#Security: Incident Response – 10 Geheimtipps zum Erfolg

10. Juli 2023 um 09:14
  • kolumne
  • #security
  • switch
  • cyberangriff
image
Illustration: Midjourney

Cyberangriffe sind keine Seltenheit mehr. Es scheint fast, dass dieses Thema alle betrifft. Bei der Bewältigung solcher Vorfälle haben sich einige Regeln besonders bewährt. Unsere Kolumnistin von Switch-Cert zeigt die 10 Besten.

In einer früheren #Security-Kolumne habe ich dargelegt, wie das Incident-Response-Team von Switch-Cert nach einem Cyberangriff Schritt für Schritt vorgeht. Nun präsentiere ich meine 10 besten Tipps, die bei der Bekämpfung einer solchen Ausnahmesituation nützen. Ein wenig Abstand und eine Prise Humor gehören bei der Bewältigung immer dazu und helfen stets, untenstehende Tipps umzusetzen.

1. Ohne Mampf kein Kampf

Was bei grösseren IT-Sicherheitsvorfällen gerne vergessen geht, ist die Verpflegung der Einsatzleute. Alle beteiligten Personen sind Menschen mit Grundbedürfnissen. Diese müssen trotz der zusammenbrechenden Welt abgedeckt werden. Denn hungrige, durstige und gestresste Menschen arbeiten automatisch weniger effizient und verpassen wichtige Zusammenhänge, ohne dies meist zu merken. So ist es völlig legitim, am Sonntagmorgen um zwei Uhr beim Burger King Drive Through 24 Cheeseburger mit der zugehörigen riesigen Portion Pommes zu bestellen. Der sehr überraschten Mine des Verkäufers darf man gerne mit einem Lächeln begegnen.

2. Papier und Wandtafel sind nützlich

Kritzeln, darstellen und miteinander planen. Auch wenn wir uns im digitalen Zeitalter bewegen, kann ein analoges Whiteboard, eine Wandtafel oder einfach ein grosses Blatt Papier sehr hilfreich im Teamaustausch und in der Strategieplanung sein. Gerade wenn es schnell gehen muss, ist eine schöne Powerpoint-Präsentation das Letzte, womit man seine Gedanken verschwenden sollte. Mal abgesehen davon, dass die Zeit fehlt. "Quick and Dirty" ist das passende Motto.

3. Auf Anrufe vorbereitet sein

Was immer unterschätzt wird, ist das Interesse von Mitarbeitenden und Medien an einem IT-Sicherheitsvorfall. Das Thema ist gerade sehr en vogue. Alle wollen wissen, was passiert ist. Die Telefonlinien laufen heiss und die Nachrichten der Bekannten lassen das Handy dauervibrieren. So kann es schon mal vorkommen, dass Mitarbeitende oder solche, die das vorgeben, bei der kurzen Pausenzigarette das Gespräch suchen und nachfragen, wie es denn um den Fall stehe. Spätestens wenn diese Person versucht, einem in den Lageraum zu folgen und Fotos zu machen, ist Misstrauen angebracht.
So sollte man auch die Arbeit der ersten Front nicht unterschätzen. Gemeint sind die Fachleute vom Support. Sie sind es nämlich, die alle Fragen der Belegschaft und deren Frustrationen über Behinderungen oder gar den Unterbruch ihrer Arbeit zu hören bekommen. Das kann der Krisenstab mit einer Notfall-Website und öffentlicher Kommunikation abfedern. Es empfiehlt sich also, die Fachleute vom Support im Auge zu behalten, weil diese sehr vieles abfangen müssen.

4. Natürliche Hierarchien zulassen

Menschen gehen mit Druck und Stress unterschiedlich um. So kommt es oft vor, dass bestehende Hierarchien während eines Incidents auf den Kopf gestellt werden und sich natürliche Hierarchien herausbilden. Was bedeutet das für die Beteiligten? "Embrace the Chaos." In diesen grossen Stresssituationen werden automatisch Personen hervortreten, die normalerweise eher im Hintergrund tätig sind, jedoch für die Beteiligten eine natürliche Fachautorität haben. Sehr oft handelt es sich dabei nicht um Personen, die im Organigramm ganz oben stehen. Durch das Vertrauen des Teams können diese Personen sich ins Chaos begeben und für Stabilität sorgen. Würde man dieser natürlichen Entwicklung Einhalt gebieten, würde dies den Incident Response Prozess stark behindern. So kann es in einer Krise schon mal vorkommen, dass eine "einfache" Person aus dem Netzwerkteam plötzlich alle involvierten Parteien führt.

5. Hilfe suchen, Vorfälle melden

Holen Sie sich die Hilfe, die Sie brauchen. Security ist am erfolgreichsten, wenn verschiedene Teams zusammenarbeiten und sich austauschen. Dazu gehören zum Beispiel die Polizei, das NCSC, die Lieferanten oder auch externe Security Partner wie Switch-Cert, welche bei der Bewältigung des Incidents helfen können. Hand in Hand bewältigen die verschiedenen Fachpersonen die Krise gemeinsam. Im Alleingang und mit falsch verstandenem Stolz scheint die Bewältigung meist unmöglich und zieht sich unnötig in die Länge – viel hilfreiches Wissen und Information werden vergeudet. Die Digitalisierung hat viel Komfort gebracht, aber auch die Angriffsoberfläche stark vergrössert. Was nicht vergessen werden sollte: Selbst wenn ein Angriff abgewendet werden kann, handelt es sich um eine Straftat, die geahndet werden muss. Die Vorstellung, dass unsere digitalen Mittel unser Haus sind, ist noch nicht stark verankert. Wenn jemand ungefragt meinen Zaun einreisst, um zu sehen, ob er dem Angriff standhält, melde ich dies auch der Polizei.

6. Pragmatisch statt perfekt

Wer kennt sie nicht, die "80 zu 20"-Regel? Gerne würde man bei einem Sicherheitsvorfall jeder Spur hinterherjagen, um genau sagen können, wie es dazu gekommen ist. Es ist auf jeden Fall wichtig, die Schwachstellen zu identifizieren, bevor man zum Wiederaufbau schreitet. Jedoch braucht die Datenanalyse viel Zeit. Um den genauen Angriffs- bzw. Infektionsweg nachzustellen, fehlen meist Daten, da gewisse Logs nicht aufgezeichnet wurden, zu kurze Zeitspannen für die Datenspeicherung definiert wurden oder aber neue Systeme noch nicht ins zentrale Logmanagement hinzugefügt worden sind. Es braucht eine Balance zwischen dem Sherlock-Holmes-Modus und der Wiederaufnahme des Betriebs. Weniger Perfektionismus, mehr praktische Relevanz.

7. Üben, üben, üben!

"Papier nimmt alles an." Ein alter und doch sehr weiser Spruch. Haben Sie ein Incident Response Playbook? Wunderschöne Notfallkonzepte, die auf Papier ausgedruckt irgendwo verstauben, weil niemand weiss, wo sie abgelegt sind oder ob sie überhaupt existieren? Wie können Sie Ihre Teammitglieder kontaktieren, wenn im Büro niemand erreichbar ist?
All diese Dinge sind meist nicht einstudiert. Und wenn dann noch der Stress und Druck eines IT-Sicherheitsvorfalls dazukommen, kann es sehr chaotisch werden. Aus diesem Grund gilt: Üben, üben, üben. Die Konzepte und Pläne können noch so gut sein, wenn sie nie eingeübt wurden, werden sie nicht funktionieren und die Incident Response wird an den kleinsten Hürden scheitern. Machen Sie Tabletop-Übungen mit Ihren Teams. Sprechen Sie durch, was wäre, wenn, und stellen Sie die unbequemen Fragen!

8. Bestehendes hinterfragen

Checklisten sind schön und gut und dienen auch als Orientierungshilfe. Jedoch sollten sie nicht von der besten Lösung zur richtigen Zeit ablenken. In der Lösungsfindung während eines IT-Sicherheitsvorfalls ist Kreativität gefragt, denn kein Incident gleicht dem anderen. Bestehende Prozesse müssen hinterfragt werden, um den besten Weg zu finden. Die Angreifer sind uns immer einen Schritt voraus. Für effektive Lösungen müssen wir ihnen in nichts nachstehen und alle Involvierten müssen befähigt werden, diese unkonventionellen Lösungen zu entwerfen und umzusetzen.

9. Auf einen Marathon vorbereitet sein

Behalten Sie das Durchhaltevermögen Ihres Teams im Auge. Die Bewältigung eines IT-Sicherheitsvorfalls ist ein Marathon, kein Sprint. Es wird Wochen dauern, um den regulären Betrieb wieder aufzunehmen. Viele Aufräumarbeiten und Anpassungen aus dem Gelernten werden folgen. Gerade in den stressigsten Situationen braucht der Mensch Entspannung, um optimal funktionieren zu können. Auch jene, die unermüdlich arbeiten, ohne eine Pause einlegen zu wollen, müssen mal sanft daran erinnert werden, sich zu erholen. Denn wenn Tage bis Wochen durchgearbeitet werden, steht jeder Mensch kurz vor einem Burnout. Die Incident Response Prozesse sollten jedoch auf lange Sicht umsetzbar sein, damit der Marathon bewältigt werden kann.

10. Die eigene IT-Infrastruktur kennen

Den Überblick über die eigene IT-Infrastruktur zu behalten, ist eine grosse Herausforderung. Sie ist meist um so schwieriger zu meistern, je grösser und komplexer das Unternehmen ist. Alte Testserver, die vergessen wurden. Admin-Admin Accounts, die nicht gelöscht wurden. Wo gehobelt wird, fallen Späne. Die Sensibilisierung für sicheres Arbeiten auf allen Stufen – von den Endnutzenden bis zu den Verantwortlichen für die Technik – verhindert bereits viele Incidents. Zudem steigt so der Überblick über die eigene Infrastruktur und eine schnellere Bewältigung des Vorfalls. Denn nur mit einer vernünftigen Bestandsaufnahme ist es überhaupt möglich zu verstehen, was passiert ist und wohin die Reise gehen soll.
Nutzen Sie das Wissen der Community!
Was sind Ihre Erfahrungen und Tipps für ein erfolgreiches Incident Response? Was waren Ihre schrägsten Erlebnisse, die Sie heute noch zum Lachen bringen? In Anlehnung an Tipp Nr. 5 lassen Sie uns austauschen und voneinander lernen. So werden wir zukünftige Incidents noch besser überstehen.

Über die Autorin

Wenn Darja-Anna nicht gerade den Hyperfokus packt und versucht, mit digitaler Forensik ein Rätsel zu lösen, spricht sie mit Menschen und versucht ihre Begeisterung für das Thema IT-Security weiterzugeben. Nebenbei managt sie Computer-Security-Incidents und freut sich über jedes neue Puzzelstück. Seit 2020 macht sie dies mit Leidenschaft für Switch-Cert.

,

Loading

Mehr erfahren

Mehr zum Thema

image

Schweizer Industriekonzern Hoerbiger von Ransom­ware getroffen

Hacker haben Daten von der Holdinggesellschaft gestohlen und verschlüsselt. Zeitweise musste dadurch die Produktion unter­brochen werden.

publiziert am 22.8.2024
image

#Security: Menschen schaffen Sicherheit

Eine Sicherheitskultur zu etablieren ist für viele CISOs das erklärte Ziel, doch wie soll das konkret erreicht werden? Cornelia Puhze von der Stiftung Switch zeichnet in ihrer Kolumne mögliche Wege auf.

publiziert am 21.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Vogt am Freitag: (k)ein Linkedin-Thriller

Plötzlich ist in meiner Timeline in jedem zweiten Linkedin-Posting jemand "thrilled". Warum nur? Bitte mehr chill statt thrill.

publiziert am 16.8.2024