top of page
Suche

Datenpanne! Wie gut sind Sie vorbereitet?

  • FOCAI
  • 16. Mai 2024
  • 7 Min. Lesezeit

Würden Sie wissen, was zu tun ist, wenn Sie angegriffen werden? Ein wirksamer Plan zur Reaktion auf einen Vorfall und ein gut vorbereitetes Team sind für jedes Unternehmen, das einen Angriff überleben will, unerlässlich.


Die Systeme sind ungewöhnlich langsam, oder Sie können nicht auf Ressourcen zugreifen, die Sie normalerweise nutzen können? Ein Firmenlaptop ist verschwunden, oder ein Kunde ruft an und befürchtet Identitätsdiebstahl? Pop-ups und umgeleitete Websites beim Surfen? Gesperrte Konten? Dies können Anzeichen dafür sein, dass Sie angegriffen wurden oder sogar eine Datenschutzverletzung erlitten haben, was also tun?


Idealerweise sollten Sie zunächst nicht in Panik verfallen, sondern sofort Ihr Reaktionsteam zusammenstellen und einen Reaktionsplan aufstellen. Leider hat eine kürzlich vom Ponemon Institute durchgeführte weltweite Umfrage ergeben, dass:

  • 39% der KMUs haben keinen Plan für die Reaktion auf Zwischenfälle


So lautet ein Bericht der Versicherungsgesellschaft Hiscox:

  • 65% der kleinen Unternehmen haben nach einem Cybersicherheitsvorfall nicht gehandelt


Dies sind schockierende Zahlen, wenn man bedenkt, dass ein wirksamer Plan für die Reaktion auf einen Vorfall und die entsprechenden Maßnahmen darüber entscheiden, wie schnell - wenn überhaupt - sich ein Unternehmen von einer Sicherheitsverletzung erholen kann. Je früher ein Unternehmen erkennt, dass es kompromittiert wurde, und etwas dagegen unternimmt, desto größer sind die Chancen, dass es die Auswirkungen begrenzen und überleben kann.



Incident Response Management

Beim sogannte Incident Response Management (Verwaltung der Reaktion auf Vorfälle) geht es darum, dass ein entsprechend qualifiziertes Team mit einem gut eingeübten Plan zur effizienten Bewältigung aller Vorfälle, die sich nachteilig auf das Unternehmen auswirken könnten, vorhanden ist. Wie bereit und vorbereitet ist Ihr Unternehmen, wenn es Anzeichen dafür gibt, dass Ihre Systeme und Schutzmechanismen beeinträchtigt wurden?


It's important for us to make sure we're on the same page with terminology.

  • Event: Any observable occurence in a system or network. Adverse events are those with a negative consequence such as system crashes, DDoS, unauthorised use of system privileges, unauthorised access to sensitive data, and execution of malware that destroys data.

  • Incident: A violation or imminent threat of violation of security policies, acceptable use policies, or standard security practices that has significant potential to lead to: Negative impact on the company's reputation; Inappropriate access to personal data, customer data, research data; Loss of intellectual property or funds.

  • Breach: a security breach in which sensitivem protected or confidential data is copied, transmitted, viewed, stolen or used by an individual unauthorised to do so.




FOCAI: 5 steps to incident management

5 Schritte

Incident Response Management:


  1. PLAN (Planen)

  2. PREPARE (Vorbereiten)

  3. DETECT (Entdecken)

  4. RESPOND (Reagieren)

  5. RECOVER (Wiederherstellen)


Es mag offensichtlich erscheinen, aber damit Ihr Unternehmen in der Lage ist, wirksam auf einen Vorfall zu reagieren, sind Planung, Vorbereitung und Übung erforderlich.







Schritt 1. Planen

Ein wirksamer Plan zur Reaktion auf einen Vorfall enthält klare Anweisungen, die den Mitarbeitern helfen, einen Sicherheitsvorfall wie Cyberkriminalität, Datenverlust oder Serviceausfälle, die den normalen Betrieb eines Unternehmens bedrohen, zu erkennen, darauf zu reagieren und sich davon zu erholen. Die Hauptziele eines Vorfallsreaktionsplans sind:

  • die Zeit bis zur Entdeckung eines Vorfalls zu verkürzen

  • die Zeit bis zur Eindämmung eines Vorfalls zu verkürzen (und damit die möglichen Auswirkungen zu begrenzen)

  • Beschleunigung der Wiederherstellung.


Unsere ersten Schritte sind:


Identifizierung kritischer Werte. Bestimmen Sie die kritischen Vermögenswerte des Unternehmens (Menschen, Systeme und Daten). Legen Sie die Prioritäten nach den Auswirkungen auf das Unternehmen fest, wenn der Vermögenswert verloren geht oder gefährdet ist.


Identifizierung und Bewertung von Bedrohungen und Maßnahmen. Verfügen Sie über geeignete Maßnahmen, um den unbefugten Zugang zu den Ressourcen zu verhindern und die Vertraulichkeit und Integrität dieser Ressourcen sowie ihre Verfügbarkeit für befugte Personen zu gewährleisten?





Schritt 2. Vorbeireiten

Unternehmen mit kleinen Sicherheitsbudgets sind in der Regel ein leichtes Ziel. Dennoch haben sich kleine Unternehmen der Selbstgefälligkeit schuldig gemacht und fälschlicherweise geglaubt, sie seien zu klein und unbedeutend, um ein Ziel zu sein, zumal größere Unternehmen mit ihren Schätzen an geschäftlichen und persönlichen Daten ein viel natürlicheres Ziel für Angreifer darstellen. Wie ein Bericht von Ponemon zeigt, müssen viele jedoch schmerzlich feststellen, dass sie sich geirrt haben: 66 % der kleinen und mittleren Unternehmen weltweit (mit einer Mitarbeiterzahl von <100 bis 1000) wurden im ersten Halbjahr 2019 angegriffen.Dies war ein deutlicher Anstieg gegenüber den Zahlen von 2018, und es wird erwartet, dass die Aussichten für 2020 erneut steigen werden.


Unternehmen sollten sich darauf vorbereiten, WANN ein Angriff kommt. Es geht nicht mehr um das WENN. Um sich darauf vorzubereiten, müssen Unternehmen über Prozesse verfügen, die die Bemühungen eines handverlesenen Teams orchestrieren, das nach demselben Plan arbeitet.


Aufbau von Prozessen zur Reaktion auf Vorfälle. Von dem Moment an, in dem das Unternehmen auf verdächtiges oder ungewöhnliches Verhalten aufmerksam gemacht wird, bis zur Eskalation usw.


Zusammenstellung eines Incident Response Team (IRT) eines Vorfall-Reaktionsteams. Dazu gehören in der Regel Mitarbeiter aus den folgenden Bereichen: Rechtsabteilung, Management, technisches Management, Personalabteilung, Marketing/PR, Risikomanagement, Geschäftsleitung, Geschäftskontinuitätsplanung und ein Projektmanager.


Formalisieren Sie einen Incident Response Plan einen Plan für die Reaktion auf einen Vorfall und stellen Sie sicher, dass alle Mitarbeiter auf allen Ebenen des Unternehmens ihre Aufgaben verstehen.


Stellen Sie sicher, dass der Reaktionsplan für den Vorfall Folgendes enthält:

  • Auflistung und Festlegung der Rollen und Zuständigkeiten für die Mitglieder des Notfallteams.

  • Einen Plan zur Aufrechterhaltung des Geschäftsbetriebs enthalten.

  • Zusammenfassung der erforderlichen Werkzeuge, Technologien und physischen Ressourcen.

  • Auflistung aller kritischen Netzwerk- und Datenwiederherstellungsprozesse.

  • Erstellen Sie einen Kommunikationsplan für interne und externe Zielgruppen.


Um sicherzustellen, dass dies zu einer wirksamen Reaktion führt, muss dieser Plan vom Incident Response Team gut geübt werden. Mit jeder Übung können Lücken und Engpässe in den Prozessen erkannt und behoben werden. Es wird schwierige Entscheidungen geben, die zeitnah getroffen werden müssen, und es ist wichtig, dass die Leitung über die richtigen Befugnisse verfügt (oder zumindest in der Lage ist, schnell eine Genehmigung zu erhalten).


Schritt 3. Entdecken

Einige werden sagen, dass die Erkennung wichtiger geworden ist als die Vorbeugung, da Angreifer trotz der riesigen Sicherheitsbudgets und der unzähligen Tools, die sie zur Vorbeugung einsetzen, immer wieder in die Verteidigungsanlagen größerer Unternehmen eindringen.


Mit dem richtigen Ansatz können kleinere Unternehmen jedoch besser vorbereitet sein als viele größere Unternehmen, da sie flexibler und schneller reagieren können. Präventionstechnologien sind von grundlegender Bedeutung, und es ist die sicherheitsbewusste Kultur, die es kleineren Unternehmen ermöglicht, Bedrohungen schneller zu erkennen und darauf zu reagieren.


Vorfälle erkennen.

Es gibt 3 Hauptquellen für Hinweise auf einen möglichen Vorfall:

  • Endnutzer (Mitarbeiter oder Kunden), die auf verdächtige Aktivitäten oder abnormales Systemverhalten hinweisen;

  • Externe Parteien wie Partner oder Lieferanten, die warnen, dass sie angegriffen wurden oder vermuten, dass Sie angegriffen wurden;

  • Systemwarnungen, die auf Anomalien im Systemverhalten hinweisen. Ohne ein vollwertiges Security Operations Center (SOC), das rund um die Uhr und an 365 Tagen in der Woche für die Sicherheitsüberwachung und -reaktion zuständig ist, sind kleinere Unternehmen darauf angewiesen, dass ihre Mitarbeiter sie über verdächtige Verhaltensweisen informieren.


Jedes Unternehmen ist anders und hat eigene Herausforderungen und eine eigene Risikobereitschaft. Die Sicherheitslage eines Unternehmens (einschließlich der getroffenen Sicherheitsmaßnahmen und des akzeptablen Risikoniveaus) muss individuell profiliert und definiert werden. Abhängig davon kann es sich lohnen, einen verwalteten Sicherheitsdienst oder bestimmte Technologien wie Endpoint Detection and Response (EDR) sowie Honeypot-/Täuschungstechnologien in Betracht zu ziehen. Schulungsprogramme zur Entwicklung und Verstärkung des Sicherheitsverhaltens Ihrer Mitarbeiter sind jedoch von entscheidender Bedeutung, da sie quasi die menschliche Firewall Ihres Unternehmens darstellen (wenn etwas verdächtig ist - melden Sie es).




Schritt 4. Reagieren

Dies ist der Schritt, der für den Ausgang des Angriffs ausschlaggebend ist.

Untersuchen und reagieren.

Ergreifen Sie sofort Maßnahmen, auch wenn Sie die Ursache der Sicherheitsverletzung oder den gesamten Schaden noch nicht kennen. Es ist an der Zeit, den Betrieb zu sichern und Schwachstellen zu beheben.


Der unmittelbare Fokus sollte darauf liegen, die Bereiche zu identifizieren und zu isolieren, die von dem Angriff betroffen sind. Das Ziel ist es, eine weitere Gefährdung zu verhindern. Rufen Sie Ihr Reaktionsteam zusammen, um den Reaktionsplan umzusetzen. Versuchen Sie, den Umfang des Vorfalls mit den Ihnen zur Verfügung stehenden Ressourcen zu ermitteln, wobei Sie darauf achten sollten, wie viele Personen „eingeweiht“ sind und was kommuniziert wird. Versuchen Sie, nicht alle Systeme vom Netz zu nehmen - dies würde nicht nur Ihre Angreifer alarmieren, sondern könnte auch zu einem größeren Schaden führen.


Wenn Ihre internen Ressourcen begrenzt sind oder die Dritten, auf die Sie sich verlassen, nur über begrenzte Fachkenntnisse/Erfahrungen bei der Untersuchung von Sicherheitsvorfällen verfügen, ist es absolut ratsam, ein externes Team mit Fachkenntnissen in der Forensik und Erfahrung bei der Reaktion auf Sicherheitsverletzungen hinzuzuziehen. Sie werden die Ursache untersuchen, die Auswirkungen verstehen und schließlich das Problem beheben. Seien Sie sich bewusst, dass viele Unternehmen, die IT-Support anbieten und gleichzeitig Wiederverkäufer von Sicherheitsinfrastrukturen sind, in Wirklichkeit sehr wenig Sicherheits-Know-how haben!


Es ist ratsam, auch die Strafverfolgungsbehörden über den Angriff zu informieren. Dies kann Sie rechtlich schützen, Ihnen helfen, Ihre Kunden zu schützen, und den Schaden für Ihren Ruf begrenzen. Denken Sie daran, dass Sie nach der Datenschutz-Grundverordnung verpflichtet sind, die zuständigen Datenschutzbehörden innerhalb von 72 Stunden nach Entdeckung einer Datenschutzverletzung zu informieren. Es ist wichtig, dass jegliche Kommunikation sorgfältig gehandhabt wird.


DSGVO: Die Datenschutz-Grundverordnung legt nicht nur fest, wie personenbezogene Daten geschützt werden müssen, sondern auch, was im Falle einer Datenschutzverletzung zu erwarten ist. In einem solchen Fall hat Ihr Unternehmen als für die Verarbeitung Verantwortlicher, der personenbezogene Daten speichert, mehrere wichtige Pflichten, nicht zuletzt die, den Vorfall innerhalb von 72 Stunden nach Entdeckung der Verletzung an die zuständige Aufsichtsbehörde (Datenschutzbeauftragter) zu melden und möglicherweise auch die betroffenen Personen, deren personenbezogene Daten betroffen sind, zu informieren.



Step 5. Recover


Regain control, recover and learn.

Regaining control requires thorough investigation to be completed. Restoration of backups should only occur once you are certain the system is safe and the backups are fully verified to be trustworthy since attacks can also target backup systems. The larger aim is to be as certain as possible that any recovered situation is safe.


Longer-term the focus is to assess your response to the attack and your overall security posture, using the incident as a learning opportunity for both business and employees alike. The aim here is to make sure you are better prepared to prevent, detect and respond when an attack next occurs.


 
 

STRATEGIE BERATUNG & TRANSFORMATION

FOCAI hilft Unternehmen, ihre Technologie-, Cyber-Sicherheits-, und Unternehmenswachstums- Strategien auf  die nächste Stufe zu heben, indem es Lösungen der nächsten Generation mit Einblicken und Maßnahmen kombiniert.

FOCAI  © 2024

  • LinkedIn
  • Instagram
bottom of page