Outcome-based Security

IT-Sicherheit ist kein reiner Kostenfaktor, sondern trägt aktiv zum Unternehmenserfolg bei. Es wird Zeit für einen neuen Ansatz, der bessere Sicherheit liefert und zugleich diesen Beitrag sichtbar macht.

Acht Praxis-Tipps für CIOs

Jetzt einen Notfallplan für Cyberangriffe erstellen

28.10.2022
Sich nur auf klassische IT-Sicherheitsmaßnahmen zu verlassen, ist heute fahrlässig. Bedrohungen sollten vielmehr auf strategischer Ebene adressiert werden.
Ein Notfallplan definiert eine Reihe von Abläufen, die im Ernstfall in Gang gesetzt werden. Jeder in der Organisation sowie externe Sicherheitsberater kennen ihre Rollen für einen kompetenten Umgang mit der Situation.
Ein Notfallplan definiert eine Reihe von Abläufen, die im Ernstfall in Gang gesetzt werden. Jeder in der Organisation sowie externe Sicherheitsberater kennen ihre Rollen für einen kompetenten Umgang mit der Situation.
Foto: Gorodenkoff - shutterstock.com

Seit über zehn Jahren schon predigen Verbände, Experten und offizielle Stellen, wie wichtig es ist, dass Unternehmen im Rahmen ihrer IT-Security-Maßnahmen einen Notfallplan erstellen. Dafür haben sie sogar die englische Abkürzung BCM erfunden - für Business Continuity Management. Nahezu ebenso lange wird zudem mit Studien der Frage nachgegangen, wie viele Unternehmen denn tatsächlich solch einen Plan haben. Die Ergebnisse fallen äußert unterschiedlich aus.

2019 berichtete der eco - Verband der Internetwirtschaft e.V., dass 90 Prozent der von ihm zuvor befragten Sicherheitsexperten davon ausgehen, dass sich die Bedrohungslage im Bereich IT-Sicherheit weiter verschärft. Viele reagierten darauf, indem sie Notfallpläne erstellten. 57 Prozent der befragten IT-Sicherheitsexperten hatten damals einen Notfallplan für den Fall eines Cybercrime-Vorfalls festgelegt.

Ein Jahr zuvor waren es erst 32 Prozent der Befragten. Weitere 27 Prozent waren 2019 gerade dabei, solch einen Notfallplan zu entwickeln. Bei einer Umfrage des Bitkom 2017 hatten 43 Prozent der befragten Unternehmen gesagt, dass es bei ihnen ein Notfallmanagement gibt, das festlegt, was zu tun ist. Dass es an der Umsetzung noch hapert, zeigt die Cyber-Security-Empfehlung des Bitkom vom März 2022, in der die Erstellung eines Notfallplans eine von vier Aktionen war, die dringend angeraten wurden.

Gute Vorsätze reichen nicht

Einer aktuelleren Umfrage der Software-Empfehlungsplattform GetApp aus dem Frühjahr 2022 zufolge hatten inzwischen 73 Prozent der Befragten im Falle eines Ransomware-Angriffs einen Notfallplan. Unklar bleibt da allerdings, wie es im Falle anderer Angriffsszenarien aussieht. Einen Plan für eine bestimmte Art von Notfall zu haben, ist sicherlich ein guter Anfang - aber eben auch nur ein Anfang.

Denn deutsche Unternehmen befürchten eine weitere Zunahme von Cyberangriffen. Das geht unter anderem aus der KPMG-Studie "e-Crime 2022" hervor. Demnach schätzen 91 Prozent der Befragten das Risiko für deutsche Unternehmen, Opfer einer Cyberattacke zu werden, als hoch oder sehr hoch ein. Paradox: Nur 61 Prozent der Befragten glauben, dass auch das eigene Unternehmen einer hohen oder sehr hohen Cybergefahr ausgesetzt ist.

Dieses Gefühl der Unverletzlichkeit ist trügerisch, denn Angreifer gehen immer raffinierter vor und haben auch dank Homeoffice, Cloud-Nutzung und umfassenderen digitalen Geschäftsprozessen [KB1] eine immer größere Angriffsfläche zur Verfügung. Gleichzeitig nimmt die Komplexität der Angriffe zu. Unternehmen können sich daher nicht mehr damit begnügen, sich auf die klassischen Sicherheitsmaßnahmen wie Perimeter Security, Endpoint Security, Antivirus, Verschlüsselung, Backup und Sicherheitsschulungen der Mitarbeiter zu verlassen.

Damit kein Missverständnis entsteht: Diese Sicherheitsvorkehrungen sind natürlich nach wie vor unerlässlich. Aber um mit dem sich ändernden Bedrohungsbild umzugehen, müssen Unternehmen die Bedrohungen nicht nur auf technischer, sondern auch auf strategischer Ebene angehen.

Was ein guter Notfallplan leisten muss

Ein guter Anfang dafür ist die Entwicklung eines Notfallplans. Ein detaillierter Notfallplan muss sicherstellen, dass Sie schnell und effizient reagieren und den Geschäftsbetrieb auch während eines Angriffs fortsetzen können. Es kann jedoch eine Herausforderung sein, sich sowohl einen Überblick über den Notfallplan als auch die Cyberabwehr als Ganzes zu verschaffen. Daher empfiehlt es sich, den Aufwand in zwei Bereiche zu unterteilen:

  • Die Notfallvorsorge selbst: Dazu gehören die internen Verfahren zum Schutz der unternehmenseigenen Daten sowie kollaborierende Kunden und Lieferanten, die zunehmend in Cyberangriffe verwickelt werden.

  • Der konkrete Umgang mit einem Angriff: Hier geht es darum, wie sich ein Schaden schnell und effektiv eindämmen, die Bedrohung beseitigen und die Lücken schließen lassen, damit das Risiko künftiger Angriffe reduziert wird.

Grundsätzlich kann ein Cyberangriff mit einem Herzstillstand verglichen werden. In beiden Fällen ist die Reaktionszeit entscheidend. Ohne klare, schnelle und zielgerichtete Handlungen dauert die Rehabilitation nach einem Herzstillstand - wenn sie überhaupt noch möglich ist - deutlich länger. Dasselbe gilt auch für die Aufräumarbeiten im Zusammenhang mit einem Cyberangriff: Wer gut vorbereitet ist, kann wesentlich schneller und effektiver reagieren, wenn der Worst-Case eintritt.

Acht Praxis-Tipps für den Notfallplan

Unterschiedliche Unternehmen haben unterschiedliche Bedürfnisse, Systeme und Verfahren, und daher kann der Inhalt eines Notfallplans variieren. Nichtsdestotrotz gibt es eine Reihe gemeinsamer Funktionen, die in jeden Plan gehören:

  • Klare Organisation schaffen: Sorgen Sie für eine klare Organisation sowie klare Weisungsbefugnisse und beschreiben Sie diese, damit im Falle eines potenziellen Angriffs alle Mitarbeiter ihre Rollen und Verantwortlichkeiten kennen - sowohl die IT-Experten als auch der Rest der Organisation.

  • Cyberangriffe erkennen: Es ist wichtig, dass Unternehmen über die richtigen Tools verfügen, um Cyberangriffe zu erkennen und zu identifizieren. Dazu gehört auch die Identifizierung von auffälligem Verhalten - zum Beispiel, wenn Benutzer auf Daten zuzugreifen versuchen, auf die sie normalerweise nicht zugreifen.

  • Behalten Sie den Überblick über Ihr Backup: Verwenden Sie klare Verfahren zum Sichern aller Systeme, damit Backup-Daten sowohl online als auch offline gespeichert werden. Man muss sich bewusst sein, wie und wann Daten in die Backup-Umgebung kopiert werden und wie man offline darauf zugreifen kann.

  • Beweise sammeln: Es ist wichtig, Verfahren zur Sammlung und sicheren Aufbewahrung von Beweisen nach einem Angriff festzulegen. Das macht die Untersuchung übersichtlicher und erhöht die Chance, neue Angriffe zu verhindern.

  • Eskalationsverfahren festlegen: Es müssen Verfahren zur Eskalation der Untersuchung festgelegt sein. Wer erst im Notfall feststellt, dass er überfordert ist, weitere Unterstützung benötigt und die dann anfragen muss, verliert wertvolle Zeit. Vorab Vereinbarungen mit externen Sicherheitsexperten zu treffen, die die Untersuchung leiten können, wenn der Aufwand für die eigene IT-Abteilung zu groß wird, ist unerlässlich. Die können zudem wesentlich schneller eingreifen, wenn sie mit den Rahmenbedingungen schon vorab vertraut sind. Als Analogie kann man sich hier die Feuerwehrpläne vorstellen, die für alle größeren Gebäude vorliegen müssen und die bei einem Einsatz, die eine rasche Orientierung innerhalb und außerhalb der Anlage ermöglichen.

  • Vergessen Sie die physischen Rahmenbedingungen nicht: Zutrittskarten, Videoüberwachung und Schließanlagen müssen ebenfalls in den Notfallplan aufgenommen werden. Das Incident Response Team von WithSecure hat mehrere Beispiele gesehen, wo Hacker und Einbrecher zurückgekehrt sind, weil sie zum Beispiel dieselben kopierten Zugangskarten mehrmals verwendeten.

  • Daten validieren: Leider können Cyberkriminelle infizierte Dateien problemlos in der Backup-Umgebung speichern. Daher ist es entscheidend, dass alle Daten validiert werden können, damit keine infizierte Dateien aus dem Backup-System importiert werden.

  • Stresstest der gesamten IT-Infrastruktur: Führen Sie regelmäßig Penetrationstests durch, bei denen ein externes Team (Red Team) einen Angriff simuliert, während sich die IT-Abteilung (Blue Team) zur Wehr setzt. Testen Sie auch Wiederherstellungstools und den BCDR (Business Continuity and Disaster Plan) des Unternehmens. Testen Sie ähnlich wie bei einer Brandschutzübung die internen Abläufe, damit alle Mitarbeiter ihre jeweilige Rolle und Verantwortung kennen. Überprüfen Sie Mitarbeiterverfahren und Support-Tools und schulen Sie sie, wann und wie davon abgewichen werden kann. Testen Sie auch laufend die physischen Sicherheitsmaßnahmen und den Umgang der Mitarbeiter mit Zutrittskarten.

Diese acht Punkte müssen natürlich je nach Größe, Branche und Risikoprofil auf das einzelne Unternehmen angepasst werden. Unterstützung und Inspiration dafür bieten unter anderem das "Incident Handler´s Handbook" des SANS Institute sowie der BSI-Standard 100-4. Auch die "Checkliste Technik" des BSI sowie die "IT-Notfallkarte" des BSI können ergänzend hilfreich sein. Für intensivere Beschäftigung mit der Frage, wie sich Kosten und Auswirkungen von Cyberangriffen reduzieren lassen, stehen zudem die Experten von WithSecure für individuelle Beratungsgepräche zur Verfügung.

Generell sollte der Notfallplan als Alarmknopf des Unternehmens angesehen werden: Wenn Sie darauf drücken, werden eine Reihe von Abläufen in Gang gesetzt und jeder in der Organisation sowie externe Sicherheitsberater kennen ihre Rollen für einen effizienten und kompetenten Umgang mit der Situation. Und nicht vergessen: Ein Notfallplan wird nicht einmal erstellt und gilt dann über mehrere Jahre. Er muss laufend an die aktuelle Situation angepasst werden. Sonst ist er bald ebenso wertlos, wie eine veraltete Straßenkarte.

Wie die Professional Services von WithSecure Ihnen helfen können, das Optimum aus Ihren WithSecure Produkten und Services herauszuholen, erfahren Sie hier.