Mit einem Incident Response Playbook präventiv Gefahren eines Cyberangriffs minimieren.

Die Zahl an Cyberangriffen gegen Unternehmen steigt seit Jahren an. Die Angreifer versuchen hierbei, durch verschiedene Strategien an Geld oder Informationen zu kommen. In seltenen Fällen ist ein Angriff auch motivationslos und hat nur das Ziel, blinden Schaden anzurichten. In jedem Fall haben Unternehmen großes Interesse daran, Angriffe abzuwenden. Die Unternehmen, die es hart trifft, sind meist die, die unvorbereitet sind. Vorbereitet zu sein, ist von elementarer Bedeutung, um den Kampf gegen Angreifer für sich zu entscheiden.

Ein nützliches Werkzeug hierfür ist ein korrekt aufgesetztes und geführtes Incident Response Playbook.

Dieses „Playbook“ ist ein konkret definierter Plan, in welchem die Handlungen festgehalten werden, welche bei einem Angriff ablaufen. Somit wird direkte Handlungsfähigkeit und eine klare Aufgabenverteilung garantiert. Beides kann ausschlaggebend sein, um einen Cyberangriff abwehren zu können. Der Incident Response Playbook Plan besteht aus vier Teilen, welche je für unterschiedliche Phasen während der Verteidigung stehen. In jedem Teil stehen die konkreten Antworten auf diverse Fragen, welche während der unvorbereiteten Verteidigung fallen würden. Zudem findet sich in jeder Phase ein prägnanter Katalog an Maßnahmen wieder.

Phase 1: Vorbereitung

Die Verteidigung beginnt weit vor dem Angriff mit der Vorbereitung. Hierbei werden Verantwortlichkeiten festgelegt und Kommunikationswege definiert. Somit müssen folgende Fragen beantwortet werden.

• Wem meldet man eine Auffälligkeit?
• Wem meldet man einen tatsächlichen Angriff?
• Über welches Kommunikationstool wird eine Meldung abgegeben?
• Wer übernimmt die Verantwortung bei einem Vorfall?
• Gibt es Unterschiede in der Kommunikation bzw. Verantwortung je nach Angriffsart und Ausmaß?
• Wer leitet die Maßnahmen ein?
• Welche Security-Tools nutzen wir bei welchem Angriff?

Bereits in der Vorbereitung befinden sich Sofortmaßnahmen, um einen Angriff direkt zu Beginn abwehren zu können. Diese befolgen das simple Credo „Stecker raus“. Fachlich korrekt sprechen wir hierbei von der Isolation des eigenen Netzwerkes, einzelner Geräte oder der Unterbrechung von Verbindungen zu Externen.

Weitere Vorbereitungen sind der Aufbau eines alternativen Netzwerkes, Antiviren-Checks, Qualitätskontrollen bei IT-Security Komponenten, sowie extern durchgeführte Check-Ups.

Phase 2: Entdecken eines Angriffes

Die Daten, welche Ihre Dienste und Anwendungen Ihnen zur Verfügung stellen, sind Grundlage, um Angriffe zu erkennen. Das Playbook muss demnach folgendes beantworten.

• Wie entdecken wir bekannte Gefahrenquellen, sowie unbekannte?
• Auf welche Daten stützen wir unsere Angriffserkennung?
• Wie prüfen wir die Funktionalität unserer Dienste und Anwendungen?
• Welche Daten könnten manipuliert sein und somit nicht als vertrauenswürdig gelten?
• Ab wann ist eine Aktion auffällig?
• Welche Schwachstellen prüfen wir zuerst, wenn Zeitmangel vorliegt?

Phase 3: Bekämpfung und Normalzustand wiederherstellen

Liegt ein Angriff vor, muss dieser sofort bekämpft werden. Hier koppelt man sich selbst (teilweise) vom Netzwerk ab, um jedes potenzielle Einfallstor zu schließen, oder man blockt den Angreifer aktiv. Dadurch müssen Antworten auf folgende Fragen im Playbook gegeben sein.

• Ab wann nehmen wir welche Systemkomponenten vom Netz, falls sie Opfer des Angriffs wurden?
• Wie blocken wir die horizontale Verbreitung des Angriffs?
• Wann verschärfen wir beschränkende Regeln?
• Wann greifen wir aktiv & manuell ein?

Gleichzeitig zur aktiven Bekämpfung muss der Schaden so gut wie möglich festgestellt werden. Hierzu muss das Playbook die Ermittlung von etwaigen Datenveränderungen beschreiben. Sowohl für das Löschen, Verändern, als auch das Hinzufügen von Daten sollten im Playbook eine adäquate Methodik zu finden sein. Sollten Bereiche des Netzwerks sich durch den Angriff verändert haben, muss nach oder während der Bekämpfung die Ausgangslage durch Backup-Prozesse wiederhergestellt werden.

Phase 4: Nachbearbeitung

Die Nachbearbeitung ist sehr spezifisch, da sie von der Art und dem Ausmaß des Angriffes abhängt. Grundlegend müssen Sicherheitsmechanismen wie Verschlüsselungen wiederhergestellt, geändert und verbessert werden. Falls Sie Strafanzeige erstatten wollen oder einer Meldepflicht nachgehen müssen, so ist deren Ablauf auch im Playbook festzuhalten. Um einem ähnlichen Angriff in Zukunft erst gar nicht ausgeliefert zu sein, müssen die Schwächen des Systems, welche während des Angriffs offenbart wurden, ausgebessert werden.

• Welche Berechtigungen sollten eingeschränkt werden?
• Ist die Qualität unserer Verschlüsselung gut bis sehr gut?
• Sind unsere Admin-Rechte demokratisch und schlau verteilt?
• Wurde die genutzte Systemschwäche vollständig aufgearbeitet?

Sind alle vier Incident Response Playbook Plan-Phasen konkret ausformuliert und von den involvierten Fachbereichen und Experten abgesegnet, dann ist das Playbook einsetzbar und effektiv.

Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Green IT reichen, finden Sie auf unserer Blogseite.