Pre-Incident Planning: 5 Things to Document in an Incident Response Plan
Planung vor dem Vorfall:
Denn wenn es passiert, haben Sie keine Zeit, das erst nachzuschlagen.
Die meisten Leitfäden zur IT-Sicherheitsvorbereitung konzentrieren sich darauf, was zu tun ist, nachdem ein Angriff begonnen hat. Infizierte Geräte isolieren. Ihr Incident-Response-Team kontaktieren. Die Rechtsabteilung informieren. Alles sinnvolle Ratschläge – aber nur hilfreich, wenn Sie bereits wissen, wen Sie anrufen müssen, wo sich Ihre Backups befinden und auf welche Systeme das Unternehmen nicht verzichten kann.
Das Problem ist, dass die ersten Stunden eines Ransomware-Vorfalls chaotisch sind. Entscheidungen, die eigentlich nur Minuten dauern sollten, ziehen sich deutlich länger hin, wenn die dafür benötigten Informationen über E-Mail-Verläufe, institutionelles Wissen oder inzwischen möglicherweise unzugängliche Systeme verstreut sind. Das ist kein Technologieversagen. Es ist ein Dokumentationsversagen – und es ist vollständig vermeidbar.
Was folgt, ist kein Incident-Response-Plan. Es ist etwas Kleineres und unmittelbar Praktisches: fünf entscheidende Informationskategorien, die Ihr Team dokumentiert und zugänglich gemacht haben sollte, bevor ein Vorfall eintritt. Diese Liste zu erstellen, dauert nicht lange. Sie nicht zur Hand zu haben, wenn Sie sie brauchen, wird weit mehr Zeit kosten, als ihre Erstellung jemals eingespart hätte.
Wenn ein Sicherheitsvorfall eintritt, ist die erste Reaktion meist, zum Telefon zu greifen. Das Problem ist, dass viele Teams nicht immer wissen, wen sie anrufen sollten.
Ihre Eskalationsdokumentation sollte die Kontaktdaten Ihres Incident-Response-Teams, der verantwortlichen Ansprechpartner sowie Ihres DFIR-Partners enthalten. Fügen Sie außerdem den Ablauf zur Beauftragung, die Kontaktdaten Ihres Rechtsbeistands (mit Erfahrung im Datenschutz) sowie den Ansprechpartner für Schadensmeldungen Ihres Cyber-Versicherers einschließlich Ihrer Policennummer hinzu.
Die Eskalationsdokumentation sollte die wichtigsten Ansprechpartner und Versicherungsdetails enthalten, die für einen Vorfall erforderlich sind. Konkret sollte sie Folgendes umfassen:
Incident-Response-Team und Verantwortliche
Kontaktdaten Ihres internen Incident-Response-Teams und der zuständigen Ansprechpartner
DFIR-Partner
Kontaktdaten Ihres Partners für digitale Forensik und Incident Response (DFIR), einschließlich des Beauftragungsprozesses.
Rechtsbeistand
Kontaktdaten Ihres externen Rechtsbeistands, wobei sichergestellt sein sollte, dass er über Erfahrung im Datenschutz verfügt.
Cyberversicherung
Der Ansprechpartner für Schadensmeldungen bei Ihrem Cyberversicherer sowie Ihre Policennummer.
Dieser letzte Punkt ist der, der am häufigsten fehlt. Cyberversicherungen enthalten in der Regel konkrete Meldefristen, und deren Versäumnis kann genau in dem Moment zu Komplikationen bei Ihrem Anspruch führen, in dem Sie sich Komplikationen am wenigsten leisten können. Den Ansprechpartner für Schadensmeldungen und Ihre Policennummer bereits vor einem Vorfall zu kennen, ist unerlässlich.
Ein letzter Hinweis zur Cyberversicherung: Bewahren Sie Ihre Police sicher und getrennt von Ihren primären Systemen auf. Bedrohungsakteure, die sich vor der Verschlüsselung bereits längere Zeit in Ihrem Netzwerk aufgehalten haben, könnten Zugriff auf dort gespeicherte Dokumente haben. Ihre Policendaten sollten sich nicht an einem Ort befinden, an dem sie gefunden werden können.
Wenn alles schnell geht, möchten Sie nicht erst nach einer Telefonnummer suchen müssen.
Bedrohungsakteure nehmen Backups zuerst ins Visier. Das ist keine Spekulation. Es ist ein wiederkehrendes Muster, das DriveSavers in zahlreichen Ransomware-Vorfällen beobachtet hat. Bevor Produktionssysteme verschlüsselt werden, identifizieren und kompromittieren Angreifer häufig die Backup-Infrastruktur, um den direktesten Wiederherstellungsweg des Opfers zu beseitigen. Wenn die Verschlüsselung beginnt, können die Backups bereits verschwunden sein.
Das sollte Ihre Herangehensweise an die Dokumentation von Backups prägen. Es reicht nicht aus zu wissen, dass Backups existieren. Ihr Team muss in der Lage sein, die Integrität der Backups unter Vorfallbedingungen schnell zu bewerten. Das bedeutet, dass die Architektur ausreichend dokumentiert sein muss, um diese Bewertung zu ermöglichen, bevor jemand unter Druck steht.
Dokumentieren Sie, wo sich die Backups befinden (vor Ort, extern und in der Cloud), wie die Backup-Jobs ausgeführt werden und nach welchem Zeitplan, sowie die schrittweisen Wiederherstellungsverfahren.
Gehen Sie davon aus, dass Ihre Backups kompromittiert sein könnten, bis Sie das Gegenteil verifizieren können.
Im Falle eines Sicherheitsvorfalls werden Sie nicht alles gleichzeitig wiederherstellen können. Entscheidungen darüber, was zuerst wieder online geht, werden schnell, unter Druck und möglicherweise von Personen getroffen, die mit sehr wenig Schlaf auskommen müssen. Diese Entscheidungen fallen deutlich besser, wenn sie im Voraus und ohne Druck getroffen werden.
Ihre Liste kritischer Daten sollte die Systeme identifizieren, ohne die das Unternehmen nicht arbeiten kann, die für den täglichen Betrieb erforderlichen Datensätze sowie eine klare Priorisierung für die Wiederherstellung: unverzichtbar versus wünschenswert.
Seien Sie ehrlich darüber, wovon das Unternehmen tatsächlich abhängt und was lediglich wichtig ist. Diese Ehrlichkeit ist inmitten eines aktiven Vorfalls deutlich schwerer aufzubringen. Priorisieren Sie die unbedingt wiederherzustellenden Datensätze, bevor Sie sich um weniger kritische kümmern. Nicht alles kann zuerst zurückkommen, und das im Voraus zu wissen, ist ein erheblicher operativer Vorteil.
Bei einem Sicherheitsvorfall geht es bei der Wiederherstellung nicht nur darum, Daten zurückzuspielen – sondern darum, zuerst die richtigen Daten wiederherzustellen.
Bei einem Sicherheitsvorfall geht es bei der Wiederherstellung nicht nur darum, Daten zurückzuspielen – sondern darum, zuerst die richtigen Daten wiederherzustellen.
In den meisten Umgebungen von nennenswerter Größe erstreckt sich die Backup-Infrastruktur über mehrere Standorte. Die Dokumentation zur Verantwortlichkeit sollte festhalten, wer für jede Backup-Umgebung zuständig ist, welche Zugangsdaten für Backups, Snapshots und Replikate gelten und wo sekundäre Systeme sowie zusätzliche Kopien vorhanden sein können.
Berücksichtigen Sie, dass dieselben Daten häufig in mehreren Formen vorliegen: als primäres Backup, als Snapshot, als Replikat oder als archivierte Kopie auf Band oder in einer sekundären Cloud-Umgebung. In Szenarien, in denen primäre Backups kompromittiert wurden, kann das Wissen, wo sich weitere Kopien befinden, einen erheblichen Unterschied machen.
Eine umfassende Übersicht der Zuständigkeiten ist in der Praxis eine Karte Ihrer Wiederherstellungsfläche. Je vollständiger sie vor einem Vorfall ist, desto mehr Optionen stehen Ihnen währenddessen zur Verfügung.
Dieselben Daten liegen häufig in mehreren Formen vor. Zu wissen, wo man suchen muss, erweitert die Wiederherstellungsoptionen.
Eine erfolgreiche operative Wiederherstellung nach einem Cyberangriff hängt maßgeblich von den Anbietern ab, die die Produkte und Dienstleistungen bereitstellen, auf denen Ihre Infrastruktur basiert. Daher ist es unerlässlich, deren Eskalationswege und Supportkanäle vor einem Vorfall zu dokumentieren.
Die Liste der Anbieterkontakte sollte die für die Wiederherstellung des Kerngeschäfts erforderlichen Anbieter, deren Supportkanäle und Eskalationswege sowie einen Datenrettungspartner für Szenarien enthalten, in denen Backups und Entschlüsselungstools versagt haben.
Dieser dritte Punkt ist derjenige, den die meisten Organisationen vollständig auslassen. Das Versagen von Backups und Entschlüsselungstools sind keine seltenen Randfälle. Sie sind realistische Ergebnisse eines gut ausgeführten Cyberangriffs. Einen professionellen Datenrettungspartner bereits vor einem Vorfall identifiziert und dokumentiert zu haben, bedeutet, dass Sie Anbieter nicht gerade zum ungünstigsten Zeitpunkt des Jahres für Ihr Unternehmen evaluieren müssen. Es bedeutet außerdem, dass Ihr Incident-Response-Team einen parallelen Wiederherstellungsweg verfolgen kann, anstatt auf einen einzelnen Lösungsweg angewiesen zu sein.
Die frühzeitige Dokumentation dieser Beziehungen stellt sicher, dass Ihr Team bei Beginn der Wiederherstellung einen Plan umsetzt – und nicht erst nach einem sucht.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)