COMPAREX wird SoftwareONE. Ab dem 1. April wird die COMPAREX AG ihren Markenauftritt in SoftwareONE ändern. Die Markenkonsolidierung ist Teil eines laufenden Integrationsprozesses im Zuge des Erwerbs der COMPAREX AG durch SoftwareONE.
cyber-incident-resonse-plan

Datensicherheit

So erstellt man einen Cyber Incident Response Plan

So schließen Sie Sicherheitslücken mit einem Incident Response Plan | SoftwareONE Blog

Angesichts der heutzutage immensen wirtschaftlichen Bedeutung von Daten sind Unternehmen gezwungen, alles in ihrer Macht Stehende zu tun, um Datendiebstähle und Sicherheitsvorfälle zu verhindern. Sollte es kriminellen Hacker doch einmal gelingen, auf vertrauliche Daten zuzugreifen, droht dem betroffenen Unternehmen ein enormer finanzieller Schaden und das Risiko eines schweren Imageverlusts.

Viele Fachartikel und Blogbeiträge befassen sich mit der Frage, wie man einen Cyber-Angriff mithilfe von proaktiven Maßnahmen, z.B. Vulnerability Assessments und Penetration Testings, verhindern kann. Doch all diese Ratschläge haben einen gemeinsamen Haken: Selbst wenn Ihr Unternehmen über die schärfsten Sicherheitsmaßnahmen der Welt verfügt, gibt es dennoch niemals einen hundertprozentigen Schutz vor Hacker-Angriffen.

Sollte es in Ihrem Unternehmen einmal zu einem Datendiebstahl oder Sicherheitsvorfall kommen, dann brauchen Sie einen handfesten Notfallplan - und der kann nicht mal eben auf die Schnelle aufgestellt werden. Mit einem Incident Response Plan für Cyber-Angriffe sind Sie in der Lage, frühzeitig Zuständigkeiten festzulegen und Prozesse einzurichten, um Gefahren unmittelbar abzuwenden und die damit verbundenen negativen Folgen möglichst gering zu halten.

In der Welt der Cybersicherheit ist es sinnvoll, immer auf den Worst Case vorbereitet zu sein. Im Folgenden wollen wir Ihnen einige Best Practices vorstellen, mit denen Sie einen wirksamen Cyber Incident Response Plan erstellen können, der Ihnen hilft, Risiken zu minimieren und Ihre IT-Sicherheit deutlich zu verbessern.

Der aktuelle Stand in Sachen Datendiebstahl und Datensicherheitsvorfällen

Datendiebstahl und Datensicherheitsvorfälle gehören in unserem technologiebasierten Arbeitsumfeld heutzutage leider zum Alltag. Laut Risk Based Security wurden im Jahr 2020 weltweit über 36 Milliarden Datensätze infolge von Sicherheitsverstößen entwendet. Dabei ist es nicht immer ganz einfach, die gesamte Vielfalt der aktuellen Gefährdungslage zu überblicken, vor allem weil groß angelegte Datenschutzverletzungen immer seltener vorkommen.

Nicht jeder Datensicherheitsvorfall muss jedoch gleich Datendiebstahl bzw. ein Datenleck sein. Wo genau liegt der Unterschied?

  • Bei einem Datensicherheitsvorfall handelt es sich um Ereignis, das die Integrität, die Geheimhaltung oder die Verfügbarkeit eines Datenbestands gefährdet. Darunter fallen z. B. Social-Engineering-Angriffe, Angriffe auf Webanwendungen oder sonstige Formen von Sicherheitsverletzungen, die - noch - keinen konkreten Schaden verursacht haben.
  • Bei Datendiebstahl bzw. bei einem Datenleck liegt eine Sicherheitslücke vor, über die nichtautorisierte Personen vertrauliche Daten zugreifen können (nicht nur vermeintlich). Zu den Ursachen gehören: Social-Engineering-Angriffe, Angriffe aus Webanwendungen, unbefugtes Eindringen in Systeme, Missbrauch von Zugriffsrechten sowie Fehlverhalten von Anwendern.

Mit anderen Worten: Kriminelle Hacker stehlen nicht zwingend immer Daten, können aber dennoch Schäden in Ihrem Unternehmen anrichten. Hinzu kommt die Tatsache, dass ein Datensicherheitsvorfall, auf den nicht zeitnah und entsprechend reagiert wird, schnell zu einem Datenleck werden kann. Wenn Sie beispielsweise eine Schwachstelle in der API Ihrer Website bemerken, dann kann es sein, dass ein krimineller Hacker genau in diesem Moment einen Angriff vorbereitet – höchste Zeit also, schnell zu handeln, um ernsthafte Konsequenzen zu vermeiden.

Was kostet Sie ein Datendiebstahl?

Die direkten Kosten eines Datendiebstahls oder eines Datenlecks lassen sich oft nur schwer berechnen. Während Ihr Unternehmen direkte Kosten zu tragen hat, wie z. B. die Zahlung eines Lösegelds, um den Zugang zu Ihren Daten wiederzuerlangen, müssen Sie auch indirekte Kosten berücksichtigen, wie z. B. die Personalkosten im Rahmen des Krisenmanagements.

Der Bericht „2020 Cost of a Data Breach“ zeigt folgendes:

  • Die durchschnittlichen Gesamtkosten einer Datensicherheitslücke liegen bei 3,86 Millionen US-Dollar.
  • Die durchschnittlichen Kosten für Datenlecks aufgrund von Cloud-Fehlkonfigurationen liegen bei 4,41 Millionen US-Dollar.
  • Unternehmen, die Incident Response Teams eingerichtet und erfolgreich getestet haben, erlitten im Durchschnitt nur Verluste in Höhe von 2 Millionen Dollar.

Mit anderen Worten: Der finanzielle Aufwand, der mit der Einrichtung und dem Testen eines Incident-Response-Programms und -Teams verbunden ist, lohnt sich!

Wie erstellt man einen Incident Response Plan?

Mit einem Incident Response Plan kann Ihr Unternehmen viel Geld sparen, denn er enthält eine Reihe klar definierter Prozesse, die Ihr IT-Sicherheitsteam befolgen kann, sobald es einen Vorfall entdeckt. Diese Prozesse verkürzen die Zeit, die Ihr Team benötigt, um einen potenziellen Angreifer zu identifizieren, zu kontrollieren, einzudämmen und aus Ihren Systemen, Netzwerken und Anwendungen auszuschließen. Durch die Festlegung und Einübung eines Incident Response Plans werden auch Sicherheitslücken sichtbar, die noch vor einem echten Sicherheitsvorfall behoben werden können.

Je schneller Ihr Unternehmen einem Sicherheitsvorfall begegnen und ihn entschärfen kann, desto besser sind Sie in der Lage, mit einem potenziellen Hacker-Angriff umzugehen. Daher ist es enorm wichtig, proaktiv einen umfassenden Incident Response Plan zu erstellen. Wenn Sie an einem eigenen Incident Response Plan arbeiten, sollten Sie die folgenden sechs Schritte berücksichtigen.

1. Vorbereitung

Zur Vorbereitung eines Incident Response Plans müssen zunächst kritische Daten, Anwendungen, Benutzer, Netzwerke, Systeme und Geräte identifiziert und kategorisiert werden. Darüber hinaus sollte Ihr Unternehmen neueste Erkenntnisse über Bedrohungen und das gegenwärtige Geschäftsumfeld auswerten, um die Szenarien mit der höchsten Wahrscheinlichkeit für einen Datendiebstahl zu ermitteln.

2. Identifikation

In diesem Schritt geht es darum, das durchschnittliche Nutzerverhalten in einer Umgebung zu verstehen, und nicht darum, Warnmeldungen bei außergewöhnlichem Verhalten auszulösen. So kann beispielsweise eine Warnung für einen Datendiebstahl darauf basieren, wie oft jemand versucht, sich bei einem Konto anzumelden und es nicht schafft. Das schwierigste am Identifikationsprozess ist es, Warnhinweise richtig zu definieren. Wenn das ungewöhnliche Verhalten zu weit gefasst ist, verbringt Ihr Sicherheitsteam möglicherweise zu viel Zeit mit falschen Warnmeldungen - oder es beginnt, Warnmeldungen ganz zu ignorieren. Andererseits kann eine zu eng gefasste Definition von Warnmeldungen dazu führen, dass verdächtige oder riskante Aktivitäten übersehen werden.

3. Eindämmung

In diesem Schritt soll die potenzielle Gefährdung isoliert und der Angreifer daran gehindert werden, sich in Ihren Netzen und Systemen zu bewegen. Kurzfristig kann dies bedeuten, ein Netzwerksegment zu isolieren oder ein System abzuschalten. Langfristig kann dies das Löschen von Konten oder das Aufspielen eines Sicherheitspatches bedeuten.

4. Eliminierung

Unter Eliminierung versteht man die Beseitigung aller Elemente, die der böswillige Akteur für den Angriff verwendet hat. Dies kann zum Beispiel bedeuten, dass Malware oder infizierte Dateien, die Teil des Angriffs waren, sicher entfernt werden.

5. Wiederherstellung

In dieser Phase versetzt das Incident Response Team die betroffenen Netzwerke, Systeme, Konten und Anwendungen in den Zustand vor dem Angriff zurück. Dies kann bedeuten, dass ein früherer Sicherungspunkt wiederhergestellt wird und die Systeme validiert werden, um sicherzustellen, dass die von den Angreifern genutzte Schwachstelle behoben ist.

6. Lessons Learned

Diese Phase ist wahrscheinlich der wichtigste Teil des Incident-Response-Prozesses. In der Phase "Lessons Learned" wird nach der Wiederherstellung des Systems besprochen, was funktioniert hat, was nicht funktioniert hat und was für die Zukunft verbessert werden kann. Dieser entscheidende Schritt wird Ihnen helfen, einen immer leistungsfähigeren und dauerhaften Response-Plan zu entwickeln.

Best Practices für Ihren Incident Response Plan

Die Erstellung eines Incident Response Plans kann sich als ziemlich schwierig erweisen. Wenn Sie sich jedoch an einige bewährte Verfahren halten, um einen soliden Plan zu erstellen, sind Sie auf dem richtigen Weg. Hier ein paar Tipps.

Erfinden Sie das Rad nicht neu

So wie Datensicherheitsverletzungen nichts Neues sind, so sind auch Incident Response-Pläne keine Neuerfindung. Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichen viele grundlegende Best Practices für die Erstellung eines Incident Response Plans. Auch in Online-Foren, in denen sich Sicherheitsexperten austauschen, können Sie sich über interessante, konkrete Best Practices informieren. Dies wird Ihnen helfen, eine solide Grundlage für Ihren eigenen Plan zu schaffen.

Bestimmen Sie, welche Daten am wichtigsten sind

Nicht alle Daten sind gleich - Ihr Incident Response Plan muss sensible Daten vorrangig behandeln. Beraten Sie sich zunächst mit mehreren Teams in Ihrem Unternehmen über deren wichtigste Datenbestände. So sollten beispielsweise Dokumente mit geistigem Eigentum oder hochsensible Kundendaten oberste Priorität haben. Sobald Sie sich darauf geeinigt haben, was sensible Daten sind, sollten Sie eine Risikobewertung für alle Arten von Daten vornehmen. Auf diese Weise können Sie die Prioritäten für den Schutz der Daten im Notfall festlegen.

Sorgen Sie dafür, dass Ihr Incident Response Plan leicht umsetzbar ist

Alle Mitarbeiter müssen ihre Aufgaben und Verantwortlichkeiten im Rahmen des Incident Response Plans kennen und über die notwendigen Fähigkeiten und Hilfsmittel verfügen, um sie zu erfüllen. Wenn Ihre Mitarbeiter dieser Verantwortung nicht gewachsen sind, sollten Sie einen Dritten hinzuziehen, um Ihre Daten so sicher wie möglich zu machen.

Abschließende Überlegungen

Die Sicherstellung erstklassiger Cybersecurity-Prozesse in Ihrem Unternehmen kann zu einem nicht enden wollenden Ausdauerrennen werden. Bedrohungen entwickeln sich ständig weiter und damit Schritt zu halten, erfordert viel Zeit, Energie und Geld - und das gilt umso mehr, wenn Ihr Unternehmen bereits Opfer eines Datendiebstahls oder einer Sicherheitsverletzung geworden ist.

Viele Unternehmen würden es vorziehen, wenn sich ihr IT-Team auf die Weiterentwicklung ihrer Cybersecurity-Ansätze konzentrieren könnte, anstatt Zeit und Ressourcen auf Untersuchungen und Reaktionsmöglichkeiten zu verwenden. Zum Glück gibt es hierfür eine Lösung unter den Managed Security Services von SoftwareONE: den Cyber Incident Response Service.

Wir arbeiten eng mit Ihrem Team zusammen, um einen Response-Plan zu erstellen, Ihr Netzwerk zu überwachen und Ihr Unternehmen vor Sicherheitsbedrohungen zu schützen, sobald diese auftreten. In der Zwischenzeit können sich Ihre IT- und Cybersecurity-Teams auf die Entwicklung größerer Projekte zum Schutz Ihres gesamten Netzwerks konzentrieren, während der Rest des Unternehmens wie gewohnt weiterarbeiten kann. Mit dem Cyber Incident Response Service ergreifen Sie die notwendigen proaktiven Maßnahmen, um kostspielige Ausfallzeiten zu verhindern, die Produktivität zu steigern und Ihre Kunden zu begeistern.

Datendiebstahl: Sind Sie bereit, sich zu wehren?

Unsere Cyber Incident Response Services erledigen alle notwendigen Aufgaben, damit Ihr Unternehmen für den Ernstfall gerüstet ist.

Fragen Sie nach unseren Cyber Incident Response Services

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Ivan Vukadin

Solution Specialist - Business Network & Security

Verwandte Artikel

network-security-assessment
  • 26 November 2021
  • SoftwareONE Redaktionsteam
  • Cybersecurity
  • Security

Angriffe auf Netzwerkebene identifizieren und ausschalten

Untersuchen Sie regelmäßig Ihr komplettes Netzwerk auf Anzeichen von Bedrohungen, um mit den richtigen Maßnahmen für mehr Sicherheit zu sorgen.

ransomware-leitfaden-veritas

Ransomware ganz einfach abwehren

In diesem Leitfaden erfahren Sie, wie Sie sich mit NetBackup und 3 einfachen Schritten erfolgreich und nachhaltig vor Ransomware schützen können.

multilayer-edr-einfach-erklaert

Multilayer-EDR einfach erklärt

Was hat es mit dem Trend zu MultiLayer-EDR bzw. XDR Lösungen auf sich? Unser Experte erklärt, warum das die Zukunft ist.