Angriffssimulationen für mehr Cyber-Resilienz
Mithilfe von Testings des Business-Continuity-Management- und des IT-Service-Continuity-Management-Prozesses kann die "Resilienz-Fähigkeit" kontinuierlich verbessert werden.
Ein gut etabliertes und funktionierendes Business Continuity Management (BCM) ist für Unternehmen unentbehrlich geworden. Ein BCM-Prozess definiert das Managen von Risiken, die ernsthafte Auswirkungen auf die geschäftskritischen Prozesse einer Organisation haben können. Darüber hinaus sorgt der Prozess für eine Minimierung von Risiken auf ein vertretbares Mass und plant die Aufrechterhaltung beziehungsweise Wiederherstellung von Geschäftsprozessen für den Fall, dass diese einer Störung unterliegen. Damit ist BCM der präventive Teil eines betrieblichen Risikomanagements.
Die aus der Business Impact Analysis (BIA) gewonnenen Erkenntnisse über die maximalen Ausfallzeiten sowie die geforderten Wiederherstellungszeiträume (RPO, RTO) werden mittels eines geordneten IT-Service-Continuity-Management-Prozesses (ITSCM) in der IT-Landschaft entsprechend umgesetzt.
Durch regelmässige Tests und Übungen wird die "Resilienz-Fähigkeit" kontinuierlich verbessert, indem die Anwendbarkeit und Wirksamkeit der BCPs sowie des ITSCSM überprüft und gegebenenfalls Anpassungen durchgeführt werden. Ausserdem wird sichergestellt, dass die betroffenen Mitarbeitenden geschult und sensibilisiert werden, um einerseits bei einem "echten" Notfallszenario die nötige Übung zu haben, andererseits um den nötigen Wiederanlauf zu unterstützen. Generell bieten sich mehrere Möglichkeiten des Testings an. Auf Stufe des BCM greift man auf drei Testarten zurück: die Planbewertung, die sogenannten Tabletop-Tests sowie Simulationstests.
Bei der Planbewertung werden die in schriftlicher Form vorliegenden Business-Continuity-/Disaster-Recovery-Pläne sowie die Incident Runbooks bewertet. Die Dokumente werden nach fehlenden Elementen und Inkonsistenzen durchforstet.
Im Tabletop-Test gehen die Teilnehmer Schritt für Schritt alle geplanten Aktivitäten durch. Tabletop-Übungen können sehr effektiv zeigen, ob Teammitglieder ihre Aufgaben im Notfall kennen. Dieser Test erfasst Dokumentationsfehler, fehlende Informationen und Unstimmigkeiten in den BCM-Plänen. In den Tabletop-Szenarien werden meist externe Beobachter eingesetzt, um die Performance der Teams nach der Übung zu attestieren.
Um zu prüfen, ob BCM-Verfahren und -Ressourcen in realistischeren Situationen funktionieren, sollten Simulationstests durchgeführt werden. Simulationstest können beispielsweise auch mit der Einspielung eines simulierten Malware Files (auf ein Live-System) gestartet werden. Es wird dann zuerst überprüft, wie lange es dauert, bis das File entdeckt wird, wie reagiert wird und welche Schritte zur Beseitigung unternommen werden. Aus einem solchen Szenario kann sich dann ein Business Continuity Incident ergeben. Die Verwendung von Szenarien in Simulationen wird dabei dringend empfohlen.
Wie plant man erfolgreich solche Tests? Es wird empfohlen, die Komplexität sukzessive zu steigern, um eine hohe Maturität zu erreichen. Komplexe Szenarien können anfangs als Tabletop ausgeführt werden. Ein "Full-Scale"-Szenario reicht dann von der Einspielung eines Ransomware-Files über die Wiederherstellung von IT-Systemen bis zur Verhandlung mit den Cyberkriminellen. Bewährt hat sich die Einplanung einer jährlichen Übungswoche. In dieser Übungswoche werden entsprechende Tabletop-Tests oder Simulationen mit den verschiedenen Zielgruppen durchgeführt. Die Szenarien-Planung kann mithilfe einer Planungsvorlage erstellt werden oder aber die Industrie bietet vordefinierte Szenarien an.
----------
Es ist essenziell, kritische Prozesse, Lücken und Risiken zu verstehen
Ein Plan für Cyber-Notfälle ist gut. Aber ein auf Herz und Nieren getesteter Plan ist besser. Mit einer Planbewertung sowie Tabletop- und Simulationstests lässt sich die Resilienz überprüfen. Was es zu beachten gibt, sagt Dragisa Mitrovic, Senior Security Consultant, T-Systems Schweiz. Interview: Coen Kaat
Was sollten Unternehmen bedenken, wenn sie ein Business Continuity Management (BCM) aufsetzen?
Dragisa Mitrovic: Unternehmen sollten sich zunächst Zeit nehmen, Strategien und Pläne für die Geschäftskontinuität zu entwickeln. Es ist essenziell, kritische Prozesse, Lücken und Risiken zu verstehen und zu identifizieren, um sicherstellen zu können, dass das Unternehmen effektive Reaktions- und Wiederherstellungspläne entwickeln kann. Zudem müssen sich Mitarbeitende in Schlüsselpositionen ihrer Verantwortlichkeiten in einem Unterbrechungsfall bewusst sein. Und zu guter Letzt gilt es, die Business-Continuity-Pläne entsprechend zu testen.
Erübrigen sich die Tabletop-Tests, wenn man regelmässig Simulationstests durchführt?
Für die Durchführung eines Tabletop-Tests gibt es gute Gründe, auch in einer Organisation, die bereits eine höhere Maturität im Thema BCM erreicht hat. Ein Tabletop-Test bietet dabei vielerlei Vorteile für Organisationen. Es ist sehr gut möglich, dass aus betrieblichen Gründen interne Fachteams beziehungsweise Dienstleister für einen Simulationstest nicht zur Verfügung stehen, sei es aus Mangel an Ressourcen oder aber wegen fehlender vertraglicher Grundlagen mit dem Partner oder Zulieferer. Der grösste Vorteil eines Tabletop-Tests ist, dass man in einem Übungszeitraum sehr viele Szenarien mit einem Minimum an Ressourcen testen und gleichzeitig sehr flexibel bei der Durchführung sein kann.
Wie realistisch sind diese Simulationstests?
Mit Simulationstests sind wir in der Lage, realistische Szenarien abzubilden, die sich tatsächlich ereignet haben. Als Beispiel möchte ich den Ransomware-Angriff "LockerGoga" auf Norsk Hydro nennen, der für den verarbeitenden Sektor von Bedeutung war. Der norwegische Aluminiumhersteller Norsk Hydro wurde von der Ransomware "LockerGoga" angegriffen und als Folge davon kam es zu Produktionsproblemen und einem vorübergehenden Stillstand in mehreren Werken. Damit will ich sagen, dass eine Simulation an die Verhältnisse des Kunden angepasst wird, sowohl an den Bedingungen beziehungsweise die Relevanz im jeweiligen Branchensektor. Das kann etwa das Simulieren eines Ransomware-Helpdesks sein über die Einbeziehung von sogenannten Interjects. Interjects verkörpern Rollen in einem Szenario, zum Beispiel Reporter oder andere Akteure.
Stört die Einspielung einer simulierten Malware nicht das Alltagsgeschäft?
Bei T-Systems benutzen wir Malware-Simulatoren, die nur die Auswirkungen eines erfolgreichen Angriffs simulieren, beispielsweise eine Alarmierung auslösen, aber sonst keine Unterbrechung am System verursachen und somit das Alltagsgeschäft nicht beeinträchtigen.
Woher holen Unternehmen die Expertise für solche Tests?
Gerade den KMUs fehlen das Know-how und die Erfahrung, ein BCM einzuführen und umzusetzen. Unternehmen können dafür auf einen externen Security-Consulting-Dienstleister zurückgreifen, der dieses Wissen und die nötige Expertise mit einbringt.
Update: Österreichischer Investor übernimmt Devolo
Umfassende Cybersicherheit für OT-Umgebungen
Peoplefone lanciert Mobile-Abos für Geschäftskunden
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Cybersicherheit mit Infinigate Cloud
Logpoint hat neu zwei Partnerprogramme
Wie der IT-Arbeitsplatz von morgen gemäss HP aussieht
"Wir suchen Partner, die wachsen möchten"
Die wichtigsten Werkzeuge für die Abwehr
