Wie man einen effektiven Plan zur Reaktion auf einen Vorfall schreibt

Das Wissen, wie man einen Notfallplan schreibt, baut auf den Fähigkeiten der Menschen auf. Wenn die Mitarbeiter umfassend informiert und geschult sind, um einen Vorfall zu melden und zu bewältigen, wird das Ereignis effizient gehandhabt werden.

Einen Vorfall in der Informationssicherheit möchte niemand erleben, aber leider ist der Umgang mit einem Sicherheitsvorfall eine Frage des Wann und nicht des Ob. Organisationen, die einen Cybersicherheitsvorfall erleiden, sind sicherlich nicht allein. Laut dem Weltwirtschaftsforum (WEF) ist die Cybersicherheit eines der dringlichsten Risiken für die Weltwirtschaft. Der Bericht unterstreicht jedoch die Tatsache, dass die Auswirkungen eines Cyberangriffs durch multilaterale Anstrengungen gemildert werden können.

„Die Zusammenarbeit bei der Reaktion auf Vorfälle und der Informationsaustausch versuchen, die Fähigkeiten im Bereich der Cybersicherheit zu zentralisieren, um die Auswirkungen von Cyberangriffen zu verringern.“

Ein Incident Response Plan ist eine solche Maßnahme. Hier finden Sie einen Überblick darüber, warum Sie einen solchen Plan benötigen und was bei der Erstellung eines Incident Response Plans zu beachten ist.

Warum brauchen wir einen Plan zur Reaktion auf Zwischenfälle?

Der „Cyber Security Breaches Survey 2021“ der britischen Regierung hat ergeben, dass 27% der britischen Unternehmen von einer Datenschutzverletzung betroffen sind und mindestens einmal pro Woche angegriffen werden, wobei 39% Geld und/oder Vermögenswerte verlieren. Die Bewältigung dieses Ansturms von Cyber-Bedrohungen erfordert den scharfen Fokus eines Incident Response Plans. Dieser Plan bietet eine Vorlage für eine effektive Reaktion auf einen Sicherheitsvorfall, wie z.B. Malware, Ransomware und unbefugten Zugriff.

Datenschutzverletzungen treten selten plötzlich auf: Der IBM-Bericht „Cost of a Data Breach 2020“ weist darauf hin, dass es 2019 im Durchschnitt 207 Tage dauerte, eine Datenschutzverletzung zu erkennen und dann 73 Tage, um sie einzudämmen; das ist ein durchschnittlicher „Lebenszyklus“ von 280 Tagen, um die Auswirkungen auf den Betrieb eines Unternehmens zu reduzieren.

Ein Plan zur Reaktion auf einen Vorfall kann dazu beitragen, die Zeit bis zur Eindämmung einer Datenschutzverletzung zu minimieren und die Folgen schnell und effizient zu bewältigen. Die Zeit ist von entscheidender Bedeutung, wenn es um die Benachrichtigung über eine Datenschutzverletzung geht, da eine Reihe von Vorschriften, darunter DPA2018 und GDPR, eine Benachrichtigung innerhalb von 72 Stunden nach einer Datenschutzverletzung verlangen. Ein Plan zur Reaktion auf einen Vorfall informiert die für die Sicherheit und die Einhaltung der Vorschriften zuständigen Personen darüber, wie auf den Vorfall zu reagieren ist, und enthält die für die Meldung einer Sicherheitsverletzung erforderlichen Details.

Was beinhaltet ein Plan zur Reaktion auf Vorfälle?

Die Erstellung eines Notfallplans ist ein Prozess, der einen logischen Ansatz für die Vorbereitung, Erkennung, Reaktion und Wiederherstellung nach einem Vorfall beinhaltet. Eine klare und eindeutige Vorstellung davon zu haben, was zu tun ist, wenn der schlimmste Fall eintritt, kann den Unterschied zwischen einem katastrophalen Nachspiel und einem reibungslosen Ablauf ausmachen.

Das Playbook eines Incident Response Plans sollte Folgendes umfassen:

Bereiten Sie vor.

Wie alle guten Heimwerker wissen, ist die Vorbereitung der wichtigste Teil einer Arbeit. Das Gleiche gilt für die Erstellung eines Notfallplans (Incident Response Plan). Die Vorbereitung des Plans beginnt bei den Menschen.

Rollen und Verantwortlichkeiten: Wer ist für welche Maßnahmen bei einem Zwischenfall verantwortlich? Bestimmen Sie ein Reaktionsteam für die Behandlung von Zwischenfällen. Dieses Team sollte sich auch an den relevanten Sicherheitsklauseln Ihres Unternehmens orientieren. Die Schulung der Mitarbeiter ist ein wichtiger Bestandteil der Vorbereitung und Umsetzung des Notfallplans.

Ressourceninventar: Erstellen Sie eine Liste der Ressourcen in allen Abteilungen.

Risikobewertung: Identifizieren Sie die Risikobereiche zusammen mit dem Standort und der Klassifizierung der Vermögenswerte. Bestimmen Sie die Risikostufen für jede Anlage, abhängig von der Wahrscheinlichkeit eines Angriffs und der Schwere eines Vorfalls. Stellen Sie die Fähigkeit dar, einen Angriff auf diese Anlagen zu bewältigen.

Arten von Zwischenfällen: Welche Arten von Zwischenfällen sind wahrscheinlich und was ist ein Zwischenfall? Wer ist im Falle eines Vorfalls für die Einleitung des Vorfallsmanagementprozesses verantwortlich? Die Organisationen sollten auch die Eskalationskriterien für die verschiedenen Arten von Vorfällen darlegen.

Zuordnung von Vorschriften: Dokumentieren Sie, welche Vorschriften relevant sind und welche Anforderungen erfüllt werden müssen, wenn ein Zwischenfall eintritt. Erstellen Sie Richtlinien für die Interaktion mit externen Behörden nach einem Vorfall.

Vorfallprotokoll: Fügen Sie ein Protokoll ein, um den Reaktionsprozess auf Vorfälle zu verwalten. Dies kann auch für die Einhaltung gesetzlicher Vorschriften nützlich sein.

Erkennen Sie

In dieser zweiten Phase des Planungsprozesses für die Reaktion auf Vorfälle geht es um die Überwachung, Erkennung und Alarmierung, wenn ein Vorfall eintritt.

Erkennungsstrategie: Welche Tools und Maßnahmen werden eingesetzt, um einen Vorfall zu erkennen? Dies muss Bedrohungen durch bekannte, unbekannte und vermutete Bedrohungen einschließen. Setzen Sie zum Beispiel Tools zum Scannen von Netzwerken, Endpoint Detection and Response (EDR) usw. ein?

Warnungen: Welche Systeme werden verwendet, um vor einem möglichen Verstoß zu warnen?

Bewertung von Sicherheitsverletzungen: Wie wird Ihr Unternehmen Zero-Day-Schwachstellen oder Advanced Persistent Threats (APTs) aufspüren? Ein „Compromise Assessment“ kann verwendet werden, um unbekannte Sicherheitsverletzungen und unbefugten Zugriff auf Konten aufzuspüren.

Antworten Sie

Die Art und Weise, wie ein Unternehmen auf eine Sicherheitsverletzung reagiert, ist der Schlüssel dazu, dass die Gefährdung von Daten minimiert und der Schaden begrenzt wird. Die Reaktion auf einen Vorfall umfasst mehrere Bereiche, wie z.B. die Alarmtriage, ein wichtiger Aspekt, um fehlerhafte Reaktionsversuche zu verhindern. Der Hauptaspekt des Reaktionsteils eines Vorfalls ist die Eindämmung und Beseitigung der Bedrohung. Der Plan zur Reaktion auf einen Vorfall muss die folgenden Bereiche abdecken:

Bewertung von Sicherheitsverletzungen: Wie Sie das Ausmaß der Bedrohung quantifizieren und ob die Bedrohung real ist. Dazu gehört auch die Einstufung von Alarmen.

Eindämmungsübungen: Wie wird eine Bedrohung eingedämmt, sobald sie identifiziert ist? Dazu kann die Isolierung von Systemen zum Schutz vor weiteren Infektionen/Datenlecks gehören.

Bewertung der Metriken der Sicherheitsverletzung: Wie sind die verletzten Daten klassifiziert? Waren die Daten sensibel? Hatte der Verstoß Auswirkungen auf gesetzliche Vorschriften?

Umgang mit einer Infektion/Schwachstelle: Wie entfernen Sie die infizierten Dateien und wie gehen Sie mit den Folgen einer Infektion um?

Artefakte des Einbruchs aufbewahren: Wie Sie ein Protokoll des Vorfalls und aller forensischen Beweise erstellen. Enthalten Sie das Wer, Was, Warum und Wo des Ereignisses.

Bereiten Sie sich auf die Benachrichtigung über einen Verstoß vor: Falls erforderlich, wie Sie sich auf die Benachrichtigung über eine Sicherheitsverletzung vorbereiten. Dies sollte öffentliche Bekanntmachungen einschließen und kann Vorlagen enthalten.

Kontaktaufnahme mit der Rechtsabteilung und der Compliance-Abteilung (und möglicherweise mit den Strafverfolgungsbehörden): Angaben dazu, wer für den Umgang mit der Rechtsabteilung und der Compliance zuständig ist und wie dies gehandhabt wird.

Wiederherstellen

Die Wiederherstellung ist der letzte Teil des Prozesses der Reaktion auf einen Vorfall. Der Plan zur Reaktion auf einen Vorfall sollte zeigen, wie das Unternehmen nach einem Vorfall weiter vorgeht, welche Lehren es daraus zieht und welche Art von Wiederherstellungsübungen durchgeführt werden sollten:

Übungen nach einem Vorfall: Wie Sie die während der Reaktion auf den Vorfall entdeckten Lücken schließen können.

Beseitigen Sie das Risiko: Beseitigung des Risikos und Wiederherstellung der Systeme in einen Zustand vor dem Vorfall.

Bericht: Anleitung zur Erstellung eines Berichts über die Reaktion auf einen Vorfall, um zukünftige Vorfälle zu verhindern. Aber auch Richtlinien zur fortlaufenden forensischen Datenerfassung und Überwachung, um die Sicherheit weiterhin zu gewährleisten.

Rahmenwerke und Standards für die Erstellung eines Reaktionsplans auf Vorfälle

Bei der Erstellung eines Plans zur Reaktion auf Vorfälle kann es hilfreich sein, sich von anerkannten Behörden beraten zu lassen.

ISO 27001 – Anhang A.16: ist ein Anhang zur internationalen Norm ISO 27001, der nützliche Ratschläge für die Erstellung eines Protokolls für das Lebenszyklusmanagement eines Sicherheitsvorfalls enthält.

NIST-Verfahren zur Reaktion auf Vorfälle: Das NIST (National Institute of Standards and Technology) ist eine Behörde der US-Regierung. Der Incident Response Process des NIST beschreibt die vier Schritte, die in diesem Artikel erwähnt werden.

Implementierung eines Plans zur Reaktion auf Vorfälle

Ein effizienter Umgang mit selbst verheerenden Ereignissen wird die gegenwärtigen und zukünftigen Auswirkungen eines Vorfalls abmildern. Die Schulung des Personals ist jedoch eine immerwährende Herausforderung, die nur im Rahmen des Incident Response Plans einer einzelnen Organisation zu bewältigen ist. Jede Organisation hat ihre eigenen Bedrohungen und internen Organisationsstrukturen, und jeder Vorfall wird anders angegangen.

Personalisierte Schulungsinhalte können verwendet werden, um die Einzigartigkeit eines jeden Unternehmens und dessen Ansatz für das Incident Management widerzuspiegeln. Durch die Erstellung eines personalisierten Incident Response Plans, der Ihre einzigartige Organisationsstruktur widerspiegelt, können Sie sicherstellen, dass Sie gegen die verschiedenen Bedrohungen, denen ein modernes Unternehmen ausgesetzt ist, gewappnet sind.