Incident Readiness: Ein unverzichtbarer Teil des Risikomanagements

Die Zahl der Cyberattacken steigt seit Jahren dramatisch. Und weil sich Cyberkriminelle immer mehr professionalisieren, steigen auch die durch Angriffe verursachten Kosten seit vielen Jahren an. Daher ist völlig klar, dass Unternehmen in Cybersicherheit investieren müssen. Aber: IT-Sicherheit "richtig" zu machen, ist nicht ganz billig. Je nach Unternehmen und IT-Landschaft empfehlen Experten einen Betrag zwischen 0,5 und 1 Prozent des Gesamtumsatzes. Daher sollten Verantwortliche die Auseinandersetzung mit IT-Sicherheit als Chance begreifen und business-kritische Prozesse unter die Lupe nehmen, um diese sinnvoll abzusichern. Dabei sollte neben allen sinnvollen Sicherheitsmassnahmen stets auch das Eintreten des Ernstfalls mitgedacht werden. Experten bezeichnen diesen Vorgang als Incident Readiness.

Netzwerke segmentieren

Produzierende Unternehmen investieren in Anlagen und Maschinen, die oftmals über mehrere Jahrzehnte im Einsatz sind. Deren Steuerungsanlagen arbeiten häufig noch mit veralteten Betriebssystemen wie Windows XP, die keine Updates mehr erhalten. Allerdings bestehen vielfältige Schnittstellen in andere Systeme, etwa in die Produktentwicklung. Diese Abhängigkeiten müssen Verantwortliche bei der Planung eines Netzwerkes berücksichtigen. So lassen sich kritische Systeme vom Rest des Netzwerkes segmentieren und sicher weiterbetreiben. Eine solche Segmentierung lässt sich mittels virtueller Netzwerke mit allen handelsüblichen Netzwerklösungen realisieren. Wichtig dabei: Auch der Verkehr zwischen den Subnetzwerken ist zu regeln.

Papier ist geduldig und sicher

Was Unternehmen unbedingt brauchen, ist ein Plan. Und zwar auf Papier. Gemeint ist eine Übersicht des eigenen Netzwerkes und der verwendeten Geräte. Im Notfall sind die Informationen aus einem Ordner deutlich praktischer, als wenn diese auf dem verschlüsselten Server oder dem nicht funktionsfähigen Notebook des Administrators oder der Administratorin gespeichert sind. Denn diese Informationen stellen sicher, dass ein externes Incident-Response-Team deutlich schneller die Arbeit aufnehmen kann. So wird das Unternehmen in der Regel in kürzerer Zeit wieder arbeitsfähig.

Die Human Firewall

Auch die eigenen Mitarbeitenden sind ein integraler Teil der Notfallvorsorge. Denn im besten Fall können sie einen Cyberangriff verhindern, wenn sie etwa einen Phishing-Versuch erkennen. In diesem Kontext spielt allerdings auch die IT-Abteilung des Unternehmens eine wichtige Rolle: Sie sollte der Grösse des Unternehmens angemessen sein, damit sie in der Lage ist, alle Systeme auf dem aktuellen Stand zu halten und Angriffe frühzeitig zu erkennen. In der Realität mangelt es vielen Unternehmen allerdings an der ausreichenden IT-Unterstützung. Gerade im Mittelstand sind nicht selten nur einer oder wenige Mitarbeitende sowohl für den First-Level-Support als auch für die Wartung wichtiger Assets verantwortlich.

Einzelkämpfer gewinnen keinen ­IT-Sicherheitskampf

Fehlt es an Fachleuten, lassen sich auch die Warnmeldungen einer Endpoint-Protection weder regelmässig betrachten noch auswerten. Und wer höherwertige Lösungen wie etwa ein SIEM nutzt, kann diese zusätzlich generierte Datenflut erst recht nicht bewältigen. Auch wenn ein SIEM grundsätzlich eine nützliche Sache ist, kann es den optimalen Nutzen gar nicht entfalten. Gerade bei grösseren und komplexen Netzwerken ist es empfehlenswert, eigenes IT-Sicherheitspersonal zu beschäftigen, das nicht primär die Administration des Netzwerkes verantwortet, sondern explizit die Sicherheit im Auge behält. Das betrifft sowohl die kontinuierliche Prüfung der Infrastruktur entsprechend definierten Mindeststandards als auch das Monitoring der eingesetzten Sicherheitslösungen. Ein weiterer Vorteil: Wenn ein Angriff mittels Ransomware frühzeitig erkannt wird, lässt sich ein Schaden möglicherweise minimieren.

Hilfe suchen bei Experten

Aktuelle Beispiele verdeutlichen immer wieder: Ein IT-Sicherheitsvorfall lässt sich nicht mit Gewissheit verhindern. Daher gilt es, für den Krisenfall alle Prozesse vorzudenken. Es beginnt schon damit, klare Verantwortlichkeiten festzulegen: Eine Stelle sollte den Krisenstab leiten und alle notwendigen Informa­tionen zusammenführen. Diese sollte neben den technischen Fragestellungen auch rechtliche Aspekte berücksichtigen.

Die Erfahrungen der vergangenen Jahre zeigen, dass es sinnvoll ist, schon im Vorfeld Kontakt zu einem qualifizierten Dienstleister für Incident Response aufzunehmen. Mit einem sogenannten Incident-Response-Retainer sichern sich Unternehmen die Unterstützung von Fachleuten. Der Vorteil: Es gibt vertraglich zugesicherte Fristen, innerhalb derer die Expertinnen und Experten ihre Arbeit aufnehmen. Hinzu kommt: Bei Grosslagen wie etwa den Sicherheitslücken in Microsoft Exchange Anfang 2021, ist die kurzfristige Verfügbarkeit entsprechender Dienstleister nicht immer garantiert. Wer vorab einen Vertrag mit einem Dienstleister abschliesst, geniesst hier Priorität, bleibt im Krisenfall handlungsfähig und muss nicht untätig zuschauen. Wird ein verantwortungsvoller Partner im Rahmen eines Retainers für Incident Response engagiert, nehmen die Fachleute in der Regel zu Beginn der Zusammenarbeit wichtige Daten des Unternehmens auf. Im Krisenfall kann das Team so deutlich schneller agieren und muss nicht erst umständlich notwendige Daten recherchieren.

Schweigen ist Silber, reden ist Gold

Wenn Stillstand herrscht und das Chaos tobt, haben Verantwortliche meistens andere Dinge im Sinn als die Kommunikation mit Mitarbeitenden, Kunden und der Öffentlichkeit. Zu gross ist die Unsicherheit, vielleicht auch die Scham, zuzugeben, Opfer eines Cyberangriffs geworden zu sein. Dabei gilt gerade in der Krise: Wer gut kommuniziert, kann einen langfristigen Imageschaden nicht nur abwenden, sondern die Krise sogar als Chance nutzen.

Wichtig ist es, in Absprache mit technischen Expertinnen und Experten zu kommunizieren, was bereits gesichert ist. Gleichzeitig sollten Verantwortliche auf Spekulationen über Folgen oder Reichweite des Angriffs verzichten, wenn dazu noch keine gesicherten Informationen vorliegen. Viele Unternehmen ­schreiben vorschnell, dass bei einem Angriff, etwa mit Ransomware, keine Kundendaten betroffen seien. Gerade bei Ransomware-Attacken ist aber heute davon auszugehen, dass die Angreifer Daten ausleiten und auf ihre eigenen Server kopieren, um das Unternehmen ein weiteres Mal zu erpressen. Daher ist die Unternehmenskommunikation ein elementarer Bestandteil eines jeden Krisenstabs.

Mit einer guten Vorbereitung Kosten senken

Wer die genannten Massnahmen realisiert, steht im Krisenfall deutlich besser da und ist auch schneller wieder handlungsfähig. Es hat sich gezeigt, dass bei einem IT-Notfall nicht der Einsatz des Incident-Response-Teams der grösste Kostenpunkt ist, sondern der entgangene Umsatz durch den Stillstand der Produktion. Ebenfalls teuer ist es, wenn neue Hardware benötigt wird. Ist ein Netzwerk sinnvoll gegeneinander abgeschottet, muss nicht zwangsläufig die gesamte Hardware des Unternehmens getauscht werden.

IT-Sicherheit ist heute als ganzheitliches Konzept zu betrachten und umzusetzen – als zentraler Teil des betrieblichen Risikomanagements und des Business-Continuity-Managements. In einigen Branchen gibt es dafür bereits konkrete Compliance-Vorgaben, in anderen etablieren sich Best-Practices oder Quasi-Branchenstandards.

Was auch immer in Ihrer Branche gilt: Sie sollten sich mit dem Thema IT-Sicherheit auseinandersetzen. Das kostet erst einmal Geld und macht Arbeit – wird aber langfristig von gros­sem Nutzen sein. Bereits ein verhinderter Incident kann die Kosten für die Sicherheit mehrfach decken.