Rechtzeitig auf Cyberangriffe vorbereiten: Systematisches Security Incident Management in 6 Schritten

Oberursel, 20. Juni 2022 – Der Krieg in der Ukraine hat die Bedrohungslage für Angriffe auf IT-Infrastrukturen in Deutschland deutlich erhöht – diese Einschätzung hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch im Mai noch einmal bestätigt

Oberursel, 20. Juni 2022 – Der Krieg in der Ukraine hat die Bedrohungslage für Angriffe auf IT-Infrastrukturen in Deutschland deutlich erhöht – diese Einschätzung hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch im Mai noch einmal bestätigt und nicht nur die Betreiber kritischer Infrastrukturen, sondern alle Organisationen und Unternehmen aufgefordert, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Auch Jens Bothe, der als Vice President Information Security bei OTRS die IT-Sicherheitslage beobachtet, sieht in den vergangenen Monaten deutlich erhöhte Angriffsaktivitäten.

„Aktuell lässt sich beobachten, dass nicht nur die Menge an Sicherheitsvorfällen in den verschiedensten gesellschaftlichen Bereichen angestiegen ist, sondern dass es auch vermehrt Angriffe auf die Software Supply Chain, auf die IT-Lieferkette gibt. Angefangen bei der Log4Shell-Schwachstelle bis hin zu Zero-Day-Exploits bei einigen IT-Anbietern – hier machen sich Angreifer Sicherheitslücken innerhalb der Software Supply Chain zunutze. Sie nehmen nicht direkt und gezielt bestimmte Unternehmen ins Visier, sondern erzeugen Schaden über die Verbreitung und Wiederverwendung vielfach genutzter Softwarekomponenten.“

Bei Cyberangriffen handlungsfähig bleiben

Um sich in dieser gestiegenen Bedrohungslage zu wappnen, gilt es für Unternehmen – wie vom BSI empfohlen – ihre Sicherheitsvorkehrungen zu überprüfen und weiter zu erhöhen. Wichtig ist dabei, den Fokus nicht allein auf die Gefahrenabwehr zu legen, sondern auch das notwendige Vorgehen bei einem Sicherheitsvorfall vorzubereiten und durch entsprechende Systeme zu unterstützen – damit man bei Cyberangriffen schnell handeln kann, damit im Krisenfall zusätzliches Chaos vermieden und der entstehende Schaden so gering wie möglich gehalten wird. Systematisches Security Incident Management bereitet Unternehmen und ihre Mitarbeitenden bestmöglich auf den Umgang mit Sicherheitsvorfällen vor. Leistungsfähige Systeme wie STORM powered by OTRS unterstützen sie dabei.

Security Incident Response in 6 Schritten

Automatisierte Prozesse helfen im Security Incident Management, um optimal auf Sicherheitsvorfälle zu reagieren. Basis für den Umgang mit sicherheitsrelevanten Ereignissen ist die Erstellung eines Planes, in dem Aufgaben und Zuständigkeiten festgelegt werden. In einem Incident Response Plan werden alle nötigen Aktionen definiert und die Verantwortlichkeiten klar festgelegt – folgende Phasen werden dafür empfohlen:

  • #1 Preparation: Incident Management Tools und Prozesse bereitstellen

    Angelehnt an bewährte Best Practices werden mit einem entsprechenden Tool alle wichtigen Phasen definiert. So können bei einem Sicherheitsvorfall die zu einer Reaktion nötigen Informationen in Kürze erfasst werden. Die Kommunikation zwischen allen involvierten Parteien sollte vorbereitet und Kontaktinformationen aufbereitet werden.
  • #2 Analysis & Identification: Entscheiden, ob ein Sicherheitsvorfall vorliegt

    Die Analyse von Daten aus Log-Management-Systemen, IDS/IPS, Threatsharing-Systemen sowie von Firewall-Protokollen und Netzwerkaktivitäten hilft bei der Einordnung von Sicherheitsvorfällen. Sobald eine Bedrohung identifiziert wurde, sollte sie der festgelegten Richtlinie entsprechend dokumentiert und kommuniziert werden.
  • #3 Containment: Ausbreitung eindämmen und weitere Schäden verhindern

    Die Entscheidung, welche Strategie angewendet wird, spielt dabei die größte Rolle. Es stellt sich vor allem um die Frage, welche Sicherheitslücke ein Eindringen ermöglicht hat. Schnelle Schadensbegrenzung, wie die Isolation eines Netzwerksegmentes ist bei vielen Vorfällen der erste Schritt, danach werden oft forensische Analysen zur Evaluierung bemüht.
  • #4 Eradication: Sicherheitslücken schließen, Schadsoftware beseitigen

    Ist die potenzielle Bedrohung eingedämmt, muss die Ursache des Sicherheitsvorfalls gefunden werden. Dafür sollte alle Malware sicher entfernt, die Systeme gepatcht, Updates eingespielt und gegebenenfalls die Software aktualisiert werden. Die Systeme sollten also auf das aktuellste Patch Level gebracht und Passwörter vergeben werden, die alle Sicherheitsanforderungen erfüllen.
  • #5 Recovery: Systeme und Geräte wieder aktivieren

    Um in den normalen Systembetrieb zurückzukehren, sollte stetig überprüft werden, ob alle Systeme den Erwartungen entsprechend laufen. Das wird durch Testen und Monitoring über einen längeren Zeitraum sichergestellt. Das Incident Response Team legt in dieser Phase fest, wann der Betrieb wiederhergestellt wird und ob infizierte Systeme vollständig gesäubert wurden.
  • #6 Lessons Learned: Klären, was gut lief und was nicht

    Nach Phase 5 sollte ein Wrap-up-Meeting mit allen Beteiligten stattfinden. Hier sollten offene Fragen geklärt und der Sicherheitsvorfall final abgeschlossen werden. Mit den Erkenntnissen aus diesem Austausch lassen sich Verbesserungen für künftige Vorfälle erkennen und festlegen.

STORM powered by OTRS ist eine Security Incident Management Software, die eine solche Orchestrierung Automatisierung von Sicherheitsvorfällen unterstützt. Sie automatisiert von der Warnung bis zur Reaktion alle Prozesse und sorgt dafür, dass alle beteiligten Personen, Tools und Dienste für ein schnelles Incident Management im Unternehmen zusammenwirken können.

Über die OTRS AG

Die OTRS AG ist der Hersteller und weltweit größte Dienstleister für die Enterprise Service Management Suite OTRS, ausgezeichnet mit dem Gütesiegel SERVIEW CERTIFIED TOOL.

Sie bietet Unternehmen ein branchenunabhängiges Solution Management für die strukturierte Kommunikation in Customer Service, IT Service Management und Security Management. Neben dem Kernprodukt OTRS sorgen die Sicherheitslösungen STORM und CONTROL für ein effizientes Incident Management und eine transparente Dokumentation gemäß Standards wie ISO 27001.

Zu den Kunden der OTRS AG zählen unter anderem Lufthansa, Airbus, Porsche, BSI (Bundesamt für Sicherheit in der Informationstechnik), Max-Planck-Institut, Toyota und TUI Cruises. Das Unternehmen besteht aus der OTRS AG und ihren fünf Töchtern OTRS Inc. (USA), OTRS S.A. de C.V. (Mexiko), OTRS ASIA Pte. Ltd. (Singapur), OTRS Do Brasil Soluções Ltda. (Brasilien) und OTRS Magyarország Kft. (Ungarn). Die OTRS AG ist im Basic Board der Frankfurter Wertpapierbörse gelistet. Weitere Informationen unter: www.otrs.com

Pressekontakt OTRS:
 
Adresse OTRS AG
Zimmermühlenweg 11
61440 Oberursel
Name Christina Meyer
Telefon +49 6172 681988-0
E-Mail pr@otrs.com

Artikel teilen