12 Schritte zur Abwehr von Cyberattacken

Im Rahmen des "State of Incident Response 2021" haben die Technikunternehmen Kroll, Red Canary und VMware mehr als 400 IT-Fachleute und 100 Führungskräfte aus dem Bereich Recht und Compliance befragt. 45 Prozent geben an, beim Erkennen und Reagieren auf Sicherheitsvorfälle besser werden zu wollen. Darüber hinaus sind 55 Prozent der Meinung, dass sie schneller reagieren können sollten.

Doch wie gelingt das? Der Tech-Konzern Cisco hat in seinem Bericht "Security Outcomes Study Volume 2" vom Dezember 2021 Schlüsselfaktoren für den Erfolg von Cybersicherheits-Programmen ermittelt. Dazu gehören das frühzeitige Erkennen sowohl von Bedrohungen als auch von Vorfällen und die Fähigkeit, rasch wieder aufzustehen und sich von Katastrophen zu erholen.

Um hier voranzukommen, benötigen CISOs detaillierte Reaktionspläne für Cybervorfälle. Sie dienen dazu, Defizite zu erkennen, die die Leistungsfähigkeit der Systeme im Falle eines Sicherheitsvorfalls beeinträchtigen könnten. Außerdem liefern die Pläne Rezepte, wie im Ernstfall reagiert werden sollte. Diese müssen trainiert werden. "Wenn der Vorfall da ist, ist das nicht der richtige Zeitpunkt, um all das herauszufinden", sagt Joe McMann, Global Cybersecurity Portfolio Lead bei Capgemini.

Besser, die Cybersicherheitsteams verfügen dann beispielsweise über genaue Bestandslisten und Einblicke in alle Bereiche ihrer IT-Umgebung. Sie müssen die geschäftskritischen Systeme ihres Unternehmens kennen und sich vorab darüber im Klaren sein, wie sie reagieren werden.

Im Folgenden nennen wir wichtige Schritte, die CISOs schnell und nahezu gleichzeitig gehen sollten, wenn sich ein aktiver Angreifer im eigenen Netzwerk aufhält:

1. Schlagen Sie Alarm

Laut dem Bericht "2021 State of Security Operations" von Forrester Research und Palo Alto Networks werden Sicherheitsteams täglich mit durchschnittlich 11.047 Warnmeldungen konfrontiert.Natürlich handelt es sich dabei meistens um Fehlalarme oder Risiken mit geringer Priorität, aber es gibt eben auch Hinweise auf größere Probleme, die schnell eskaliert werden sollten.

"Oft haben die Leute dann Angst, Alarm auszulösen, denn solch ein Schritt lässt sich kaum wieder rückgängig machen.", so der Security-Experte von Capgemini. Aus diesem Grund müssten die Teams über gute Richtlinien verfügen, die ihnen sagen, wann und wie sie eine Situation eskalieren können.

"Jedes Unternehmen entscheidet nach anderen Kriterien, aber der Eskalationspfad - die zu benachrichtigenden Personen also oder die Einschaltung der Rechtsabteilung etc. - sollten klar dokumentiert sein", sagt Nick Biasini, Leiter der Abteilung für Öffentlichkeitsarbeit bei Cisco Talos, einem Unternehmen für Bedrohungsanalysen. Dadurch würden kostspielige Reaktionen auf kleinere Vorfälle oder Fehlalarme vermieden. Zudem ließen sich Verzögerungen verhindern, die Hackern die Zeit gäben, Schaden anzurichten.

2. Erfassen der Situation und Triage

"Machen Sie eine Bestandsaufnahme darüber, was Sie wissen und was nicht", rät Capgemini-Experte McMann." Es gehe um die Fakten, anhand derer sich die Dimension des Problems einschätzen lasse. Welche Warnungen wurden generiert? Was sagen die Kollegen? Es gehe darum, Prioritäten zu setzen, intelligent zu entscheiden und die richtigen Dinge zu tun. McMann fügt hinzu, dass CISOs über ein gutes Asset Management und einen tiefen Einblick in die Systeme verfügen müssten, da Sicherheits- und Anwendungsprotokolle sowie Transaktions- und andere Daten den Teams helfen könnten, die Situation richtig einzuschätzen, dann eine Incident Response Triage vorzunehmen und so die richtige Reaktion festzulegen.

3. Das Unternehmen einbeziehen

CISOs sollten, schon während sie ihr Vorgehen nach einem Sicherheitsvorfall im Sinne einer Triage festlegen, die anderen Geschäftsbereiche einbeziehen - ein Punkt, der oft zu kurz kommt. Wichtig dabei ist es, sich schnellstmöglich darüber klar zu werden, welche Komponenten im Geschäftsbetrieb betroffen sind und wer dafür zuständig ist.

J. Wolfgang Goerlich, beratender CISO bei Cisco Secure, warnt: "Bei einem Sicherheitsvorfall denken technisch qualifizierte Personen sofort: 'Ich muss Abhilfe schaffen'. Die CISOs sollten aber die geschäftlichen Auswirkungen stets im Auge behalten. Am besten gibt es neben dem technischen einen sekundären Prozess, der die Geschäftskontinuität und Notfallwiederherstellung sicherstellt, damit das Unternehmen seine Arbeit fortsetzen kann", sagt Goerlich.

4. Stillen Sie die Blutung

Während eines Vorfalls sollten sich die Sicherheitsteams auch mit möglichen Hintertüren beschäftigen, empfielht Steven Graham, Senior Vice President von EC-Council, einer technischen Zertifizierungsstelle für Cybersicherheit. "Nefindet sich ein aktiver Angreifer im Netzwerk, hat er wahrscheinlich so viele Hintertüren wie möglich eingerichtet. Stellen Sie fest, welche Angriffspunkte im Netzwerk existieren, damit Sie die Wirkung des Angriffs stoppen können".

5. Die Einstiegspunkte finden

Gleichzeitig müssen die Sicherheitsteams herausfinden, wie die Hacker eindringen konnten und wo sie sich aufgehalten haben. "Untersuchen Sie die Details: Wie sind sie hereingekommen, was haben sie Schritt für Schritt getan und was haben sie angefasst? Das ist ein zusätzlicher Schritt der Triage", sagt Graham und fügt hinzu, dass eine gute Netzwerküberwachung ein Muss sei. "Schließen Sie dann diese Schwachstellen, damit niemand mehr eindringen kann."

6. Die Truppen zusammenstellen

Sobald das Ausmaß des Vorfalls klar ist, sollten CISOs das Team zusammenstellen, das sie für die Reaktion benötigen. Dazu gehören Führungskräfte, die Entscheidungen treffen müssen, die Sicherheits- und IT-Experten, die richtigen Vertreter aus den Bereichen Kommunikation, Personalwesen, Recht und anderen Funktionsbereichen sowie erforderliche externe Ressourcen. CISOs sollten sich auch darüber im Klaren sein, ob und wann sie Strafverfolgungsbehörden einschalten und welche Behörden sie einbeziehen wollen. All das sollte im Vorfeld geklärt sein, damit es während des Vorfalls kein Durcheinander gibt, sagt Randy Trzeciak, Leiter des Programms "Master of Science in Information Security Policy & Management (MSISPM)" an der Carnegie Mellon University.

7. Dokumentieren und Kommunzieren

Protokolle bezüglich Untersuchung, Prioritäten, erledigten Aufgaben, laufenden Aktivitäten, ungelösten Anforderungen und anderen Details müssen effektiv erstellt und verteilt werden, rät McMann. Word-Dokumente oder E-Mails seien allerdings in der Regel keine guten Instrumente für Informationsaustausch und Archivierung.

Der Capgemini-Experte empfiehlt, dafür ein Wissensmanagement-System oder eine Kommunikationsplattform für den Austausch und die Aufzeichnung von Daten während der Reaktion auf einen Vorfall zu nutzen - ein Aspekt, der seiner Erfahrung nach bei Vorfällen gerne übersehen wird. "Man braucht eine Plattform, die Informationen und Erkenntnisse speichert. Diese Informationen müssen gesammelt, organisiert und ausgewertet werden, damit die CISOs oder ihre Stellvertreter sie destillieren und für Entscheidungen heranziehen können".

8. Koordinieren Sie den Gegenangriff

Wenn es erforderlich wird zu handeln, müssen CISOs ihre Schritte gegen die Hacker koordinieren - ob das nun bedeutet, sie sofort auszuschalten oder sich Zeit zu nehmen, um ihr Vorgehen zu beobachten , ehe der Gegenschlag erfolgt, sagt Cisco-Experte Biasini.

9. Arbeiten Sie ein Playbook aus

Die Experten sind sich einig, dass CISOs, andere Führungskräfte und alle reagierenden Teams sich an einen Notfallplan halten und sich weigern sollten, davon abzuweichen, um andere Aufgaben zu übernehmen. Gerade Führungskräfte neigen in der Krise dazu, aktivistisch zu agieren und zu vergessen, worauf es eigentlich ankommt: dass sie sich auf ihre wohlorganisierten Aufgaben konzentrieren. CISOs, die anfangen Protokolldaten zu prüfen, verursachen Engpässe im Reaktionsprozess und verzögern andere Aufgaben, die nur sie erledigen können, wie zum Beispiel die Kommunikation mit dem Vorstand.

10. Passen Sie sich nach Bedarf an

Auch der detaillierteste und am häufigsten trainierte Plan zur Reaktion auf einen Vorfall kann nicht jedes potenzielle Szenario, etwa eine neuartige Bedrohung oder Technik, berücksichtigen. Daher müssen CISOs wissen, wann sie den Kurs ändernund in der Lage sein müssen, ihre Reaktionen an die neuen Gegebenheiten anzupassen.

Jeff Pollard, Vizepräsident und Hauptanalyst bei Forrester Research erinnert daran, dass sich auch Ransomware-Angriffe verändern. Irgendwann hätten Hackergruppen nicht mehr nur Daten verschlüsselt, um diese gegen Lösegeld wieder freizugeben, sondern auch mit der Veröffentlichung sensibler Daten gedroht, um so den Preis zu erhöhen. Irgendwann sei ein CISO der erste gewesen, der mit diesem Umstand konfrontiert worden sei. Er habe neue Antworten finden müssen.Das zeige, dass Sicherheitsverantwortliche flexibel sein müssten.

11. Andere warnen

CISOs dürfen Vorfälle aus firmeninternen und teilweise auch aus rechtlichen Gründen nicht verbergen. Das bedeutet, dass sie mit ihren Rechts- und Kommunikationsteams zusammenarbeiten müssen, um eine Kommunikationsstrategie zu erarbeiten und andere zu warnen. "Kennen Sie Ihre Ansprechpartner! Beschreiben Sie den Vorfall verständlich und präzise und bringen Sie alle auf dieselbe Seite", rät Security-Spezialist Steven Graham. CISOs sollten auch andere interne und externe Sicherheitsbeauftragte alarmieren, fügt Pollard hinzu. "Finden Sie heraus, was Sie weitergeben können, damit Ihr Team weiß, worüber es sprechen darf und worüber nicht. Lassen Sie andere wissen, dass sie ihre IT-Umgebungen überprüfen sollten, auch wenn Sie ihnen nicht mitteilen können, dass bei Ihnen ein Einbruch stattgefunden hat." So lasse sich auch subtil feststellen, ob andere ebenfalls betroffen sind.

12. Ruhe bewahren; sich um die Mitarbeiter kümmern

Sicherheitsexperten werden mit wütenden oder hektischen Reaktionen niemanden dazu bringen, härter zu arbeiten oder die Angreifer effektiver abzuschrecken. Cholerische Anfälle werden mehr schaden als nützen. Wie Pollard sagt: "Eine Krise muss nicht in Chaos ausarten. Die Krise können wir bewältigen, doch im Chaos effektiv arbeiten, ist ausgeschlossen."

CISOs und andere Führungskräfte sind also gut beraten, wenn sie sich auch in einer solch kritischen Phase mit den Bedürfnissen der Mitarbeiter beschäftigen. Goerlich sagt, er habe gesehen, wie sich Teams durch pausenloses Arbeiten und mit wenig Schlafverrückt gemacht hätten. Auch ein noch so detaillierter Vorgehensplan werde nicht frei von Fehlern sein. CISOs sollten klare Kommunikationswege, Obergrenzen für Arbeitszeiten, gestaffelte Zeitpläne und Freizeit nach einem Vorfall einplanen, rät Goerlich. Er fügt hinzu: "Unternehmen sollten sich überlegen, wie sie in einer Krise mit den Menschen umgehen wollen." (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.