Q: Alle größeren Unternehmen sollten sich nicht nur präventiv für den Notfall rüsten, sondern auch einen Plan haben, wie sie vorgehen wollen, wenn er passiert ist. Wie kann man sich das in Ihrem Unternehmen vorstellen?
A: Ich möchte etwas vorausschicken: Da wir hier über Details unserer interner Prozesse sprechen, die für einen Angreifer sehr wertvoll sein könnten, möchte ich unser Unternehmen nicht nennen. Ich bin aber gerne bereit, über die CSO-Redaktion Rückfragen zu beantworten.
Foto: klenger - shutterstock.com
Und jetzt zu Ihrer Frage: Wir haben einen Ablauf dafür festgelegt, den 'Priority One Incident Process'. Er wird ausgelöst, wenn eine Störung auf einem kritischen Asset festgestellt wird. Wir wissen genau, was unsere kritischen Assets sind. Ein User sagt zum Beispiel: 'Ich komme nicht mehr auf das SAP-System oder auf Sharepoint', dann müssen wir das als Incident erkennen.
Q: Wenn ein Anwender eine Störung meldet, kann er ja auch ein individuelles Problem haben.
A: Ja, aber normalerweise laufen im Ernstfall im Service-Desk gleich mehrere Meldungen auf. Das Monitoring zeigt dann an: SAP ist down. Dann läuft ein Prozess an. Zuerst hat eine solche Störung nur Priorität zwei. Ein Manager on Duty schaut dann drauf und stellt fest: Das sieht nach einer größeren Geschichte aus, wir setzen jetzt Priorität eins.
Dann läuft ein Automatismus ab. Ein virtueller Krisenraum wird eingerichtet - meist in Form eines Video-Calls. Dazu werden alle Leute eingeladen, die auf unserer Krisenkontaktliste stehen. Und es wird ein Whiteboard aufgesetzt, um zu dokumentieren, was passiert. Die Störung wird eingeordnet, und über ein hinterlegtes Template kann schnell kommuniziert werden, nach dem Motto: 'Das ist eine Störung vom Typ X, sie betrifft Y und Z, wir arbeiten dran.'
Q: Muss ein Manager nicht eine hohe Hemmschwelle überwinden, um den Störfall mit Priorität eins auszulösen und die Maschinerie in Gang zu setzen?
A: Erfahrungsgemäß trifft er diese Entscheidung nicht alleine. In dem Moment, wenn eine Störung mit Priorität zwei ausgelöst wird, läuft die Informationsmaschinerie bereits. Dann versucht man sich über die Krisenkontakte schon mal abzustimmen. Prio 1 bedeutet dann auch Einbinden des Vorstands und schnelles Zusammenrufen des Krisenteams. Wenn dieses dann feststellt: Es handelt sich um einen Cyberangriff, kann das bis zur Cyber-Risk Insurance eskaliert werden oder zu einem externen Dienstleister.
Tatsächlich hatten wir bislang aber noch keinen größeren Notfall, der auf einen Cyberangriff zurückzuführen war. Hoffen wir, dass das so bleibt. Die meisten Störfälle hatten damit zu tun, dass beispielsweise ein Cloud-Provider ausfiel oder eine Netzwerkstörung an einem Produktionsstandort auftrat, weil ein Bagger alle Kabel durchtrennt hatte.
Q: Wie setzt sich das Krisenteam zusammen?
A: Da kommen Geschäftsführer und Verantwortliche aus den betroffenen Bereichen mit Experten aus der IT zusammen. Ist zum Beispiel ein Produktionsstandort betroffen, ziehen wir auch den Produktionsleiter hinzu. In einer solchen Krise ist ein fester Rahmen wichtig, in dem man sich bewegen kann. Für Organisationsfragen darf keine Zeit verschwendet werden. Diese Dinge müssen vorbereitet sein, selbst wenn dann doch oft situativ entschieden wird.
Wir kennen unseren Laden ja ganz gut und holen bestimmt nicht die Bücher raus, um irgendetwas abzuarbeiten. Alle Fälle, die ich erlebt habe, waren komplett unterschiedlich, auch die Ursachen. Einmal ging das Exchange-System nicht mehr, weil ein Netzwerkkarten-Treiber mit einem Update nicht klarkam. Das war banal, führte aber dazu, dass unser System nicht mehr rund lief. Da saßen dann wirklich Microsoft-Leute im Krisenraum, und man wusste gleich, das ist ein technisches Problem, keine Attacke.
Ein anderes Thema sind Beeinträchtigungen durch Provider- und Netzwerkausfälle, Erdbeben oder was auch immer. Das alles ist so unterschiedlich, dass es sich nicht lohnt, für jeden Fall ein detailliertes Szenario zu hinterlegen.
Q: Wie laufen die Entscheidungsprozesse im Krisenteam?
A: Wir haben das so festgelegt, dass immer der entscheidet, der an dem Problem am nächsten dran ist. Wenn wir einen Provider-Ausfall haben, dann hat der Netzwerker das letzte Wort. Da wird sich die Security nicht einmischen. Geht es um einen Cyberangriff, entscheidet der CISO. Obwohl - das stimmt nicht ganz, das letzte Wort hat immer der Vorstand. Wir sollten also in so einem Fall die Entscheidungen so gut vorbereitet haben, dass der Vorstand sagen kann: Ja, wir schalten jetzt System XYZ ab.
Q: Was haben Sie in Ihren Notfallplänen konkret hinterlegt?
A: Dort ist zum Beispiel festgeschrieben, wer welche Schutzmechanismen aktivieren kann - zum Beispiel das globale Blockieren einer Adresse in allen Firewalls. Wir haben dafür vorbereitete Regeln. Außerdem gibt es eine Dokumentation, wo man Hinweise finden kann, ob für diesen oder jenen Fall etwas vorbereitet ist.
Q: Wie grob oder feingranular sind die Szenarien, die Sie auf diese Weise abdecken?
A: Hier geht es eher um generische Fragen. Was kann ich tun, wenn es um Rechner geht? Was, wenn es sich um ein User-Problem handelt? Wir trenne ich Domänen voneinander? Wo kann ich im Netzwerk an den richtigen Stellen die Stecker ziehen?
Q: Wenn man sich die Angriffsszenarien anschaut - DDoS, Ransomware oder Datenabfluss etwa - was beschäftigt Sie davon am meisten?
A: Für uns ist Denial of Service keine große Risikokategorie, weil wir nicht im Consumer-Geschäft aktiv sind. Wenn wir einen DDoS-Angriff hätten, würde unsere Kommunikationsabteilung wahrscheinlich jubeln: endlich mal Traffic auf dem Web-Server (lacht). Datenabfluss ist auch nicht das ganz große Thema, unser Business ist sehr speziell. Wir haben nicht das Coca-Cola-Rezept im Safe liegen. Die eigentliche Herausforderung im Moment ist Ransomware.
Q: Wie verhält sich Ihr Vorstand in Sachen IT-Sicherheit? Haben Sie vollen Support?
A: Tatsächlich war unser Vorstand von Anfang an enorm kooperativ. Wir saßen schon zu Zeiten, als in anderen Firmen CISOs klagten, nicht gehört zu werden, regelmäßig beim Vorstand. Er hat uns sogar bei Awareness-Tests unterstützt, indem wir gefälschte Nachrichten in seinem Namen verschickt haben. Wenn dann Mitarbeiter darauf reagiert haben, hat der Vorstand sie persönlich darauf hingewiesen, dass es eine Fälschung war und sie besser aufpassen müssen.
Q: Berichten Sie an einen Vorstand oder an den CIO?
A: Ich berichte an den CIO. Wir haben ein monatliches Meeting, in dem sich der CIO mit dem Vorstand und den Bereichsleitern zusammensetzt. Da bin ich dann entweder mit dabei oder ich gebe ein schriftliches Status-Update zur Security. Ein kontinuierlicher Informationsfluss ist hier ganz wichtig.
Q: Zurück zum Notfall-Management. Angenommen, der Krisenfall ist eingetreten, der Krisenraum ist aktiv. Wie funktioniert jetzt der Ablauf?
A: Es geht um zwei Dinge, die funktionieren müssen: Wir müssen sofort wissen, woher wir Informationen bekommen: An welcher Stelle ist der Schaden entstanden? Habe ich kompromittierte Maschinen? Wurde eine steuernde Maschine von einem Angreifer übernommen? Gibt es Accounts, die betroffen sind? Und wenn wir diese Informationen haben, geht es um schnelle Maßnahmen: Wie isoliere ich Maschine X? Wie blockiere ich Kommunikation Y und schalte einen Account gegebenenfalls ab?
Q: Würden Sie im Notfall die Unterstützung eines IT-Sicherheitsdienstleisters in Anspruch nehmen?
A: Ja. Es gehört für uns zur Vorsorge, die Telefonnummer für den Emergency-Support im Servicedesk zu hinterlegen. Wenn eine echte Krisensituation eintritt, ist das aus den eigenen Reihen nicht mehr zu stemmen. Da hat jedes größere Unternehmen einen spezialisierten Dienstleister unter Vertrag, eine Cyber-Risk-Insurance oder irgendeinen Emergency-Response-Vertrag oder etwas in dieser Art. Das sind Forensiker und Spezialisten, die den ganzen Tag nichts anderes machen und von einem zum anderen eilen. Auch ein Mittelständler sollte sich da absichern. Das ist gar nicht so teuer. Wenn es wirklich knallt, und Sie müssen erst noch herumtelefonieren und um Hilfe bitten, verlieren Sie viel kostbare Zeit.
Q: Wie wichtig ist eine Cyber-Risk-Versicherung?
A: Sie kann in zweifacher Hinsicht helfen. Zum einen entsendet der Versicherer ein Forensik-Team, das von einem beauftragten Systemhaus oder Dienstleister kommt. Zum anderen steht er oft in enger Verbindung zu internationalen Anwaltskanzleien, die dann helfen können, Verhandlungen mit Cyber-Erpressern zu führen. Sie können auch sagen, welche Meldepflichten es gibt, denn die sind ja international unterschiedlich. Das alles würde ein normales Unternehmen schnell überfordern.
Q: Wie genau prüft die Versicherung den Schadensfall? Freiwillig wird sie ja nicht eintreten, und irgendwer handelt bei einem Vorfall ja eigentlich immer fahrlässig.
A: Da gibt es oft Diskussionen. Hinterher kommt immer einer und fragt: Habt Ihr nicht an A, B oder C gedacht? Und natürlich kommt die Frage: Kann man das noch nachvollziehen? Für Unternehmen ist es gar nicht so leicht, die Balance zwischen Nachvollziehbarkeit und Datenschutz zu halten. Alle Daten aufzuheben, nur weil man sie vielleicht in 20 Jahren mal braucht, ist nicht zulässig, da es bei Monitoring-Daten immer um personenbezogene Daten geht.
Q: Ist es realistisch, Logfiles ständig zu sichern, um einen Vorfall nachvollziehen zu können?
A: Logfiles werden schnell sehr groß. Dann hat man Unmengen an Daten und muss die Stecknadel im Heuhaufen finden. Es stellt sich also immer die Frage: Wieviel Aufwand will ich treiben, um der Versicherung präzise Angaben machen zu können. Am Ende muss man dann doch meistens bekennen: Ganz genau konnten wir es leider nicht herausfinden. In der forensischen Analyse kommt dann irgendwann immer der Satz: 'Wir vermuten…'. Ich bin ziemlich unsicher, was ich wie lange aufbewahren muss.
Auch bei einem zentralen Monitoring- und Alert-Systemen muss man eingrenzen, was man überwachen möchte. Die Menge der Daten macht ein anderes Vorgehen unmöglich. Vielleicht gibt es ja irgendwann ein System, dass so eine Art Metadaten-Abfrage ermöglicht. Man könnte dann die Daten dezentral abfragen und die Analyse auf diesen Abfrageergebnissen durchführen. Bisher sehe ich aber noch nicht die Superlösung für dieses Problem.
Q: In der IT und zunehmend auch in anderen Unternehmensbereichen gewöhnen wir uns daran, kollaborativ und in agilen Teams mit flachen Hierarchien zusammenzuarbeiten. Wie gestaltet sich das in einem Notfall? Braucht man dann nicht eher klassische Befehlsketten und ein bisschen militärischen Drill?
A: Ich habe Krisen bisher immer so erlebt, dass sachorientiert gearbeitet wurde. Es gibt natürlich schon Leute, die von ihrer Meinung ganz besonders überzeugt sind und diese gerne an alle anderen weitergeben. Wenn dann solche Alphatierchen das Heft in die Hand nehmen, muss das aber gar nicht schlecht sein. Ich weiß aber auch von anderen CISOs, dass es schon mal den brüllenden CIO gibt. Aber nach meiner Erfahrung wird es eigentlich nie persönlich.
Q: Lassen Sie uns zusammenfassen: Worauf kommt es im Notfall-Management besonders an?
A: Als erste brauche ich immer den Überblick: Habe ich ein Problem und wie groß ist es? Dann darf ich keine Zeit für Organisatorisches verlieren. Das ist planbar und muss laufen! Ransomware kommt ja immer in einer Welle auf das Unternehmen zu, wenn ich sie brechen kann, kann ich unter Umständen viel verhindern.
Unternehmen sollten die wichtigsten Reaktionsszenarien immer mal wieder durchspielen und prüfen. Es gibt Dienstleister, die einem helfen und so etwas komplett simulieren können. Das funktioniert richtig gut, habe ich selbst erlebt. Nach zehn Minuten sind alle dabei, der Blutdruck geht auf 180 hoch - obwohl jeder weiß: Das ist nur ein Spiel. Diese Firmen haben es wirklich gut drauf, einen in diesen Panikmodus zu versetzen.
Das ist wie beim Fahrtraining. Wenn ich einmal unter kontrollierten Bedingungen auf der nassen Fahrbahn ins Schleudern geraten bin, bin ich besser vorbereitet, wenn der Ernstfall dann wirklich eintritt. Szenarien durchzuspielen, funktioniert also, doch eine Komplettkrise zu simulieren, also quasi im Rechenzentrum den roten Knopf zu drücken, das wird wahrscheinlich niemand machen. Der Kollateralschaden wäre zu groß.
Aber mal zu gucken, ob eine Telefonkette funktioniert oder die Notfallkommunikation läuft, das ist schon wichtig. Es kann ja sein, dass man alles wunderbar in einem Teams-Channel eingerichtet hat, aber in der Notfallsituation ist Office 365 ausgefallen und nichts geht mehr. Dann sollte man eine Alternative bei der Hand haben und ausprobiert haben. Es geht also auch darum, jedes Teil in Frage zu stellen und einen Plan B zu haben.
Q: Ist diese Präventionsarbeit die Schlüsselaufgabe eines CISO?
A: Als ich als CISO anfing, habe ich mich vor allem um Prävention gekümmert, dann kam irgendwann noch das Thema Detection dazu. Im Fünfklang des NIST Cybersecurity-Framework folgen dann Respond, Recover und Identify. Das ganze Thema Backup und Recovery sowie Response inklusive Notfall-Management ist das Feld, das noch am wenigsten beackert ist und nun stärker in den Blickpunkt gerät.
Wer einmal einen Angriff erlebt hat, wird festgestellt haben, dass ihm die Cyber-Risk Insurance nur bedingt weiterhilft. Sie bringt ja die Daten nicht zurück. Dafür brauche ich ein gutes Backup-Konzept. Ich muss mir mit Blick auf die gegenwärtige Ransomware-Welle genau überlegen, wo ich ein Offside-Backup habe. Die Daten zaubert mir keiner wieder her. Nicht mal die NSA.