Incident Response Plan: Leitfaden für Vorfallreaktionspläne & Tipps zur Erstellung

Das Erstellen eines Incident Response Plans basiert auf den Fähigkeiten der Mitarbeiter. Wenn diese umfassend informiert und geschult sind, um einen Vorfall zu melden und zu bewältigen, wird die Reaktion auf das Ereignis effizient erfolgen.

Einen Vorfall im Bereich der Informationssicherheit möchte niemand erleben, aber leider ist der Umgang mit einem Sicherheitsvorfall eine Frage des Wann und nicht des Ob. Organisationen, die von einem Cybersicherheitsvorfall betroffen sind, sind sicherlich nicht allein. Nach Angaben des Weltwirtschaftsforums (WEF) ist die Cybersicherheit eines der dringlichsten Risiken für die Weltwirtschaft. Der Bericht unterstreicht jedoch die Tatsache, dass die Auswirkungen eines Cyberangriffs durch multilaterale Bemühungen gemildert werden können.

„Durch die Zusammenarbeit bei der Reaktion auf Vorfälle und den Informationsaustausch wird versucht, die Fähigkeiten im Bereich der Cybersicherheit zu zentralisieren, um die Auswirkungen von Cyberangriffen zu verringern.“

Ein Plan zur Reaktion auf Zwischenfälle ist eine solche Maßnahme. Im Folgenden finden Sie einen Überblick darüber, warum Sie einen solchen Plan benötigen und was bei der Erstellung eines Vorfallsreaktionsplans zu beachten ist.

Warum benötigen wir einen Plan für die Reaktion auf Zwischenfälle (Incident Response Plan)?

Der „Cyber Security Breaches Survey 2021“ der britischen Regierung hat ergeben, dass 27 % der britischen Unternehmen eine Datenschutzverletzung erlitten haben und mindestens einmal pro Woche angegriffen werden, wobei 39 % Geld und/oder Vermögenswerte verlieren. Die Bewältigung dieses Ansturms von Cyber-Bedrohungen erfordert einen gezielten Plan zur Reaktion auf Vorfälle. Dieser Plan bietet eine Vorlage für eine wirksame Reaktion auf einen Sicherheitsvorfall, wie z. B. Malware, Ransomware und unbefugten Zugriff.

Datenschutzverletzungen treten selten plötzlich auf: Der IBM-Bericht „Cost of a Data Breach 2020“ weist darauf hin, dass es 2019 im Durchschnitt 207 Tage dauerte, eine Datenschutzverletzung zu erkennen, und dann 73 Tage, um sie einzudämmen; das entspricht einem durchschnittlichen „Lebenszyklus“ von 280 Tagen, um die Auswirkungen auf den Betrieb eines Unternehmens zu verringern.

Ein Plan zur Reaktion auf einen Vorfall kann dazu beitragen, die Zeit bis zur Eindämmung einer Datenschutzverletzung zu minimieren und die Folgen schnell und effizient zu bewältigen. Die Zeit ist von entscheidender Bedeutung, wenn es um die Benachrichtigung über eine Datenschutzverletzung geht, da eine Reihe von Vorschriften, darunter DPA2018 und GDPR, eine Benachrichtigung innerhalb von 72 Stunden nach Auftreten einer Verletzung erwarten. Ein Plan zur Reaktion auf einen Vorfall informiert die für die Sicherheit und die Einhaltung der Vorschriften zuständigen Personen darüber, wie auf den Vorfall zu reagieren ist, und enthält die für die Meldung einer Datenschutzverletzung erforderlichen Einzelheiten.

Was umfasst ein Incident Response Plan?

Die Entwicklung eines Incident Response Plans ist ein Prozess, der einen logischen Ansatz für die Vorbereitung, Erkennung, Reaktion und Wiederherstellung nach einem Vorfall umfasst. Eine klare und eindeutige Vorstellung davon, was zu tun ist, wenn der schlimmste Fall eintritt, kann den Unterschied zwischen einem katastrophalen Nachspiel und einem reibungslosen Ablauf ausmachen.

Der Incident Response Plan sollte Folgendes beinhalten:

Die Erstellung eines Incident Response Plans

Wie alle guten Heimwerker wissen, ist die Vorbereitung der wichtigste Teil einer Arbeit. Das Gleiche gilt für die Erstellung eines Notfallplans. Die Vorbereitung des Plans beginnt bei den Menschen.

Rollen und Verantwortlichkeiten: Wer ist für welche Maßnahmen bei einem Zwischenfall verantwortlich? Bestimmen Sie ein Reaktionsteam für die Behandlung von Zwischenfällen. Dieses Team sollte sich auch an den einschlägigen Sicherheitsklauseln Ihres Unternehmens orientieren. Die Schulung des Personals ist ein wesentlicher Bestandteil der Vorbereitung und Durchführung des Notfallplans.

Ressourceninventar: Erstellen Sie eine Liste der Ressourcen in allen Abteilungen.

Risikobewertung: Identifizierung von Risikobereichen sowie Standort und Klassifizierung von Vermögenswerten. Bestimmen Sie die Risikostufen für jede Anlage, abhängig von der Wahrscheinlichkeit eines Angriffs und der Schwere eines Vorfalls. Zuordnung zu den Fähigkeiten, einen Angriff auf diese Anlagen zu bewältigen.

Arten von Zwischenfällen: Welche Arten von Zwischenfällen sind wahrscheinlich und was ist ein Zwischenfall? Wer ist im Falle eines Vorfalls für die Einleitung des Vorfallsmanagementprozesses verantwortlich? Die Organisationen sollten auch die Eskalationskriterien für die verschiedenen Arten von Vorfällen darlegen.

Zuordnung von Vorschriften: Dokumentieren Sie, welche Vorschriften relevant sind und welche Anforderungen erfüllt werden müssen, wenn ein Zwischenfall eintritt. Erstellen Sie Richtlinien für die Interaktion mit externen Behörden nach einem Zwischenfall.

Vorfallprotokoll: Fügen Sie ein Protokoll ein, um den Reaktionsprozess auf Vorfälle zu verwalten. Dies kann auch für die Einhaltung gesetzlicher Vorschriften nützlich sein.

Die Überwachung, Erkennung und Alarmierung im Incident Response Plan

In dieser zweiten Phase des Planungsprozesses für die Reaktion auf einen Zwischenfall geht es um die Überwachung, Erkennung und Alarmierung, wenn ein Zwischenfall eintritt.

Aufdeckungsstrategie: Welche Instrumente und Maßnahmen werden eingesetzt, um einen Vorfall zu erkennen? Dies muss Bedrohungen durch bekannte, unbekannte und vermutete Bedrohungen einschließen. Setzen Sie beispielsweise Tools zum Scannen von Netzwerken, Endpoint Detection and Response (EDR) usw. ein?

Warnungen: Welche Systeme werden verwendet, um vor einem möglichen Verstoß zu warnen?

Bewertung von Sicherheitsverletzungen: Wie kann Ihr Unternehmen Zero-Day-Schwachstellen oder Advanced Persistent Threats (APTs) aufspüren? Ein „Compromise Assessment“ kann verwendet werden, um unbekannte Sicherheitsverletzungen und unbefugten Zugriff auf Konten aufzuspüren.

Die Reaktionsphase im Incident Response Plan

Die Art und Weise, wie ein Unternehmen auf eine Sicherheitsverletzung reagiert, ist der Schlüssel dazu, dass die Datenexposition minimiert und der Schaden begrenzt wird. Die Reaktion auf einen Vorfall umfasst mehrere Bereiche, wie z. B. die Alarmtriage, ein wichtiger Aspekt, um fehlerhafte Reaktionsversuche auf einen Vorfall zu verhindern. Der Hauptaspekt des Reaktionsteils eines Vorfalls ist die Eindämmung und Beseitigung der Bedrohung. Der Plan zur Reaktion auf Vorfälle muss die folgenden Bereiche abdecken:

Bewertung von Sicherheitsverletzungen: Wie man das Ausmaß der Bedrohung quantifiziert und ob die Bedrohung real ist. Dazu gehört auch die Einstufung von Warnmeldungen.

Eindämmungsübungen: Wie wird eine Bedrohung eingedämmt, sobald sie identifiziert ist? Dazu kann die Isolierung von Systemen zum Schutz vor weiteren Infektionen/Datenlecks gehören.

Bewertung der Metriken der Sicherheitsverletzung: Wie sind die verletzten Daten klassifiziert? Waren die Daten sensibel? Hatte die Sicherheitsverletzung Auswirkungen auf gesetzliche Vorschriften?

Umgang mit einer Infektion/Verwundbarkeit: Wie werden infizierte Dateien generell entfernt und die Folgen einer Infektion beseitigt?

Aufbewahrung der Artefakte des Einbruchs: So erstellen Sie ein Protokoll des Vorfalls und etwaige forensische Beweise. Enthalten Sie das Wer, Was, Warum und Wo des Ereignisses.

Bereiten Sie sich darauf vor, Sicherheitsverletzungen zu benachrichtigen: Falls erforderlich, wie Sie sich auf die Benachrichtigung über eine Sicherheitsverletzung vorbereiten. Dies sollte auch öffentliche Bekanntmachungen umfassen und kann Vorlagen enthalten.

Kontaktaufnahme mit der Rechtsabteilung, der Compliance-Abteilung (und gegebenenfalls den Strafverfolgungsbehörden): Angaben dazu, wer für den Umgang mit der Rechtsabteilung und der Compliance zuständig ist und wie dies gehandhabt wird.

Wiederherstellung im Incident Response Plan

Die Wiederherstellung ist der letzte Teil des Prozesses der Reaktion auf einen Vorfall. Der Plan zur Reaktion auf einen Vorfall sollte zeigen, wie das Unternehmen nach einem Vorfall weiter vorgeht, welche Lehren es daraus zieht und welche Art von Wiederherstellungsübungen durchgeführt werden sollten:

Übungen nach einem Vorfall: Wie man die während der Reaktion auf den Vorfall entdeckten Lücken schließt.

Beseitigung des Risikos: Beseitigung des Risikos und Wiederherstellung des Zustands der Systeme vor dem Vorfall.

Bericht: Anleitung zur Erstellung eines Berichts über die Reaktion auf Vorfälle, um zukünftige Vorfälle zu verhindern. Aber auch Leitlinien für die fortlaufende forensische Datenerfassung und Überwachung, um die Sicherheit weiterhin zu gewährleisten

Rahmen und Standards für die Erstellung eines Notfallplans (Incident Response Plan)

Bei der Erstellung eines Plans zur Reaktion auf Zwischenfälle kann es hilfreich sein, sich von anerkannten Behörden beraten zu lassen.

ISO 27001: ist ein Anhang zur internationalen Norm ISO 27001, der nützliche Ratschläge für die Erstellung eines Protokolls für das Lebenszyklusmanagement eines Sicherheitsvorfalls enthält.

NIST-Verfahren zur Reaktion auf Vorfälle: NIST (National Institute of Standards and Technology) ist eine US-amerikanische Regierungsbehörde. Der Incident Response Process des NIST beschreibt die vier Schritte, die in diesem Artikel erwähnt werden.

Implementierung eines Plans zur Reaktion auf Zwischenfälle

Ein effizienter Umgang mit selbst verheerenden Ereignissen wird die gegenwärtigen und zukünftigen Auswirkungen eines Vorfalls abmildern. Die Schulung des Personals ist jedoch eine immerwährende Herausforderung, die nur im Rahmen des Krisenreaktionsplans einer einzelnen Organisation zu bewältigen ist. Jeder Vorfall wird anders angegangen; jede Organisation hat ihre eigenen Bedrohungen und internen Organisationsstrukturen.

Personalisierte Schulungsinhalte können verwendet werden, um die Einzigartigkeit jeder Organisation und ihren Ansatz für das Incident Management widerzuspiegeln. Durch die Erstellung eines personalisierten Vorfallsreaktionsplans, der Ihre einzigartige Organisationsstruktur widerspiegelt, können Sie sicherstellen, dass Sie die verschiedenen Bedrohungen, denen ein modernes Unternehmen ausgesetzt ist, abwehren.