Incident Readiness: Gewappnet für den IT-Notfall
Gänzlich zu verhindern sind IT-Sicherheitsvorfälle nicht. Daher sollte ein Unternehmen bereits vorab Massnahmen getroffen haben, um die Auswirkungen eines IT-Sicherheitsvorfalls zu minimieren – genau das verbirgt sich hinter dem Begriff "Incident Readiness".
Die Geschichte lehrt uns, dass Herrscher und Feldherren unzählige Kriege und Schlachten verloren haben, weil sie den Feind unterschätzten und eigene Schwachstellen nicht kannten. Diese Analogie lässt sich auf die IT-Sicherheit übertragen: Wer die Methoden von Cyberkriminellen kennt und seine Schwachstellen wie fehlende Patches frühzeitig schliesst, muss Angriffsversuche auf das eigene Unternehmensnetzwerk nicht fürchten. Genau dieses Konzept verbirgt sich hinter "Incident Readiness".
Incident Readiness bezeichnet eine vorausschauende Planung von Massnahmen eines Unternehmens für einen IT-Sicherheitsvorfall. Ziel der Planungen ist es, die Handlungsfähigkeit des Unternehmens nach einer Attacke schnellstens wiederherzustellen, sodass die negativen Auswirkungen und wirtschaftlichen Schäden so gering wie möglich ausfallen. Grundsätzlich steht jede Vorfallsbewältigung im Zusammenhang mit einem Business Continuity Management. Jedes Unternehmen muss in der Lage sein, den Umfang des Vorfalls zu bestimmen und seine Relevanz hinsichtlich straf- und zivilrechtlicher Folgen abzuschätzen. Dazu zählt beispielsweise die Europäische Datenschutz-Grundverordnung oder branchenspezifische Compliance-Regeln sowie der wirtschaftliche Schaden.
Was wäre, wenn …?
Zu Beginn eines Incident-Readiness-Prozesses steht in der Regel die Aufarbeitung der Ist-Situation. Dazu müssen sich die Verantwortlichen mit folgenden Fragen auseinandersetzen: Ist die Dokumentation der IT-Infrastruktur aktuell und offline verfügbar? Ist die maximal tolerierbare Ausfallzeit für die einzelnen Systeme bekannt? Auf welche Fall-Back-Prozesse kann bei einem Ausfall von Systemen, zum Beispiel E-Mail oder Telefon, zurückgegriffen werden?
Darüber hinaus gilt es, die IT auf Schwachstellen hin zu überprüfen, denn gerade diese nutzen Cyberangreifer konsequent aus. Typische Schwachstellen finden sich oftmals bei der Rechtevergabe, der Passwort-Policy, den Backup-Prozessen, dem Patch-Management sowie bei Remote-Zugängen von Dienstleistern und Herstellern oder bei Bring-your-own-Device-Policies. Grundsätzlich sollte jedes Unternehmen im Rahmen eines Incident-Readiness-Prozesses seine spezifische IT-Infrastruktur sowie den individuellen Umgang der Mitarbeitenden damit im Einzelfall prüfen.
Planbares Handeln
Checklisten sind eine wertvolle Hilfe, um im Ernstfall die richtigen Sofortmassnahmen umzusetzen. Dabei sollten Verantwortliche Folgendes beachten: Formulieren Sie die Liste so einfach wie möglich, dann weiss jeder Mitarbeitende, was er zu tun hat. Drucken Sie die Checkliste aus und sorgen Sie dafür, dass diese für alle zugänglich ist. Liegt die Kontrollliste in einem verschlossenen Schrank oder in einem durch eine Ransomware verschlüsselten Dokument, ist sie im Ernstfall keine Hilfe.
Ganz lassen sich IT-Sicherheitsvorfälle nicht verhindern. Unternehmen können mit der richtigen Vorbereitung deren Eintrittswahrscheinlichkeit verringen und die oft fatalen Folgen erheblich abmildern.
----------
Incident Readiness können Unternehmen nicht aus eigener Kraft bewältigen
Kein Unternehmen ist unhackbar. Statt hohe Mauern um sich aufzubauen, sollten IT-Verantwortliche lieber planen, wie man nach einem Zwischenfall schnellstmöglich wieder in den Normalbetrieb zurückkehrt. Wie man sich auf so einen Ernstfall vorbereitet, erklärt Cornelia Lehle, Sales Director bei G Data Schweiz.
Interview: Coen Kaat
Wie hilft Incident Readiness dabei, ein Unternehmen sicherer zu machen?
Cornelia Lehle: Incident Readiness lässt sich gut an unserem Auto erklären. Mit Crashtests und Schutzsystemen wie Gurten, Airbags oder ABS sind Autos deutlich sicherer geworden. Und trotzdem passieren jeden Tag Unfälle auf unseren Strassen. Der entscheidende Unterschied: Die Folgen sind in den meisten Fällen nicht so gravierend, und weit weniger Unfälle verlaufen tödlich. Ziel von Incident Readiness ist es, Unternehmen auf einen IT-Notfall vorzubereiten und sicherzustellen, dass es nach einem Sicherheitsvorfall handlungsfähig bleibt und schnellstmöglich wieder in den Normalbetrieb zurückzukehren kann. Denn jedes Unternehmen ist heutzutage von einer funktionierenden IT genauso abhängig wie von Strom und Wasser.
Was ist der erste Schritt, wenn man das Thema Incident Readiness anpacken will?
Der allererste Schritt ist zunächst einmal, zu akzeptieren, dass das eigene Unternehmen einer Cyberattacke zum Opfer fallen kann – unabhängig davon, ob geplant mit einem gezielten Angriff oder zufällig im Rahmen einer breit angelegten Malware-Kampagne. Denn viele Unternehmen sind nach wie vor der festen Überzeugung, dass kriminelle Hacker ihr Unternehmen niemals ins Visier nehmen, weil sie aus ihrer Sicht kein lohnendes Ziel sind. Das ist aber eine ebenso falsche wie fatale Denkweise.
Wie gelingt eine gute Incident-Readiness-Planung?
Verantwortliche sollten Incident Readiness strategisch in das Business-Continuity-Management einbinden. Ein zentraler Punkt dabei ist die Risikoabschätzung, also die Frage, welche Risiken in Bezug auf mein Netzwerk bestehen und welche Auswirkungen diese haben. Dazu zählen etwa Schwachstellen in den Systemen oder unaufmerksame Mitarbeitende. Wer hier eine grundlegende Analyse durchführt und Massnahmen umsetzt, um Lücken zu schliessen, handelt weitsichtig. Getrennte Netzwerke, gehärtete Systeme und geschulte Mitarbeitende sorgen im Worst Case dafür, dass sich der Schaden in Grenzen hält. Wie beim Brandschutz braucht es für IT-Sicherheitsvorfälle ein «Notfallhandbuch», in dem Prozesse definiert sowie Meldeketten und Zuständigkeiten geregelt sind. Jedem Mitarbeitenden muss klar sein, wie bei einem IT-Notfall zu reagieren und wer zu benachrichtigen ist. Denn je schneller Sie reagieren, desto kleiner der Schaden.
Was wird im Ernstfall oft vergessen und sollte daher auf keiner Checkliste für Notfälle fehlen?
Zwei Dinge halte ich hier für wesentlich. Zum einen sind Notfallpläne und Checklisten wenig hilfreich, wenn sie nicht mit Leben gefüllt werden. Ich empfehle jedem Unternehmen Notfallübungen – analog zum Brandschutz. So lernen alle Mitarbeitenden die Abläufe kennen und verinnerlichen diese, zum anderen lassen sich immer auch Vorgehensweisen optimieren. Der zweite Punkt: Drucken Sie die Pläne und Listen aus und bewahren diese an gut zugänglichen Orten auf. Diese nur digital aufzubewahren, ist fahrlässig. Wenn Ihre Systeme verschlüsselt sind, helfen die Pläne nicht weiter.
Wie können Fachhändler und Systemintegratoren ihre Kunden diesbezüglich unterstützen?
Grundsätzlich sehe ich einen steigenden Bedarf nach umfassenden IT-Sicherheitsdienstleistungen aufseiten der Unternehmen. Das Thema Incident Readiness können Unternehmen nicht aus eigener Kraft bewältigen. Da fehlt es einfach am Personal und am entsprechenden Know-how. Fachhändler, die ihren Kunden ganzheitliche IT-Dienstleistungen anbieten, können sich mit diesem Geschäftsfeld als vertrauenswürdiger Dienstleister positionieren und als strategischer Partner mit ihren Kunden eine langfristige Geschäftsbeziehung aufbauen, beziehungsweise diese fortsetzen. Fachhändler, die mit G Data zusammenarbeiten, wissen, dass wir sie auch in diesem Punkt umfassend beraten und sie entsprechend unterstützen.