Cybersecurity konzentriert sich hauptsächlich auf die Prävention. Und das geht am besten durch Lernen aus Vorfällen. Dennoch passiert es Unternehmen immer wieder, dass sie attackiert werden. In einem solchen Fall geht es darum, den Schaden zu minimieren und so viel wie möglich aus den bekannten Erfahrungen zu lernen. Was also ist die ‚best Practise‘?
Mit einem Plan ist viel gewonnen
Einen Plan für die Reaktion auf einen Vorfall (Incident Response, IR) legt das IT-Security-Team die Maßnahmen fest, die im Falle einer Sicherheitsverletzung oder einem Angriff greifen müssen. Folgende Fragestellungen sind die Grundlage für einen IR-Plan:
- Wie schwerwiegend ist der Vorfall?
- Wo befinden sich die kritischen Systeme und wie sind sie zu isolieren?
- Wie und mit wem soll kommuniziert werden?
- Wer ist zu kontaktieren und welche Maßnahmen sind zu ergreifen?
- Was ist mit den Sicherheitskopien?
Dabei sollte ein IR-Plan einfach und überschaubar sein, damit er in einer Situation mit hohem Druck leicht zu befolgen ist. Publikationen wie etwa das Sans Incident Handler’s Handbook oder der Incident Response Guide von Sophos können bei der Planerstellung hilfreich sein.
Um Hilfe bitten
Bevor es nach einem Angriff darum geht, Computer und Systeme wiederherzustellen oder gar ein Lösegeld auszuhandeln, sollten Unternehmen Hilfe anfragen. Die Reaktion auf Angriffe erfordert spezielle Fähigkeiten, und die meisten Unternehmen beschäftigen keine Incident-Response-Spezialisten. Ein Plan sollte daher die Kontaktdaten von IR-Dienstleistern beinhalten. Wenn sich der Angriff gegen Server und Endgeräte richtet, z.B. bei einem Ransomware-Vorfall, sollte zunächst der Anbieter für die Endpoint-Sicherheit kontaktiert werden, insbesondere wenn dieser einen IR-Dienst anbietet. Er verfügt wahrscheinlich über Telemetriedaten der betroffenen Umgebung und hat Zugang zu vorinstallierten Tools wie EDR(Endpoint Detection & Response)/XDR(Extended Detection & Response), mit denen er schnell helfen kann.
Hilfe ausweiten
Zudem ist es ratsam, sich an die örtlichen Strafverfolgungsbehörden zu wenden. Mit hoher Wahrscheinlich ist mit dem Vorfall ein Verbrechen begangen worden, und möglicherweise verfügen die entsprechenden Behörden über hilfreiche Ressourcen. Zudem muss der Vorfall auch bei der Versicherungsgesellschaft für Cybersicherheit angemeldet werden, sofern eine Versicherung besteht. Im Falle einer Zusammenarbeit mit einem Technologieanbieter oder Systemintegrator kann dieser möglicherweise bei der Wiederherstellung helfen, z.B. bei den Backups.