1. Tipp: In Cyber Security investieren
Die meisten Unternehmen haben definierte IT-Krisenprozesse. Häufig eignen sie sich aber nicht, um einen ausgefeilten Angriff abzuwehren. Die Methoden der Hacker werden immer komplexer – ebenso wie die Komplexität der notwendigen Maßnahmen. Je nach Art des Vorfalls sollten binnen kurzer Zeit Maßnahmen eingeleitet werden, die oft jahrelang niemand angepackt hat. Im Zweifel ist eine über Jahre gewachsene IT-Infrastruktur innerhalb weniger Wochen komplett neu zu organisieren – was großen Aufwand und hohe Kosten verursacht. Daher sollte man nicht erst dann reagieren, wenn man durch einen akuten Sicherheitsvorfall dazu gezwungen ist. Investitionen in Cyber Security lohnen sich, weil sie das Risiko eines kritischen Security Incidents (Vorfall) nachweislich reduzieren.

2. Tipp: Vorhandene Security-Maßnahmen überprüfen
Sollten bereits dedizierte Maßnahmen definiert sein, ist das nur die halbe Miete. Um das Security-Level langfristig hochzuhalten, sollten die präventiven Maßnahmen regelmäßig überprüft werden: Sind sie geeignet, um einen Sicherheitsvorfall abzuwehren (Prevention) und einem tatsächlichen Angriff zu begegnen (Detection und Response)? Sie müssen jederzeit gegen hochentwickelte Angriffe gewappnet sein. Angriffsmethoden, die bisher nur von APTs (Advanced Persistent Threats) bekannt waren, sind nun auch bei gewöhnlichen Cyber-Kriminellen zu beobachten.

3. Tipp: Individuelle Maßnahmenpakete definieren
Cyber Security ist Ergebnis eines fortlaufenden Prozesses und darum höchstindividuell. Für eine erfolgreiche Incident Response (IR – Reaktion auf Vorfälle) gibt es mehrere Erfolgsfaktoren: Kommunikation, Organisation, Prozesse und Ressourcen. Angelehnt an die jeweiligen Prozesse, sollten einzelne Maßnahmenpakete präventiv abgeleitet und dokumentiert werden. Es sollten das Ziel, die Vorgehensweise sowie die notwendigen Rollen, Unternehmensbereiche und Skills beschrieben werden. Beispiele sind hier Domain Administration und Datacenter Management. Auch ein Incident-Response-Kommunikationsplan sollte nicht fehlen.

4. Tipp: Strukturiert vorgehen
Um für den Fall der Fälle bestmöglich aufgestellt zu sein, ist die Incident Response in zwei Handlungsstränge aufzuteilen. Da wäre zunächst die forensische Untersuchung des vermeintlichen Vorfalls. Hier lässt sich ermitteln, wie und wie tief der Angreifer in die IT-Infrastruktur eingedrungen ist, welche Ziele er verfolgt und welche Technologie er angewendet hat. Hierfür sollten die Unternehmens-Analysten neben Logging-Daten auch Informationen der Endpoint Detection sowie des Netzwerk-Monitorings heranziehen und auffällige Systeme bis in die Tiefe analysieren. Üblicherweise konzentrieren sich Analysten dabei auf Active Directory, DMZ (Demilitarisierte Zone) und besonders schützenswerte Bereiche.

Auf dieser Basis lassen sich Maßnahmen zur Abwehr des Angriffs und zur Entfernung des Angreifers aus Ihrem Netzwerk planen. Bei laufenden Vorfällen muss entschieden werden, welche Handlungen ad hoc vorzunehmen (Containment) und welche vordefinierten Maßnahmen anzuwenden sind. Gleiches gilt für die Remediation (Wiederherstellung). Hier sind Maßnahmenpakete vonnöten, die an die Komplexität der Geschäftsprozesse, den Aufbau der Infrastruktur, die Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr sowie verfügbare Analyse-Skills angepasst sind. Die Abwehrmaßnahmen sollten ebenfalls den Methoden des Angreifers entsprechen.