Sponsored

So sieht ein guter Incident Response Plan aus

  • security
  • ispin
image

Cybersecurity-Verletzungen sind zum Alltag geworden. Die Schweizer Unternehmen sollten sich daher auf den Ernstfall vorbereiten. Dazu benötigen Sie einen umfassenden Incident Response Plan, der es ihnen ermöglicht, schnell und effektiv auf einen Vorfall zu reagieren.

Die Zahl der Cyberangriffe steigt. Erfolgreiche Attacken können weitreichende finanzielle, rechtliche und Imageschäden nach sich ziehen. Für Unternehmen heisst das: Um die Unternehmenswerte und den Ruf bestmöglich zu schützen, braucht es einen robusten und dennoch flexiblen Plan für die Reaktion auf Vorfälle, der auf die individuellen Bedürfnisse des jeweiligen Unternehmens zugeschnitten ist. Denn das ist entscheidend für die Schadensminimierung und die Wiederherstellung nach einer erfolgreichen Attacke.

Was ist ein Incident Response Plan?

Im Kern handelt es sich dabei um eine Reihe von Anweisungen, die von Ihrem Team – wahrscheinlich mit Unterstützung Ihres Security-Anbieters (z. B. ISPIN) – entwickelt wurden. In diesen Anweisungen ist festgehalten, wie ein Sicherheitsvorfall zu erkennen, darauf zu reagieren ist und wie die Wiederherstellung des normalen Geschäftsbetriebs zu erfolgen hat. Obwohl die meisten Reaktionspläne für Zwischenfälle eher technologieorientiert sind und sich auf die Erkennung und Behebung von Problemen wie Malware, Datendiebstahl und Serviceausfälle konzentrieren, kann ein Sicherheitsvorfall weitreichende Auswirkungen auf alle üblichen Aktivitäten Ihres Unternehmens haben. Daher enthält ein guter Incident Response Plan nicht nur Anweisungen für die IT-Abteilung, sondern auch Anleitungen und wichtige Informationen für andere Abteilungen und Beteiligte. Dazu können z. B. das Personalwesen, die Finanzabteilung, die Kundenbetreuung, die Mitarbeitenden, das Rechtsteam, Ihr Versicherungsanbieter, Aufsichtsbehörden, Zulieferer, Partner und lokale Behörden gehören.

Die 6 Bereiche eines Incident Response Plans

Um maximale Wirksamkeit zu erzielen, muss der Incident Response Plan Ihres Unternehmens sowohl spezifisch als auch umsetzbar sein und klar festlegen, wer was wann zu tun hat. Alle wichtigen Interessengruppen müssen in die Entwicklung des Plans einbezogen und über alle Änderungen des Plans auf dem Laufenden gehalten werden. Er sollte diese sechs Bereiche umfassen: Aufspüren, Alarmieren, Untersuchen, Beheben, Überprüfen und Wiederholen.

Aufspüren

Sie können nur dann auf eine Bedrohung reagieren, wenn Sie wissen, dass es sie gibt. Hier ist es wichtig, einen proaktiven Ansatz für Ihre Cybersicherheit zu wählen. Dazu gehört, dass Sie aktiv nach potenziellen Sicherheitsbedrohungen suchen und Ihre Sicherheitsprotokolle regelmässig überprüfen. Nur so können Sie sicherzustellen, dass sie weiterhin den Anforderungen Ihres Unternehmens entsprechen.
Um Sicherheitsbedrohungen aufzuspüren, sollten Sie intern alle E-Mail-Adressen des Unternehmens auf Anzeichen von Problemen wie Phishing-Betrug überwachen und in Sicherheitstools investieren, die Sie auf potenziell verdächtige Aktivitäten hinweisen.

Alarmieren

Sollten verdächtige Aktivitäten entdeckt werden, müssen Sie einen Prozess einrichten, der sicherstellt, dass Ihr internes Sicherheitsteam oder Ihr Security Service Partner (z. B. ISPIN) auf das Problem aufmerksam gemacht wird, damit die Experten Ihnen helfen können, festzustellen, ob die Bedrohung glaubwürdig ist. Sollten Sie in dieser ersten Phase eine Bedrohung entdecken, benötigen Sie Protokolle, um:
  • die Ernsthaftigkeit der Bedrohung einschätzen zu können,
  • festzustellen, ob ein Verstoss unmittelbar bevorsteht,
  • Ihren Incident Response Plan zu aktivieren, inklusive der Benachrichtigung aller internen und externen Beteiligten,
  • Ressourcen zuteilen zu können. Dazu kann auch gehören, dass Sie Mitarbeitende von ihren regulären Aufgaben abziehen, damit sie bei der Bewältigung der Bedrohung helfen können,
  • die Bedrohung zu bewältigen, im Idealfall noch bevor ein erheblicher Schaden entstanden ist.

Untersuchen

Bei einem Vorfall muss Ihre oberste Priorität darin bestehen, die Bedrohung einzudämmen und den Schaden zu minimieren. Sobald die Bedrohung beseitigt ist, sollten Sie sowohl den Angriff als auch Ihre Reaktion darauf überprüfen, um sicherzustellen, dass dieselbe Bedrohung nicht erneut gegen Sie eingesetzt werden kann.

Beheben

Sobald Sie die Bedrohung eingedämmt und beseitigt haben, ist es an der Zeit, mit der Beseitigung des Schadens zu beginnen. Ihr Wiederherstellungs- und Sanierungsprozess sollte die Benachrichtigung aller zuständigen externen Stellen umfassen (einschliesslich Ihrer Kunden, der zuständigen Aufsichtsbehörden und potenziell betroffener Dritter, wie z. B. Lieferanten). Die betroffenen externen Stellen sollten über die Art des Vorfalls und das Ausmass des Schadens informiert werden.
Im Rahmen der Abhilfemassnahmen müssen auch Beweise gesammelt werden, damit sie von Ihrem Sicherheitsteam, Ihrem Security Service Partner und den Aufsichtsbehörden sowie gegebenenfalls von den Strafverfolgungsbehörden geprüft werden können. Sobald Sie alle Beweise haben, müssen Sie eine Ursachenanalyse durchführen, um das Grundproblem zu ermitteln und zu bestimmen, welche Schritte unternommen werden müssen, um dieses zu beheben und sicherzustellen, dass sich ein ähnlicher Vorfall nicht wiederholen kann.

Überprüfung

Wenn Sie Opfer eines Angriffs geworden sind, ist es das Beste, aus den Ereignissen zu lernen, um Ihr Unternehmen in Zukunft bestmöglich zu schützen. Stellen Sie sicher, dass Sie im Rahmen des Überprüfungsprozesses alle beteiligten internen und externen Teammitglieder versammeln, um Ihre Reaktion auf den Vorfall zu besprechen und etwaige Unzulänglichkeiten oder Versäumnisse zu ermitteln, die behoben werden müssen.

Wiederholung

Nur weil es Ihrem Team gelungen ist, einen Sicherheitsvorfall zu erkennen und wirksam darauf zu reagieren, heisst das nicht, dass Ihr Unternehmen für immer sicher ist. Ständige Wachsamkeit ist erforderlich, um sicherzustellen, dass Ihr Team immer bereit ist, auf Bedrohungen zu reagieren, unabhängig davon, wann und wie Angreifer agieren.

Zusammen. Sicher.

Sie möchten einen Incident Response Plan für Ihr Unternehmen erstellen oder Ihren bestehenden Plan optimieren? Kontaktieren Sie uns. Unsere erfahrenen und kompetenten Cyber Defense Experten beraten und unterstützen Sie gerne dabei. Oder buchen Sie gleich unseren Incident Response Retainer, damit Ihnen bei einem Notfall 7x24 die Experten des ISPIN CSIRT, mit einem umfangreichen Arsenal von Tools zur Analyse und Eindämmung von Sicherheitsvorfällen, zur Verfügung stehen.
Wenn Sie von einer aktiven Sicherheitsverletzung betroffen sind oder glauben, betroffen zu sein, denn melden Sie den Vorfall dem ISPIN CSIRT oder kontaktieren Sie unser ISPIN CSIRT unter der Hotline 0848 800 017. (nur für Unternehmen – keine Privatpersonen)

 

Weitere interessante Informationen:

ISPIN AG www.ispin.ch +41 44 838 31 11 cybersecurity@ispin.ch

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022