Partner-Post Dossier kompakt in Kooperation mit Infoguard

Bei einer Cyberattacke zählt jede Sekunde

Uhr
von Mathias Fuchs, Head of Investigation & Intelligence, Infoguard

Sie legen Websites lahm, schleusen Schadsoftware ein, verschlüsseln Daten und machen vielen Unternehmen das Leben schwer: Cyberkriminelle. Eine professionelle "Sondereinsatztruppe" ist das beste Mittel gegen solche Angreifer, denn nur so können Cyberattacken schnell erkannt, ­umgehend darauf reagiert und die Cybersecurity nachhaltig optimiert werden.

Mathias Fuchs, Head of Investigation & Intelligence, Infoguard. (Source: zVg)
Mathias Fuchs, Head of Investigation & Intelligence, Infoguard. (Source: zVg)

Je mehr die Digitalisierung voranschreitet, desto grösser ist die Gefahr, Opfer von Cyberkriminellen zu werden. Die Bandbreite möglicher Angriffe ist dabei gross. Digitalisierung und Sicherheit sind deshalb untrennbar miteinander verbunden, denn ein Sicherheitsvorfall kann das betroffene Unternehmen empfindlich treffen. Deshalb gilt es, die eigenen Abwehrkräfte gegen Cyberattacken gezielt zu stärken, anstatt immer höhere Sicherheitsmauern zu bauen.

CSIRT als Schlüssel zur Cybersecurity

Ein CSIRT (Cyber Security Incident Response Team) hilft dabei, die Auswirkungen eines Sicherheitsvorfalls zu minimieren. Es ist so etwas wie eine Sondereinsatztruppe, die aktiv wird, sobald Hacker versuchen, die Sicherheitsmauern zu überlisten. Es sind Spezialisten, die Taktiken und Methoden der Angreifer kennen. Ihr Fokus liegt darauf, Sicherheitsvorfälle zu erkennen und entsprechend zu reagieren. Ohne ein CSIRT entdecken Unternehmen Angriffe möglicherweise gar nicht oder erst viel zu spät, wodurch nicht angemessen auf die Bedrohung reagiert werden kann.

Incident Response mit System

Es gilt also, mit den Cyberkriminellen Schritt zu halten, deren Methoden zu kennen und rechtzeitig Gegenmassnahmen einzuleiten. Ein CSIRT schafft dafür die operativen Voraussetzungen. Mit einem Incident-Response-Plan wird das Vorgehen in sechs Schritten strukturiert und dokumentiert.

  1. Vorbereitung: Unternehmen müssen sich auf Sicherheitsvorfälle vorbereiten und mögliche Szenarien durchspielen.

  2. Identifikation: Als Erstes muss festgestellt werden, ob es sich tatsächlich um einen Sicherheitsvorfall handelt.

  3. Eindämmung: Ist es tatsächlich ein Sicherheitsvorfall, gilt es, den verursachten Schaden zu begrenzen und die betroffenen Systeme zu isolieren. Sobald sichergestellt ist, dass kein weiterer Schaden auftreten kann, muss der Vorfall im Detail analysiert werden.

  4. Beseitigung: Hier gilt es, die Ursache oder den Auslöser des Vorfalls zu finden und die betroffenen Systeme aus der produktiven Umgebung zu entfernen.

  5. Wiederherstellung: Das Beseitigen des Problems sowie die Wiederherstellung gehen meist Hand in Hand. Die betroffenen Systeme müssen wieder in die produktive Umgebung integriert werden – natürlich erst, nachdem definitiv keine Bedrohung mehr besteht.

  6. Erkenntnisse: Abschliessend muss sichergestellt werden, dass ein derartiger Vorfall nicht noch einmal auftreten kann. Das Problem sollte trotz sorgfältiger Bearbeitung nicht als gelöst betrachtet werden, bis die Ursachenanalyse komplett abgeschlossen ist.

Cyberattacken lassen sich leider nicht verhindern. Deshalb ist die Erkennung, Analyse und Reaktion so wichtig – und zwar rund um die Uhr. Ein dediziertes CSIRT und ein klar definierter Incident-Response-Plan helfen, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren sowie den Business Impact drastisch zu reduzieren. Dabei kann es durchaus hilfreich sein, professionelle Unterstützung durch externe Spezialisten beizuziehen. Unternehmen sind gut beraten, sich konsequent mit aktuellen und neuen Risiken auseinanderzusetzen und der Cybersecurity das nötige Gewicht zu verleihen.

----------

Nach einem Incident ist vor einem Incident

Ein KMU kann sich nicht immer um alles kümmern. Aber vielleicht muss es das auch nicht. Dienstleister wie Infoguard bieten ihr wachsames Auge quasi als Dienstleistung an. Matthias Fuchs, Head of Investigation & Intelligence bei Infoguard, sagt, welche Vorteile ein externes Computer Security Incident Response Team (CSIRT) bietet. Interview: Coen Kaat

Cyberkriminelle scheinen immer einen Schritt ­voraus zu sein. Wie kann man da überhaupt Schritt halten?

Mathias Fuchs: Es scheint vielleicht auf den ersten Blick so, dass uns Cyberkriminelle einen Schritt voraus sind. Die Ansicht, dass man sich nur bei einem Angriff verteidigen kann, ist weit verbreitet. Was man aber immer tun kann – und auch machen sollte – ist, sich auf einen Angriff vorzubereiten. Dazu gehören natürlich sichernde Massnahmen, jedoch reichen diese heutzutage längst nicht mehr aus. Daher sind Detektionsmassnahmen sowie eine schnelle Reaktion auf Sicherheitsvorfälle durch ein CSIRT viel wichtiger geworden. Die Zeitspanne zwischen dem ersten "Feindkontakt" und der ersten Reaktion der Verteidiger ist dabei entscheidend. Ausserdem beeinflusst die erste Reaktion der Verteidiger den weiteren Verlauf eines Cyberangriffs. Aber auch die Threat Intelligence spielt eine wichtige Rolle. Die Verteidigung gestaltet sich um ein Vielfaches leichter, wenn man auf gleicher Wissensbasis wie der Angreifer agieren kann. Unternehmen müssen sich kontinuierlich mit der aktuellen und zukünftigen Risikosituation auseinandersetzen, das eigene Sicherheitsdispositiv entsprechend anpassen und aktiv nach möglichen Anzeichen von Angriffen suchen – sowohl extern wie auch im eigenen Unternehmensnetzwerk. Sie sehen: Es gibt viele Variablen, die man besser in Ruhe überlegen und ausarbeiten sollte, anstatt unter Druck nach der Erkennung eines tatsächlichen Angriffs.

Was macht ein professionelles CSIRT aus?

Aus meiner Sicht in erster Linie Erfahrung und Kompetenz. Es gibt aber leider wesentlich mehr Personen, die über Incident Response schreiben, als wirklich erfahrene Responder. Um bei einem Sicherheitsvorfall effizient und effektiv reagieren zu können, braucht es viel Erfahrung und ein eingespieltes Spezialisten-Team, das jederzeit verfügbar sein muss. Natürlich sind auch die richtigen Werkzeuge entscheidend. Was nützt das beste Team, wenn die notwendigen Informationen zum Sicherheitsvorfall nicht verfügbar sind oder nur mit viel Zeitaufwand beschafft werden können? Womit wir auch wieder bei der entscheidenden Zeitspanne zwischen Angriff und Verteidigung wären.

Legt ein Kunde damit nicht die eigene Sicherheit in fremde Hände?

Ja, das stimmt natürlich bis zu einem gewissen Grad. Aber das muss ja auch nicht negativ sein! Ich vergleiche das gerne mit einem Krankenhaus oder dem Rettungsdienst. Wenn man es nicht mehr selbst schafft, sollte man sich rechtzeitig Hilfe von Spezialisten zu suchen. Genauso verhält es sich mit einem CSIRT. Dieses ist ja auch nicht zuständig, wenn es um den Betrieb der Sicherheitsinfrastruktur geht, sondern kommt erst dann zum Einsatz, wenn ein Cyberangriff stattfindet und erfahrene Responder gefragt sind.

Kann ein externes CSIRT überhaupt rechtzeitig ­eingreifen, wenn etwas passiert?

Die Frage ist, was man unter rechtzeitig versteht. Grundsätzlich gilt natürlich: Früher ist immer besser. Ein Angreifer, der erst vor Kurzem ins Netzwerk eingedrungen ist, kann leichter entfernt werden, da er sich noch nicht etablieren konnte. Aber noch viel wichtiger ist, dass die Reaktion immer kontrolliert geschehen muss. Man sollte immer vorsichtig sein, wenn es um die Entfernung des Angreifers aus dem Netz geht – übereilte Aktionen können kontraproduktiv sein. Und nur wenn Sie wissen, über welche Wege der Angreifer allenfalls zurück ins Netzwerk gelangen kann, können Sie ihn auch langfristig daraus entfernen. Wir können aus eigener Erfahrung sagen: Ja, ein externes CSIRT kann rechtzeitig reagieren und grosse Schäden verhindern. Wichtig ist jedoch, dass bereits vorab die Prozesse, Verantwortlichkeiten usw. geklärt sind. Denn ein Incident ist ein denkbar schlechter Zeitpunkt für vertragliche Diskussionen.

Sind solche Dienstleistungen preislich nur etwas für Grossunternehmen?

Nein, absolut nicht. Natürlich sind viele unserer Kunden mittlere oder grössere Unternehmen. Und es ist schon so, dass die Kosten für Grossunternehmen leichter zu tragen sind als für kleine Unternehmen. Aber ein Incident kann auf der anderen Seite für ein kleineres Unternehmen viel schneller existenz­bedrohend sein. Deshalb ist es auch wichtig, ein modulares Dienstleistungsangebot zu haben. So kann ein Unternehmen genau jene Services beziehen, die für das eigene Sicherheitsdispositiv am wichtigsten und hilfreichsten sind.

Was muss ein Incident-Response-Plan umfassen?

Ein Incident-Response-Plan besteht aus Organisation, Massnahmen und Prozessen und umfasst alles – vom Scoping über die Steuerung der Intervention bis hin zur Planung der Remediation und Lessons Learned nach erfolgreichem Abschluss des Incidents. Oft kennen Incident Responder nach einer Untersuchung das Netzwerk des betroffenen Unternehmens besser als die eigene IT-Abteilung. Dieses Wissen sollte man nutzen, um zusätzlichen Wert für den Kunden zu generieren und dessen Sicherheit nachhaltig zu optimieren. Denn erfahrungsgemäss ist nach einem Incident vor einem Incident.

Webcode
DPF8_133036