Niemals 100% Sicherheit: Jedes Unternehmen sollte auf Störungen vorbereitet sein

NTT Com Security empfiehlt fünf Schritte zur Reaktion auf Schadensfälle

[datensicherheit.de, 09.04.2016] Dass Unternehmen gänzlich vor Sicherheitsverletzungen fällen gefeit sein könnten, ist ein Trugschluss, denn eine 100-prozentige Absicherung kann es nicht geben. Jedes Unternehmen sollte sich dieser Tatsache stellen und auf Störungen vorbereitet sein, empfiehlt NTT Com Security in einer aktuellen Stellungnahme.

Detaillierte „Incident-Response-Strategie“ erforderlich

Klar sei, so NTT Com Security, dass die Abwehr eines Angriffs nicht erst beim Sicherheitsvorfall selbst beginnen sollte – schon im Vorfeld sollte eine Abwehrstrategie etabliert sein.
Eine solche „Incident-Response-Strategie“ müsse detaillierte Vorgehensweisen und Maßnahmen bei der Behandlung von Sicherheitsvorfällen beinhalten. Konkret sollten hierzu beispielsweise Verantwortlichkeiten festgelegt, Aufgaben definiert, Schadensfälle klassifiziert oder Kommunikationsmaßnahmen – auch im Hinblick auf die zentralen Ansprechstellen für Cybercrime der Bundesländer oder Strafverfolgungsbehörden – geregelt werden.
Welche Maßnahmen ein Unternehmen im Ernstfall ergreifen sollte, stellt NTT Com Security in der Stellungnahme beispielhaft in fünf Handlungsschritten dar.

1. Schritt: Identifizierung des Vorfalls
   Zunächst müssten die Verantwortlichen feststellen, um welchen Vorfall es sich genau handelt. Zur Analyse könnten zum Beispiel Log-Files – auch aus SIEM (Security Information and Event Management)-Systemen – herangezogen werden. Zudem müssten sie ermitteln, welche Zielsysteme betroffen sind, welchen aktuellen Status der Angriff hat und inwieweit bereits das gesamte Unternehmensnetzwerk kompromittiert ist.
   Neben der Erkennung und Erfassung von Sicherheitsvorfällen beinhalte dieser Schritt auch die Bewertung der Attacke und ihrer Relevanz für unternehmenskritische Systeme und Daten. Nur auf Basis einer solchen detaillierten Analyse könne ein Unternehmen zielgerichtete Abwehrmaßnahmen ergreifen.
2. Schritt: Eindämmung des Angriffs
   Abhängig vom Angriffsszenario seien hierzu unterschiedliche Maßnahmen denkbar – vom Abschalten einzelner Systeme über das Abtrennen bestimmter Netzwerkbereiche bis hin zu einem vollständigen Kappen aller Internetverbindungen.
   Um weitere Angriffe abzuwehren, sei zudem oft ein sofortiges Patchen der Systeme angezeigt. Natürlich müsse die IT bei der Eindämmung der Auswirkungen von Sicherheitsvorfällen auch immer die „Business Continuity“ berücksichtigen.
3.  Schritt: Schadensbeseitigung und Wiederherstellung
   Dabei müsse die IT alle Systeme, die potenziell betroffen sind, detailliert untersuchen. Dies betreffe Betriebssysteme, Applikationen und Konfigurationsdateien ebenso wie alle Anwenderdateien.
   Zur Überprüfung eigneten sich nur Sicherheitstools, die auf neuestem Stand sind, wie etwa aktuelle Antivirenlösungen. Bei Datenverlust müsse die IT entsprechende Recovery-Maßnahmen ergreifen.
4. Schritt: Wiederaufnahme des Normalbetriebs
   Die Wiederaufnahme des Normalbetriebs könne beispielsweise mit der sukzessiven Zuschaltung aller abgeschalteten Subsysteme erfolgen. Vor der Wiederinbetriebnahme müssten jedoch auf jeden Fall umfassende Testläufe erfolgen, in denen der reibungslose Systembetrieb überprüft wird – zum Beispiel mittels Anwendungsfunktionstests.
5. Schritt: Dokumentation und Maßnahmeneinleitung
   Der letzte Schritt, den nach Erfahrungen von NTT Com Security die meisten Unternehmen vernachlässigten, betreffe die Aspekte Dokumentation beziehungsweise Reporting und Maßnahmeneinleitung.
   Ein Report müsse eine klare Bestandsaufnahme des vergangenen Vorfalls enthalten sowie eine detaillierte Bewertung der ergriffenen Aktivitäten. So sollte zum Beispiel konkret spezifiziert werden, was gut und was weniger gut gelaufen ist, welche Kosten entstanden sind und in welchen Bereichen sich ein deutlicher Handlungsbedarf herauskristallisiert hat.
   Auf dieser Basis könne ein Unternehmen dann entsprechende Veränderungen initiieren und Maßnahmen einleiten, um einen gleichartig gelagerten Sicherheitsvorfall künftig zuverlässig auszuschließen.

Ein etabliertes „Incident-Response“-Verfahren sei angesichts der aktuellen Sicherheitsbedrohungen für ein Unternehmen heute unerlässlich. Doch auch wenn es vorhanden ist, zeige ihre Erfahrung, dass die Notfallpläne nicht regelmäßig überprüft und getestet würden, sagt Patrick Schraut, „Director Consulting & GRC“ bei NTT Com Security in Ismaning. Dies führe dazu, dass im Gefahrenfall oft Unsicherheit herrsche und eine verzögerte Reaktion einen ungewollten Datenabfluss ermögliche. Mit ihren fünf Schritten beim „Incident-Handling“ wollten sie Unternehmen eine Hilfestellung geben, wie sie im Schadenfall agieren sollten, um aktuelle und künftige Auswirkungen soweit wie möglich zu minimieren.