Incident Response: Schnell und gezielt reagieren ist entscheidend
3. August 2020Eine der wichtigsten Maxime der Incident Response, also der Reaktion auf einen erfolgten Cyber-Angriff, lautet „je schneller, desto besser“: Je früher Unternehmen gezielte Maßnahmen auf einen Hackerangriff hin ergreifen, umso geringer fällt der nachfolgende Schaden aus. Denn bereits ein unerkannter Datendiebstahl kann verheerende Folgen nach sich ziehen. Um in einer solchen Situation richtig reagieren zu können, sollten Security-Verantwortliche die Einführung eines Incident-Response-Plans erwägen.
Ist ein Unternehmen Opfer eines Cyber-Angriffs geworden, sollte alles versucht werden, um den entstandenen Schaden möglichst gering zu halten sowie den Ursprung zu erkennen. Die Priorität gilt dabei der Vermeidung von Schäden durch umfassende Erkennung der Bedrohung sowie der Koordination von Gegenmaßnahmen. Ein sekundäres Ziel kann allerdings auch die Identifikation der Akteure hinter dem Angriff sein.
Die Schritte zum Erfolg
Jeder erfolgreiche Incident-Response-Plan besteht aus den drei Kernpunkten:
- Erkennung,
- Analyse, und
- Reaktion.
Diese helfen dabei, ein System nach einem Angriff schnell wieder zum Laufen zu bringen. Eine gute Vorbereitung ist dabei unverzichtbar. Bereits im Vorfeld müssen entsprechende Richtlinien und Protokolle festgelegt und ein Response-Team aufgestellt werden, welches die Schritte nach einem Angriff koordiniert. So wird verhindert, dass in einer Notsituation die Beteiligten erst eine geeignete Strategie entwickeln müssen. Sind entsprechende Richtlinien vorhanden, kann man sich auf den Ablauf der Schritte, welcher bereits im Voraus trainiert werden sollte, konzentrieren.
Kommt es zu einem Angriff hat die schnelle und regelmäßige Information aller relevanten Beteiligten oberste Priorität. Neben den Führungskräften des Unternehmens zählen dazu auch die jeweils zuständigen Regierungs- oder Strafverfolgungsbehörden. Je nach Art des Vorfalls ist es wichtig, die betroffenen Kunden oder Personen zu informieren (zum Beispiel bei Datenschutzverletzungen im Sinne der DSGVO). Neben der technischen Dimension muss der Vorfall auch unter rechtlichen Aspekten eingeordnet und behandelt werden.
Um herauszufinden, wie es zu einem Angriff kam und welche Bedingungen ihn begünstigt haben, ist es hilfreich, eine Root-Cause Analyse durchzuführen, die genaue Informationen liefert. Die Voraussetzung dafür, ist die Implementierung eines Endpoint Detection and Response (EDR)-Moduls als auch einer Layer-übergreifende Detection and Response (XDR)-Plattform. Des Weiteren wird die Art der Bedrohung und die von den Cyberkriminellen angewendete Taktik durchleuchtet und dokumentiert, beispielsweise Erkundungs-Scans, Netzwerk-Scans, Schwachstellen-Exploits, Hacker-Tools, Malware und Social Engineering-Techniken.
Bevor weitere Schritte in Richtung Schadensbegrenzung eingeleitet werden, muss das Unternehmen die Lage richtig einschätzen und besonders die betroffenen Bereiche identifizieren können. So wird über eine vom Netzwerk ausgehende Zugangskontrolle das betroffene System zuerst isoliert. Die Isolation ist eine Best Practice Empfehlung, die kundenseitig ganz bewusst zeitnah erfolgen sollte. Dabei zu beachten ist, dass während der Isolierung der Systembetrieb aufrecht erhalten bleibt, damit eine Vernichtung forensischer Artefakte, die sich noch im flüchtigen Speicher befinden können, verhindert wird.
Im Anschluss kann die Bedrohung entfernt und zur weiteren Analyse und für Signatur-Updates an Sicherheitsdienstleister weitergeleitet werden. Darauf folgt die Durchführung eines vollständigen Scans aller Netzwerk-Endpunkte mit aktualisierten Erkennungs-Tools, um möglicherweise bislang unentdeckte Einfallstore derselben Angreifer zu erkennen.
Zu guter Letzt kann der Wiederherstellungsprozess beginnen, der alle Probleme und Unterbrechungen, die im Zusammenhang mit dem Angriff entstanden sind, behebt. Gemäß der Lage sollte mit kritischen Anwendungen, deren Ausfall die Geschäftstätigkeit beeinträchtigt, begonnen werden. Im Anschluss ist es hilfreich, aktiv nach Schwachstellen in IT- und eventuell vorhandenen OT-Systemen zu suchen, beispielsweise mittels Penetrations-Tests. Entdeckte Lücken lassen sich durch das Aufbringen von (virtuellen) Patches schließen. Zudem erfolgen in diesem Schritt eine Härtung des Systems, System-Cleanup oder Reimaging.
Aus dem Vorfall lernen
Jeder Cyber-Angriff zeigt: Das Response-Team sollte seine Erfahrungen unbedingt in den Incident-Response-Plan einfließen lassen und die Best Practices für die Sicherheit im Rahmen einer erneuten Vorbereitungsphase aktualisieren. Falls sich herausstellt, dass ein Sicherheits-Tool nicht optimal konfiguriert wurde, empfiehlt sich eine Nachbesserung. Ebenfalls ist es von Vorteil, die Verteidigungsmaßnahmen und bestehenden Sicherheitslinien bezüglich der Zugangskontrolle, Remote-Zugriff, Firewall-Management, etc. zu evaluieren.
Das Erstellen eines Incident-Response-Plans kann Unternehmen im Fall eines Hackerangriffs viel Zeit und Kosten ersparen. Dazu ist wichtig, dass Prozesse und Aufgabenverteilungen zuvor festgelegt und verinnerlicht wurden und die verantwortlichen Mitarbeiter mit den Tools und Abläufen vertraut sind.
Richard Werner ist Business Consultant bei Trend Micro.