zur Übersicht

Ein Incident and Response Team für den Mittelstand

Die aktuellen Ereignisse (wie der Vorfall im Universitätsklinikum Düsseldorf) zeigen, wie wichtig das Thema IT-Sicherheit ist. An oberster Stelle steht es, Cyber-Angriffe abzuwehren bevor etwas passiert. Doch auch wenn Sie alle verfügbaren Ressourcen zur Abwehr einsetzen, es gleicht immer einem Wettlauf mit der Zeit bis es doch einen Sicherheitsvorfall gibt, auch wenn viele davon zum Glück nicht so prekär sind, wie der Erpressungsversuch in Düsseldorf.

Ist ein Sicherheitsvorfall eingetreten, ist es wichtig versierte Entscheidungen zu treffen und schnell zu handeln. Auch hier gilt: je besser Sie vorbereitet sind, umso schneller sind Sie wieder einsatzbereit. Genau für diesen Zweck, empfehlen wir ein Incident and Response (IR) Team. Leider fehlt dieses in mittelständischen Unternehmen noch häufig.

Warum ist das IR-Team so wichtig und wie funktioniert es?

Das Incident and Response Team ist im Unternehmen die zentrale Anlaufstelle, wenn es einen Sicherheitsvorfall gibt. Somit entscheidet sich an diesem Punkt, wie groß der Schaden im Unternehmen sein wird und wie schnell Sie wieder regulär arbeiten können.

Das Team ist zunächst eine Gemeinschaft auf Zeit und in der Regel hochkarätig besetzt. Das heißt, die Gruppe formiert sich nur im Bedarfsfall und trennt sich nach der Lösung wieder. Je nach Kritikalität des Sicherheitsvorfalls, sollte das Team aus Mitgliedern unterschiedlicher Rangstufen bestehen. Je kritischer der Incident, umso eher wird auch die Geschäftsleitung und/oder der Vorstand involviert.

Gemeldet werden kann ein IT-Sicherheitsvorfall von jedem Mitarbeiter. Aus dem IT-Sicherheitsteam prüft dann jemand diese Meldung und entscheidet auf Basis von vorher festgelegten Kriterien über das weitere Vorgehen und aktiviert entsprechend das IR-Team.

Der Prozess des IR-Teams und die damit einhergehenden Aufgaben sehen in der Regel wie folgt aus:

1. Identifizierung

Ein gemeldeter Sicherheitsvorfall wird zunächst vom IR-Team identifiziert und dessen Ursache untersucht. Von der Phishing-E-Mail, über den Anrufer, der nach sicherheitsrelevanten Informationen fragt, bis hin zum USB-Stick, der auf dem Parkplatz gefunden wird oder dem ungewöhnlichen Verhalten des Endgeräts, kann hier die gesamte Bandbreite auftauchen.

Auch Security-Systeme wie der Endpoint- oder Server-Sensor sind hervorragende „Mitarbeiter“, wenn es darum geht Incidents zu entdecken und zu melden. Besonders geeignet sind Systeme, welche die Möglichkeiten der Root Cause Analyse (Ursachen-Analyse) mitbringen, wie z.B. Trend Micro Worryfree Services. In der Phase der Identifizierung wird auch entschieden, ob der Incident ein meldepflichtiger Vorgang gemäß einer entsprechenden Compliance-Richtline (z.B. DSGVO) ist. Anschießend startet die Phase der Eindämmung.

2. Eindämmung

Die Eindämmung hat das Ziel, das weitere Ausbreiten des Sicherheitsvorfalls im Unternehmen zu verhindern. Um dies zu gewährleisten, müssen jedoch oft Entscheidungen mit gesamtunternehmerischer Tragweite getroffen werden. Im Notfall muss die gesamte IT heruntergefahren werden oder der Internetzugang muss deaktiviert werden. Ggf. legt dies den kompletten Betrieb lahm. Damit solche Entscheidungen schnellstmöglich und sicher getroffen werden können, sollten bei kritischen Incidents auch hochrangige Entscheider im Team inkludiert sein. War die Eindämmung erfolgreich geht es mit der Phase der Eliminierung weiter.

3. Eliminierung

Bei der Eliminierung soll die Ursache des Vorfalls vollständig beseitigt werden. Auch die Dokumentation und die entsprechenden Berichte darüber, werden in diesem Prozessschritt angefertigt.

4. Wiederherstellung

Die Wiederherstellung ist die Phase, in der die Betriebsfähigkeit des Unternehmens wieder vollständig hergestellt wird. Dies kann durch das Einspielen der Datensicherungen erfolgen oder durch das komplette Neuaufsetzen der betroffenen Systeme. Ist die Phase abgeschlossen, geht es an die Optimierung.

5. Optimierung

Auch wenn der Sicherheitsvorfall nun eigentlich beendet ist, gehört auch die Optimierung noch zu den Aufgaben des IR-Teams. Hierbei wird der Incident analysiert und gibt der Gruppe dabei die Möglichkeit, konstruktive Kritik zu üben. Optimierungspotenzial wird ausgelotet aber auch positive Dinge werden für folgende Einsätze festgehalten. Auch technische oder organisatorische Vorschläge werden erarbeitet, die ein erneutes Vorkommen unterbinden sollen. Die Phase ist also auch für die Prävention wichtig.

Die optimale Zusammenstellung des Teams…

Wie oben bereits beschrieben, richtet sich die Besetzung des Teams dynamisch an der Kritikalität des Vorfalls aus. Der gefundene und nicht verwendete USB-Stick, sollte keine Meldung an den Vorstand auslösen. In einem solchen Fall reicht es aus, wenn das operative Team sich darum kümmert. Das Ausbrechen des Krypto-Schadcodes mit flächendeckender Verschlüsselung in der Produktionsumgebung, sollte wiederum umgehend die Geschäftsführung auf den Plan rufen. Die einzelnen Stufen sollten aber nicht zu kleinteilig gefasst werden. In der Regel sind drei Stufen ausreichend.

Wird ein Vorfall als kritisch eingestuft, empfehlen wir folgende Teambesetzung:
> IR-Manager
> Geschäftsleitung
> Beschaffung / Einkauf
> Marketing / Presseabteilung
> Rechtsabteilung / Compliance-Beauftragter
> HR / Betriebsrat
> IT-Leitung
> IT-Betrieb

Schlüsselposition IR-Manager

Aus unserer Erfahrung heraus, ist der IR-Manager am besten jemand mit entsprechender IT- und Projekterfahrung im Bereich IT-Security und er sollte in der Lage sein, auch in Krisensituationen den Überblick zu bewahren. Wenn es Ihnen innerhalb des Unternehmens an einer solchen Fachkraft fehlt, kann diese Position auch extern vergeben werden. Externe Partner sind auf solche Vorfälle spezialisiert und können Sie mit ihrer Expertise schnell und nachhaltig unterstützen.

Auch das Team von Krick unterstützt Sie gerne bei allen Fragen rund um Ihre Sicherheit. Nehmen Sie gerne Kontakt zu uns auf und wir finden gemeinsam eine erfolgreiche Lösungen!

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Robert F. Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Der neue Workspace oder: wie fühlt sich New Normal an?

Im heutigen Blog-Beitrag begrüßen wir unseren ersten Gast-Autor, Marco Rosin (Senior Partner Account Manager @ Citrix Systems GmbH). Er berichtet in den nächsten Wochen aus seiner Perspektive, wie sich Homeoffice anfühlen kann und sollte, warum ein betriebliches Kontinuitätsmanagement so wichtig ist und wie Sie die Lösungen von Citrix dabei unterstützen, den Fortbestand Ihres Unternehmens zu sichern.

19.02.21 11:17

30 Jahre KRICK - The story behind…

In diesem Jahr feiern wir unser 30-jähriges Firmenjubiläum und wollen Sie mitnehmen auf eine kurze Reise durch die Zeit. Wir möchten uns ansehen, wie alles begann aber auch einen Moment im Hier und Jetzt verweilen. Und wir würden Ihnen gerne einen Blick hinter die Kulissen des Rebrandings geben. Also: lassen wir Robert Krick selbst erzählen…

12.02.21 11:26

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

15.01.21 12:15

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net