Wenn Cybersecurity-Novizen erstmals mit einem Ernstfall konfrontiert sind, sind Anfängerfehler wahrscheinlich. So ändern Sie das. Damit Security-Einsteiger im Ersntfall reagieren, brauchen Sie die richtige Führung. Foto: Andrey Popov – shutterstock.comAuf Krisen, Angriffe oder Vorfälle (richtig) zu reagieren, stellt schon für die meisten erfahrenen Cybersecurity-Profis eine echte Herausforderung dar. Müssen unerfahrene Einsteiger eskalierende Sicherheitskrisen bewältigen, steigt die Gefahr für kostspielige Fehler. Zum Beispiel, wenn:das Ausmaß einer Sicherheitsverletzung nicht erkannt wird,Eskalationsmöglichkeiten nicht bekannt sind,Kommunikationspannen auftreten,Backups nicht vorhanden sind, Protokolle nicht gespeichert oderinfizierte Systeme zu früh abgeschaltet werden.Wir haben das Thema mit Sicherheits-Profis und -Entscheidern diskutiert und geben Ihnen im Folgenden fünf Tipps an die Hand, um Security-Einsteiger bestmöglich auf die nächste, beziehungsweise erste, echte Krise vorzubereiten.1. Grundlagen vermittelnNach Auffassung von Craig Jones, Vice President of Security Operations beim Sicherheitsanbieter Ontinue, brauchen Security-Teams grundlegende Informationen über Geschäftsanforderungen, Risikoprofile und die wichtigsten Assets eines Unternehmens: “Das Team muss wissen, was es absichern soll und warum. Außerdem müssen die Teammitglieder die Geschäftsprozesse kennen, deren Bedeutung sowie die Auswirkungen möglicher Sicherheitsverletzungen verstehen. Das ermöglicht ein besseres Verständnis der potenziellen Schwachstellen und Bedrohungen.” Fernando Montenegro, Analyst beim Beratungsunternehmen Omdia, fügt hinzu: “Das Team sollte auch mit den bestehenden Incident-Management-Prozessen vertraut sein und wissen, welche Systeme und Beziehungen wichtig sind. Darüber hinaus sollten dem Team die grundlegenden Techniken und Tools im Bereich Incident Response und IT-Forensik bekannt sein. Sicherheitsprofis müssen sowohl mit den technischen als auch den prozessualen Aspekten der Krisenbewältigung vertraut sein.” 2. Krise definierenAllerdings ist Krise nicht gleich Krise. Bei der Vorbereitung eines neuen Cybersecurity-Teams auf den Ernstfall sei es deshalb wichtig, diesen Begriff für das jeweilige Unternehmen zu definieren und mögliche Szenarien nach Schwere- sowie Wahrscheinlichkeitsgrad einzuordnen, meint John Pescatore, Director of Emerging Security Threats am SANS Institute. Er erklärt: “Es ist nicht so, dass Ransomware immer die größte Gefahr darstellt. Manchmal liegt der Grund für eine Security-Krise in externen Faktoren. Ich erinnere mich zum Beispiel an den CIO eines Krankenhauses in der Region Boston, der nach dem Bombenanschlag auf den Marathon von Kompromittierungsversuchen berichtete. Der Grund: In der Presse war zu lesen, die Täter seien dort Patienten gewesen.” Sind alle Unklarheiten über die Definition des Begriffs Krise beseitigt, empfiehlt der SANS-Direktor, Playbooks für die wahrscheinlichsten Szenarien zu erstellen, die auch Verantwortlichkeiten festlegen: “Ziehen Sie interne Planübungen in Erwägung. Im nächsten Schritt können Sie dann die Playbooks – oder Abschnitte – für weniger wahrscheinliche Krisenfälle abändern.”Als globale Quelle für Best Practices und kostenlose Ressourcen empfiehlt der SANS-Manager die Plattform FIRST (Forum of Incident Response and Security Teams).Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. Jetzt CSO-Newsletter sichern3. Incident-Response-Plan entwickelnDamit (nicht nur neue) Cybersicherheitsexperten richtig auf Krisen reagieren können, brauchen sie einen Incident-Response-Plan, dem sie folgen können. Dabei handelt es sich – im Gegensatz zu einem Krisenmanagementplan, der einen strategischen Ansatz für Entscheidungsfindung und Management bieten soll – eher um ein taktisches Dokument, das eine Schritt-für-Schritt-Anleitung bietet, um Sicherheitsvorfälle zu entschärfen, wie Christopher Hallenbeck, CISO für die Americas-Region beim Sicherheitsanbieter Tanium, erklärt: “Obwohl es oft Überschneidungen zwischen einem Krisenmanagement- und einem Incident-Response-Plan gibt, geht letzterer viel mehr in die Tiefe.”Er fügt hinzu: “Bei der Ausarbeitung des Plans sollten Sie sicherstellen, dass Ihr Team in der Lage ist zu überprüfen, ob es Auswirkungen auf den Geschäftsbetrieb gibt, ob es zu Datenverlust gekommen ist und ob in Sachen Forensik und Recovery externe Hilfe nötig ist. Kann eine dieser Fragen mit ‘Ja’ beantwortet werden, sollte der Plan in Kraft treten. Dann müssen Sicherheitsverantwortliche gewährleisten, dass die Zuständigkeiten Ihres Teams klar abgegrenzt sind und Klarheit darüber besteht, wann andere Personen eingeschaltet werden müssen. Vermitteln Sie deshalb, dass es besser ist die Führung eher früher als später über einen Vorfall zu informieren, weil ein effektives Krisenmanagement von der frühzeitigen Einbeziehung der richtigen Personen abhängt.” George Jones, CISO beim Security-Anbieter Critical Start, empfiehlt IT-Sicherheitsentscheidern, sich bei der Erstellung von Incident-Response-Plänen an gängigen Frameworks wie beispielsweise NIST CSF zu orientieren. “Darüber hinaus sollten Sie dabei interne und externe Kommunikations- und Eskalationsverfahren sowie rechtliche und regulatorische Anforderungen berücksichtigen”, fügt der Manager hinzu.4. Richtig simulierenPraktisches Training ist ein grundlegender Aspekt der Krisenvorbereitung. Nach Meinung von Ontinue-Entscheider Jones sollten Security-Teams Simulationen nutzen, um Krisenszenarien durchzuspielen und ihre Skills zu optimieren, wenn es darum geht, tatsächliche Vorfälle zu erkennen und darauf zu reagieren.“Eine Tabletop-Übung ist zum Beispiel eine effektive Möglichkeit, eine Cyberkrise zu simulieren. Das ermöglicht Ihnen, in einer sicheren Umgebung zu experimentieren, Strategien zu verfeinern und Rollen und Verantwortlichkeiten zu klären. Ziehen Sie dabei auch in Erwägung, das neue Team in der Verwendung von Technologien wie SIEM und Threat Intelligence zu schulen. Ihr Team sollte darauf vorbereitet sein, schnell und entschlossen zu handeln.” Sein Namensvetter aus dem Hause Critical Start ist ebenfalls davon überzeugt, dass regelmäßige Simulationen dabei helfen, praktische Erfahrungen zu sammeln und verbesserungswürdige Bereiche zu identifizieren. Darüber hinaus käme das jedoch auch einer Kultur der Zusammenarbeit zugute: “Sicherheitsvorfälle erfordern oft eine funktionsübergreifende Koordination. Gute Beziehungen zwischen IT und Personal-, Rechts- oder anderen erfolgsrelevanten Abteilungen können an dieser Stelle erfolgsentscheidend sein.”5. Immersiv erlebenGeht es nach Omdia-Analyst Rik Turner, können Sicherheitsentscheider mit einem Cyber-Range-Service nur gewinnen, wenn es darum geht, “frische” Sicherheitsexperten auf Krisen vorzubereiten: “Solche Plattformen bieten realistische Übungsszenarien in einer erfahrungsbasierten Lernumgebung und lassen sich für jedes Unternehmen individuell konfigurieren.”Eine zwei- oder dreitägige, immersive Intensivschulung könne die Reaktionsfähigkeiten von Security-Experten entscheidend verbessern, so Turner – insbesondere, wenn die Ergebnisse auf die Karriereentwicklung einzahlen. (fm) Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren