Incident Response Management
Strategie statt Konfusion

Dieser Beitrag wurde am von in News veröffentlicht. Schlagworte: , , , , .


Kai Grunwitz

Autor: Kai Grunwitz ist Senior Vice President Central Europe bei NTT Security. (Quelle: NTT Security)

Dass das Web eine ziemlich gefährliche Sache ist, hat sich herumgesprochen. Und es vergeht ja auch kaum ein Tag, an dem nicht ein neuer „Vorfall“ gemeldet wird: neue Malware, Denial-of-Service-Angriffe, Datenverlust und -missbrauch in allen Spielarten sowie neuerdings die aggressiven CryptoLocker. Mittlerweile sind sich die meisten Unternehmen der Gefahr bewusst, Cyber-Crime ist ein Thema, und viele IT-Sicherheitsex¬perten sind gut über aktuelle Entwicklungen informiert.

Umso erstaunlicher ist, wie wenig Unternehmen auf den Fall des Falles vorbereitet sind. Wenn trotz aller Vorkehrungen doch etwas „passiert“ ist, agieren die meisten nämlich recht planlos. Die IT-Sicherheit befindet sich dann in heller Aufregung, Mails werden unkoordiniert hin- und hergeschickt, Informationen im Internet gesucht und wahllos mögliche Beteiligte kontaktiert – es herrscht Konfusion und ein strukturiertes Vorgehen ist nicht erkennbar. Diese Planlosigkeit kostet nicht nur wertvolle Zeit. Meist stellt man später fest, dass im Eifer des Gefechts wichtige Punkte übersehen oder wichtige Personen nicht miteinbezogen wurden. Und in der Regel sind auch keine Incident-Response-Tools zur sofortigen Reaktion auf Sicherheitsvorfälle implementiert. Andererseits erweist sich später immer wieder, dass einige der Ad-hoc-Maßnahmen eigentlich überflüssig und möglicherweise sogar kontraproduktiv waren.

Gerade weil ein erfolgreicher Cyber-Angriff auch eine psychologische Ausnahmesituation darstellt – die Verantwortlichen sind zu Recht empört – ist es unerlässlich, rechtzeitig eine Incident-Response-Strategie und einen Notfallplan aufzustellen, der Schritt für Schritt vorgibt, was konkret zu tun ist – so wie das beispielsweise beim Brandschutz längst selbstverständlich ist; da werden ja auch nicht erst angesichts des Feuerscheins Leitern und Schläuche beschafft.

Davon sind die Unternehmen in der Praxis allerdings weit entfernt. So hat der NTT Security Global Threat Intelligence Report ergeben, dass drei Viertel der befragten Unternehmen nur unzureichend auf einen Incident vorbereitet sind. Bevor ein Sicherheitsvorfall ernsthaft abgearbeitet werden kann, müssen diese Unternehmen erst einmal die elementaren Vorbereitungen nachholen und zum Beispiel die Verantwortlichkeiten festlegen. Angesicht der hochprofessionellen Angreifer ist so ein amateurhaftes Vorgehen natürlich höchst gefährlich.

Die Unternehmen müssen daher dringend ein ebenfalls professionelles Incident-Response-Management einrichten. Sie benötigen dedizierte Ablauf- und Notfallpläne, damit sie auf unterschiedliche IT-Sicherheits¬vorfälle schnell reagieren können. Es müssen spezialisierte Incident-Response-Tools implementiert und ihre Anwendung trainiert werden. Und die Unternehmen brauchen im Rahmen eines Cyber-Defense-Centers spezielle Incident-Response-Teams, die natürlich über ein eigenes Budget verfügen müssen. Unternehmen, die dafür keine Ressourcen haben, können entsprechende Managed Security Services nutzen. Auf diese Weise wird die verständliche, aber ganz und gar ungeeignete Konfusion vermieden. Und das ist schon der erste Schritt zu einer erfolgreichen Abwehr.