Rechtzeitig auf Cyberangriffe vorbereiten: Systematisches Security Incident Management in 6 Schritten

Oberursel, 20. Juni 2022 – Der Krieg in der Ukraine hat die Bedrohungslage für Angriffe auf IT-Infrastrukturen in Deutschland deutlich erhöht – diese Einschätzung hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch im Mai noch einmal bestätigt und nicht nur die Betreiber kritischer Infrastrukturen, sondern alle Organisationen und Unternehmen aufgefordert, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Auch Jens Bothe, der als Vice President Information Security bei OTRS die IT-Sicherheitslage beobachtet, sieht in den vergangenen Monaten deutlich erhöhte Angriffsaktivitäten.

„Aktuell lässt sich beobachten, dass nicht nur die Menge an Sicherheitsvorfällen in den verschiedensten gesellschaftlichen Bereichen angestiegen ist, sondern dass es auch vermehrt Angriffe auf die Software Supply Chain, auf die IT-Lieferkette gibt. Angefangen bei der Log4Shell-Schwachstelle bis hin zu Zero-Day-Exploits bei einigen IT-Anbietern – hier machen sich Angreifer Sicherheitslücken innerhalb der Software Supply Chain zunutze. Sie nehmen nicht direkt und gezielt bestimmte Unternehmen ins Visier, sondern erzeugen Schaden über die Verbreitung und Wiederverwendung vielfach genutzter Softwarekomponenten.“

Bei Cyberangriffen handlungsfähig bleiben

Um sich in dieser gestiegenen Bedrohungslage zu wappnen, gilt es für Unternehmen – wie vom BSI empfohlen – ihre Sicherheitsvorkehrungen zu überprüfen und weiter zu erhöhen. Wichtig ist dabei, den Fokus nicht allein auf die Gefahrenabwehr zu legen, sondern auch das notwendige Vorgehen bei einem Sicherheitsvorfall vorzubereiten und durch entsprechende Systeme zu unterstützen – damit man bei Cyberangriffen schnell handeln kann, damit im Krisenfall zusätzliches Chaos vermieden und der entstehende Schaden so gering wie möglich gehalten wird. Systematisches Security Incident Management bereitet Unternehmen und ihre Mitarbeitenden bestmöglich auf den Umgang mit Sicherheitsvorfällen vor. Leistungsfähige Systeme wie STORM powered by OTRS unterstützen sie dabei.

Security Incident Response in 6 Schritten

Automatisierte Prozesse helfen im Security Incident Management, um optimal auf Sicherheitsvorfälle zu reagieren. Basis für den Umgang mit sicherheitsrelevanten Ereignissen ist die Erstellung eines Planes, in dem Aufgaben und Zuständigkeiten festgelegt werden. In einem Incident Response Plan werden alle nötigen Aktionen definiert und die Verantwortlichkeiten klar festgelegt – folgende Phasen werden dafür empfohlen:

• #1 Preparation: Incident Management Tools und Prozesse bereitstellen
  

  Angelehnt an bewährte Best Practices werden mit einem entsprechenden Tool alle wichtigen Phasen definiert. So können bei einem Sicherheitsvorfall die zu einer Reaktion nötigen Informationen in Kürze erfasst werden. Die Kommunikation zwischen allen involvierten Parteien sollte vorbereitet und Kontaktinformationen aufbereitet werden.

• #2 Analysis & Identification: Entscheiden, ob ein Sicherheitsvorfall vorliegt
  

  Die Analyse von Daten aus Log-Management-Systemen, IDS/IPS, Threatsharing-Systemen sowie von Firewall-Protokollen und Netzwerkaktivitäten hilft bei der Einordnung von Sicherheitsvorfällen. Sobald eine Bedrohung identifiziert wurde, sollte sie der festgelegten Richtlinie entsprechend dokumentiert und kommuniziert werden.

• #3 Containment: Ausbreitung eindämmen und weitere Schäden verhindern
  

  Die Entscheidung, welche Strategie angewendet wird, spielt dabei die größte Rolle. Es stellt sich vor allem um die Frage, welche Sicherheitslücke ein Eindringen ermöglicht hat. Schnelle Schadensbegrenzung, wie die Isolation eines Netzwerksegmentes ist bei vielen Vorfällen der erste Schritt, danach werden oft forensische Analysen zur Evaluierung bemüht.

• #4 Eradication: Sicherheitslücken schließen, Schadsoftware beseitigen
  

  Ist die potenzielle Bedrohung eingedämmt, muss die Ursache des Sicherheitsvorfalls gefunden werden. Dafür sollte alle Malware sicher entfernt, die Systeme gepatcht, Updates eingespielt und gegebenenfalls die Software aktualisiert werden. Die Systeme sollten also auf das aktuellste Patch Level gebracht und Passwörter vergeben werden, die alle Sicherheitsanforderungen erfüllen.

• #5 Recovery: Systeme und Geräte wieder aktivieren
  

  Um in den normalen Systembetrieb zurückzukehren, sollte stetig überprüft werden, ob alle Systeme den Erwartungen entsprechend laufen. Das wird durch Testen und Monitoring über einen längeren Zeitraum sichergestellt. Das Incident Response Team legt in dieser Phase fest, wann der Betrieb wiederhergestellt wird und ob infizierte Systeme vollständig gesäubert wurden.

• #6 Lessons Learned: Klären, was gut lief und was nicht
  

  Nach Phase 5 sollte ein Wrap-up-Meeting mit allen Beteiligten stattfinden. Hier sollten offene Fragen geklärt und der Sicherheitsvorfall final abgeschlossen werden. Mit den Erkenntnissen aus diesem Austausch lassen sich Verbesserungen für künftige Vorfälle erkennen und festlegen.

STORM powered by OTRS ist eine Security Incident Management Software, die eine solche Orchestrierung Automatisierung von Sicherheitsvorfällen unterstützt. Sie automatisiert von der Warnung bis zur Reaktion alle Prozesse und sorgt dafür, dass alle beteiligten Personen, Tools und Dienste für ein schnelles Security Incident Management im Unternehmen zusammenwirken können.