Was ist Vorfallreaktion?

Die Vorfallreaktion ist die Methodik, mit der ein Unternehmen auf einen Cyber-Angriff reagiert und ihn bewältigt. Ein Angriff bzw. eine Datenschutzverletzung kann verheerende Auswirkungen auf Kunden, geistiges Eigentum, Zeit und Ressourcen des Unternehmens sowie den Markenwert haben. Eine Vorfallreaktion zielt darauf ab, diesen Schaden zu minimieren und so schnell wie möglich eine Wiederherstellung zu erreichen. Die Untersuchung ist auch eine Schlüsselkomponente, um aus dem Angriff zu lernen und sich besser auf die Zukunft vorzubereiten. Da heute viele Unternehmen irgendwann von einer Datenschutzverletzung betroffen sind, ist ein sorgfältig ausgearbeiteter und wiederholbarer Vorfallreaktionsplan die beste Möglichkeit, Ihr Unternehmen zu schützen.

Mit zunehmender Anzahl und Häufigkeit von Cyber-Angriffen werden Vorfallreaktionspläne für die Cyber-Sicherheit eines Unternehmens immer wichtiger. Eine unzureichende Vorfallreaktion kann Kunden verprellen und eine stärkere behördliche Regulierung auslösen. Das wiederholte Versäumnis von Target, eine effektive interne Sicherheitsinfrastruktur zu entwickeln, hat den Hacker-Angriff im Jahr 2013 erheblich verschlimmert. Die Entscheidung von Equifax, die Öffentlichkeit nach dem Hacker-Angriff im Jahr 2017 nicht zu informieren, hat seiner Marke erheblich geschadet. Eine effektive Vorfallreaktion ist ungeachtet Ihrer Branche von entscheidender Bedeutung.

Laut SANS Institute sollte das Unternehmen sein „Computer Incident Response Team (Vorfallreaktions-Team, CIRT)“ mit der Leitung der Vorfallreaktionsmaßnahmen betrauen. Dieses Team besteht aus Experten der oberen Führungsebene, der IT-Abteilung, der Informationssicherheitsabteilung, IT-Auditoren, sofern vorhanden, sowie aus für die physische Sicherheit zuständigem Personal, das helfen kann, wenn ein Vorfall direkten Einfluss auf Unternehmenssysteme hat. Die Vorfallreaktion sollte auch von der Personal-, Rechts- und PR- oder Kommunikationsabteilung unterstützt werden.

Laut SANS Institute enthält ein Vorfallreaktionsplan sechs wichtige Schritte:

Vorbereitung: Entwicklung von Richtlinien und Verfahren für den Fall einer Datenschutzverletzung im Internet. Dazu gehört auch die Festlegung der genauen Zusammensetzung des Vorfallreaktionsteams und die Auslöser für die Warnung interner Partner. Entscheidend für diesen Prozess ist eine effektive Schulung im Hinblick auf die Reaktion auf eine Datenschutzverletzung und die Dokumentation, in der die ergriffenen Maßnahmen zur späteren Überprüfung aufgezeichnet werden.

Identifizierung: Dies ist der Prozess, bei dem eine Datenschutzverletzung erkannt und eine schnelle, gezielte Reaktion ermöglicht wird. IT-Sicherheitsteams ermitteln Sicherheitsverletzungen mithilfe verschiedener Threat-Intelligence-Datenströme, Eindringschutzsysteme und Firewalls. Einige Menschen verstehen nicht, was Threat Intelligence ist, sie ist jedoch entscheidend für den Schutz Ihres Unternehmens. Experten für Threat Intelligence analysieren aktuelle Trends bei Cyber-Bedrohungen sowie gängige Taktiken bestimmter Gruppen und sorgen dafür, dass Ihr Unternehmen immer einen Schritt voraus ist.

Eindämmung: Einer der ersten Schritte nach der Entdeckung ist das Eindämmen des Schadens, um ein weiteres Eindringen zu verhindern. Dies kann durch das Abschalten bestimmter Teilnetzwerke und die Aufrechterhaltung des Betriebs mithilfe von Systemsicherungen erreicht werden. Ihr Unternehmen bleibt wahrscheinlich im Ausnahmezustand, bis die Sicherheitsverletzung eingedämmt ist.

Vollständige Beseitigung: In dieser Phase geht es darum, die Bedrohung zu neutralisieren und die internen Systeme so weit wie möglich in ihren vorherigen Zustand zurückzuversetzen. Dies kann eine sekundäre Überwachung einschließen, um sicherzustellen, dass betroffene Systeme für einen erneuten Angriff nicht mehr anfällig sind.

Wiederherstellung: Sicherheitsteams müssen verifizieren, dass alle betroffenen Systeme nicht mehr gefährdet sind und wieder in einen funktionsfähigen Zustand versetzt werden können. Dies erfordert auch die Festlegung von Zeitplänen für die vollständige Wiederherstellung des Betriebs und die fortlaufende Überwachung auf anormale Netzwerkaktivitäten. In dieser Phase ist es möglich, die Kosten der Sicherheitsverletzung und des Folgeschadens zu berechnen.

Schlussfolgerung: Eine der wichtigsten und oftmals übersehenen Phasen. In dieser Phase treffen sich das Vorfallreaktionsteam und seine Partner, um zu bestimmen, wie Maßnahmen in Zukunft verbessert werden können. Dies kann die Beurteilung aktueller Richtlinien und Verfahren sowie bestimmter Entscheidungen einschließen, die das Team während des Vorfalls getroffen hat. Die endgültige Analyse muss in einem Bericht zusammengefasst und für künftige Schulungen genutzt werden. Forcepoint kann Ihr Team dabei unterstützen, bisherige Vorfälle zu analysieren und Ihre Reaktionsverfahren zu verbessern. Um Ihr Unternehmen zu schützen, müssen Sie bereit sein, ständig zu dazuzulernen und Ihr Netzwerk gegen böswillige Angreifer abzusichern.

Weitere Informationen finden Sie in unserem Blog-Beitrag „Data breach response plan: best practices in 2019“.

Cyber-Angriffe scheinen unvermeidlich zu sein und es ist stets ratsam, einen Plan zur Vorfallreaktion für Ihr Unternehmen zu haben. Forcepoint kann Ihnen jedoch auch dabei helfen, Vorfälle durch Insider zu verhindern. Verschaffen Sie sich mit dem Forcepoint-Tool Insider Threat Einblicke in potenzielle Bedrohungen für kritische Systeme.