Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

Stephen Lawton
von Stephen Lawton

Tabletop Exercises: 4 Pflichtübungen für Security-Teams

Analyse
17 Juni 20247 Minuten
Business ContinuityRisikomanagement

Diese Cybersecurity Tabletop Exercises sind essenziell für die Unternehmenssicherheit.

Für Cybersecurity Tabletop Exercises müssen Sie sich weder verbiegen, noch sportlich aktiv werden - aber die richtigen Fragen stellen. Dieser Leitfaden unterstützt Sie dabei.

Für Cybersecurity Tabletop Exercises müssen Sie sich weder verbiegen, noch sportlich aktiv werden – aber die richtigen Fragen stellen. Dieser Leitfaden unterstützt Sie dabei.

Foto: Master1305 | shutterstock.com

Unternehmen (egal welcher Größe) vor Schwachstellen zu schützen, ist eine wesentliche Aufgabe der IT-Sicherheitsorganisation. Darüber hinaus stellt das auch eine Best Practice mit Blick auf Cyberversicherungspolicen und Compliance-Anforderungen dar. Ein beliebter Evaluierungstest, der Cybersecurity-Teams und Unternehmensleitung ermöglicht, spezifische Bedrohungsszenarien durchzuspielen, ist die Tabletop Exercise.

Diese Übungen sind weniger als vollumfängliche Maßnahmen zu sehen, sondern bieten vielmehr die Gelegenheit, Krisen respektive den Prozess zu deren Bewältigung zu simulieren. Dazu diskutiert das Sicherheitsteam die in den unterschiedlichen Bedrohungsszenarien jeweils anfallenden Tasks und Reaktionsmaßnahmen. Eine Person fungiert dabei in der Regel als Moderator. Experten empfehlen, solche Tabletop Exercises über das ganze Jahr verteilt abzuhalten und die Themen dabei je nach Risikoprofil des Unternehmens zu rotieren.

Allerdings gibt es ähnlich viele Tabletop-Übungen wie potenzielle Schwachstellen – wo also anfangen? Einen guten Startpunkt für sinnvolle Tabletop-Übungen im Security-Bereich bilden die vier größten Bedrohungen im Unternehmensumfeld. Im Allgemeinen besteht der erste Schritt einer solchen Übung darin, das Ziel zu ermitteln, woraus sich dann automatisch die zu behandelnden Fragen ergeben. Tabletop Exercises sind also im Regelfall eng auf die Ziele des jeweiligen Unternehmens zugeschnitten. Dennoch können die folgenden, allgemeinen Empfehlungen IT-Sicherheitsentscheider und ihre Teams dabei unterstützen, Prioritäten zu setzen.

1. Ransomware-Attacken

Weil sie zu den profitabelsten Cybercrime-Aktivitäten gehören, stehen Ransomware-Angriffe bei kriminellen Hackern weiterhin hoch im Kurs. Die erpressen dabei immer öfter nicht nur Unternehmen, sondern auch deren Partner und/oder Kunden – und zwar nicht nur einmal, wie eine aktuelle Studie von Akamai (PDF) zeigt: Demnach ist die Wahrscheinlichkeit, dass die Opfer von Ransomware-Attacken innerhalb von drei Monaten nach der initialen Attacke eine weitere erleben, sechsmal höher. Zwar ist die Zahl der Ransomware-Angriffe im Jahr 2022 zunächst zurückgegangen – allerdings sind die Folgeschäden durch Cybererpressungen im Jahr 2023 im Vorjahresvergleich um 50 Prozent angestiegen, wie David Anderson, Vice President of Cyber Liability beim Cyberversicherer Woodruff Sawyer, berichtet. “Für 2024 rechnen wir mit einer zunehmenden Zahl von Ransomware-Attacken”, ergänzt der Manager.

Eine Tabletop Exercise, in der das Cybersecurity Team Möglichkeiten eruiert, Ransomware und nachfolgende Erpressungsversuche zu identifizieren und abzuschwächen, ist also mehr als angebracht. Dabei sollten aufgrund von gesetzlichen Meldepflichten sowie potenzieller rechtlicher und finanzieller Verpflichtungen auch Stakeholder einbezogen werden, die nicht der Security-Organisation entstammen. Das können beispielsweise Rechts-, Kommunikations-, Finanz- oder Marketing-Spezialisten sowie Compliance-Beauftragte sein.

Folgende Fragen empfehlen sich für diese Tabletop-Übung, um auch Kunden und Geschäftspartner vor initialen Ransomware-Angriffen zu schützen.

  • Sind sämtliche Kundendaten verschlüsselt und so selbst im Falle eines erfolgreichen Datendiebstahls für die Angreifer unbrauchbar?

  • Befinden sich die Kundendaten in einem separaten Subnetz oder sind sie anderweitig von den primären Unternehmensdaten getrennt?

  • Wie werden die Daten von Geschäftspartnern geschützt, um sicherzustellen, dass vertrauliche Informationen nicht verwendet werden können, um diese zu erpressen?

  • Welche Strategien gibt es in Zusammenhang mit künstlicher Intelligenz, um Ransomware-Angriffe abzuwehren?

  • Wie gut funktioniert der bestehende Ransomware-Plan im Rahmen der Tabletop Exercise?

  • Kann das einstudierte Vorgehen bei Ransomware-Attacken die Business Continuity gewährleisten? Welche Aspekte können optimiert werden?

  • Welche Methoden sind geeignet, um Ransomware-Angriffe einzudämmen?

  • Wie sehen die Notfallpläne für den Fall aus, dass Backups kompromittiert werden?

  • Wie oft werden die Backups auf Malware überprüft?

  • Wie sieht der Meldeprozess für eine Ransomware-Attacke aus? Werden die gesetzlichen Vorgaben erfüllt?

  • Wie stimmt sich die Security-Abteilung mit Rechts-, Marketing- und Kommunikationsteams ab, um alle betroffenen Parteien und die Medien zu informieren?

2. Risiken durch Drittanbieter

Laut Verizons “2022 Data Breach Investigations Report” (Download gegen Daten) stehen 62 Prozent aller Datenschutzverletzungen in Zusammenhang mit (Komponenten von) Drittanbietern. Forrester-Analystin Alla Valente hält diesen Wert für zu konservativ – sie geht davon aus, dass er bei ungefähr 70 Prozent liegt. Supply-Chain-Angriffe sind inzwischen zwar an der Tagesordnung, werden allerdings oft fälschlicherweise als Ransomware-Attacke oder APT-Angriff identifiziert. Erst im Anschluss stellen dann IT-Forensiker häufig fest, dass der Angriff über einen Drittanbieter initiiert wurde.

Third-Party Risk Management (TPRM) ist deshalb ein weiterer Bereich, in dem Tabletop-Übungen Pflicht sind. Teilnehmen sollten daran die Vertreter der wichtigsten, nachgelagerten Geschäftspartner des Unternehmens – etwa Zulieferer. Auch deren Cyberversicherungsanbieter, die Strafverfolgungsbehörden und die Geschäftsleitung sollten einbezogen werden.

Diese Fragen sind für Tabletop Exercises im Bereich TPRM relevant:

  • Wie wird die Kommunikation und Datenübertragung in Zusammenhang mit Ihren Geschäftspartnern auf potenzielle Bedrohungen überprüft?

  • Haben Geschäftspartner direkten Zugriff auf die Datenbanken des Unternehmens – oder wird dabei auf potenzielle Bedrohungen überprüft?

  • Umgehen Partner bestehende Sicherheitskontrollen oder -richtlinien, was potenzielle Schwachstellen schafft, die dafür sorgen könnten, dass Schadsoftware ins Unternehmen gelangen kann?

  • Welche Richtlinien und Verfahren existieren, um sicherzustellen, dass die nachgelagerten Partner keine kompromittierten Daten liefern? Überprüfen Sie nur primäre Partner oder auch sekundäre und tertiäre?

  • Wie werden Daten überprüft, die Ihr Unternehmensnetzwerk oder Ihre Cloud verlassen, um sicherzustellen, dass diese keine Malware enthalten, die vorgelagerte Partner infiziert?

  • Welche Richtlinien und Verfahren gibt es, um sicherzustellen, dass alle im Unternehmensnetz oder in der Cloud vorhandenen Daten auf Malware untersucht werden, bevor sie an einen Geschäftspartner übertragen werden?

  • Welche Richtlinien und Verfahren gibt es, um einen potenziellen Geschäftspartner zu überprüfen?

  • Wie sehen die Prozesse aus, um Schwachstellen bei Dritten zu beheben, bevor diese Zugriff auf Unternehmensressourcen erhalten?

  • Sind sämtliche Cloud-Instanzen ordnungsgemäß konfiguriert und abgesichert?

  • Wurden nicht mehr genutzte E-Mail-Konten ausgemistet und sind aktive Accounts ordnungsgemäß abgesichert?

3. Insider-Bedrohungen

Insider-Bedrohungen treten in zweierlei Form auf:

  1. Böswillige Insider gefährden die Unternehmensressourcen mit voller Absicht, etwa, um sich finanziell zu bereichern oder sich an ihrem Arbeitgeber zu rächen.

  2. “Gutartige” Innentäter erzeugen versehentlich oder aufgrund von Unwissenheit eine Sicherheitslücke.

Eine Tabletop Exercise im Bereich Insider Threats sollte folgende Fragen enthalten, um Aufschluss darüber zu geben, ob eine solche Bedrohung vorliegt oder nicht.

  • Welche Sicherheitsmaßnahmen sind in Kraft, wenn spezifische Anfragen eingehen, die dazu anweisen, Firmengelder zu überweisen – unabhängig davon, ob diese per E-Mail, Telefon oder Videoanruf erfolgt?

  • Wie oft werden diese Kontrollen von Sicherheits- und Managementteams reevaluiert und aktualisiert, wenn sich die technischen Voraussetzungen verändern?

  • Welche physischen Sicherheitskontrollen sind existent, um sicherzustellen, dass nur autorisierte Benutzer Zugang zu On-Premises-Assets haben?

  • Welche Sicherheitsmaßnahmen gibt es für Remote-Benutzer, die auf Unternehmensressourcen wie E-Mails und Datenspeicher zugreifen?

  • Welche Tools setzen Sie ein, um Insider-Bedrohungen zu erkennen? Sind diese in der Lage, die potenzielle Bedrohung als bösartig (oder nicht bösartig) einzustufen?

  • Wie sehen die Richtlinien und Prozesse für den Umgang mit Insider Threats aus?

  • Welche rechtlichen und regulatorischen Folgen können aus Insider-Vorfällen erwachsen?

  • Wie lassen sich die Risiken einer Insider-Bedrohung minimieren?

4. DDoS-Angriffe

Das Ziel von DDoS-Angriffen (Distributed Denial of Service) besteht vor allem darin, den Betrieb lahmzulegen. Der DDoS-Angriff auf Google im Jahr 2023 hat eindrücklich gezeigt, welches Ausmaß solche Attacken mit Botnetzen inzwischen annehmen können.

Weil DDoS-Angriffe praktisch immer außerhalb des Unternehmensnetzwerks initiiert werden, sollten Unternehmen, die eine Tabletop-Übung zum Schutz vor DDoS-Angriffen vorbereiten, beispielsweise folgende Fragen miteinbeziehen.

  • Wie schnell kann ein DDoS-Angriff erkannt und abgewehrt werden?

  • Wie sehen die Pläne aus, um DDoS-Attacken zu entschärfen, insbesondere am Netzwerkrand?

  • Welche Schutzmaßnahmen existieren auf Infrastrukturebene, um SYN-Floods und andere Reflection-Angriffe zu verhindern?

  • Welche Schutzmaßnahmen gibt es auf der Anwendungsebene gegen HTTP-Request Floods und ähnliche anwendungsbasierte Angriffe?

  • Wie lässt sich die Zahl der Angriffsvektoren reduzieren?

  • Wie wird das Netzwerk skaliert, um auf potenzielle Angriffe zu reagieren?

  • Inwiefern tragen Endpoint-Lösungen zur Abwehr von DDoS-Angriffen bei? Wie oft wird das getestet?

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

(fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Stephen Lawton
von Stephen Lawton
Contributor

Stephen Lawton is a veteran journalist and cybersecurity subject matter expert who has been covering cybersecurity and business continuity for more than 30 years. He was named a Global Top 25 Cybersecurity Expert in 2022 and 2023, as well as a Global Top 25 Data Expert in 2023. Stephen spent more than a decade with SC Media, where he served as editorial director of the content lab. Earlier he was chief editor for several national and regional award-winning publications, including MicroTimes and Digital News & Review. Stephen is the founder and CEO of AFAB Consulting LLC, a content and cybersecurity consulting firm.

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild