)
SIEM-Tools, wie z.B. von Splunk, ermöglichen die zentrale Erfassung, Analyse und Korrelation von Sicherheitsereignissen aus verschiedenen Quellen. Durch die Aggregation von Protokolldaten aus Netzwerkgeräten, Anwendungen und Endpunkten können SIEM-Tools verdächtige Aktivitäten identifizieren und Alarme auslösen. Sie bieten auch Funktionen zur Datenvisualisierung und -berichterstattung, um den Incident Response-Teams eine umfassende Übersicht über die Sicherheitslage zu geben. (3)
2.2. Intrusion Detection/Prevention Systems (IDS/IPS)
IDS/IPS-Systeme überwachen den Netzwerkverkehr auf verdächtige Aktivitäten oder Angriffssignaturen. Sie können Angriffe erkennen und automatisch entsprechende Maßnahmen ergreifen, um sie zu blockieren oder einzudämmen. IDS/IPS-Tools können in Echtzeit Warnmeldungen generieren und somit eine schnelle Reaktion auf potenzielle Bedrohungen ermöglichen. Bekannte IDS/IPS-Tools sind Zeek oder Snort. (4)
2.3. Forensische Tools
Forensische Tools spielen eine wichtige Rolle bei der Erfassung und Analyse von digitalen Beweisen während eines Sicherheitsvorfalls. Sie helfen bei der Wiederherstellung von gelöschten Dateien, der Untersuchung von Angriffsspuren und der Identifizierung von Tätern. Forensische Tools unterstützen die Incident Response-Teams bei der Sammlung von Informationen, um die Ursache eines Vorfalls zu ermitteln und geeignete Gegenmaßnahmen zu ergreifen.Vom SANS Institute gibt es z.B. das kostenlose Open-Source-Tool Investigative Forensics Toolkit (SIFT).
2.4. Threat Intelligence-Plattformen
Threat Intelligence-Plattformen, wie das von Recorded Future, liefern kontinuierlich aktualisierte Informationen über aktuelle Bedrohungen, Angriffsmuster und Taktiken von Angreifern. Sie helfen Unternehmen dabei, frühzeitig potenzielle Bedrohungen zu erkennen und Maßnahmen zu ergreifen, um sich dagegen zu schützen. Durch die Integration von Threat Intelligence in den Incident Response-Prozess können Unternehmen ihre Reaktion auf Sicherheitsvorfälle verbessern und schneller handeln.
2.5. Automatisierung und Orchestrierung
Durch den Einsatz von Tools und Technologien, die wiederkehrende Aufgaben automatisieren und Workflows orchestrieren, können Incident Response-Teams ihre Ressourcen effektiver nutzen und schnell auf Vorfälle reagieren.
Nicht vergessen
Die richtige Auswahl und Implementierung dieser Tools und Technologien sollte sorgfältig erfolgen, um den spezifischen Anforderungen und Gegebenheiten des Unternehmens gerecht zu werden. Wenn das der Fall ist, können Unternehmen ihre Incident Response-Kapazitäten damit deutlich verbessern und die Auswirkungen von Sicherheitsvorfällen minimieren. Es empfiehlt sich jedoch immer eine Kombination aus bewährten Verfahren, qualifizierten Mitarbeitern und geeigneten Incident Response-Tools und Technologien.
3. Incident Response in der Software-Entwicklung
In der heutigen Zeit sind insbesondere Software-Schwachstellen ein beliebtes Angriffsziel von Cyberkriminellen. Daher ist es nicht nur wichtig, dass Unternehmen einen Incident-Response-Plan entwickeln, um im Notfall schnell und effektiv reagieren zu können.
Sicherheit muss von Anfang an also bereits in den Design- und Entwicklungsphasen der Software-Entwicklung von den Anbietern priorisiert werden, um solche Vorfälle von vornherein zu verhindern. Die Integration etablierter Frameworks hilft Software-Entwickler dabei. Indem Unternehmen mit einem vertrauenswürdigen Software-Anbieter zusammenarbeiten, reduzieren sie schließlich auch ihre Risiko.
4. Fazit
Incident Response befähigt Unternehmen Cyberbedrohungen frühzeitig zu erkennen, schnell darauf zu reagieren und einzudämmen, um die Auswirkungen und Kosten der Angriffe zu minimieren. Ein effektiver Incident Response-Plan umfasst die Prozesse, Rollen, Verantwortlichkeiten, Kommunikationswege und den Einsatz geeigneter Tools. Unternehmen sollten auf bewährte Verfahren setzen und qualifizierte Experten einbinden.