Parallelen zwischen Krisenmanagement in der Corona-Krise und dem Incident Response Prozess?
Hat Deutschland einen guten Incident Response Prozess? Der Incident Response Prozess (kurz: IR-Prozess) beschreibt einen Ablaufplan, der im Falle eines sog. Security-Incidents (=Sicherheitvorfalls) im Zusammenhang mit der Informationstechnik zum Tragen kommt. Er wird als Teil des Incident Management gesehen und kann ein Unternehmen in Krisenzeiten vor sehr großen finanziellen Schäden bewahren. Der Corona-Virus kann ebenfalls als Incident bzw. als Angriff auf die weltweite Infrastruktur gesehen werden, da die komplette Wirtschaft aktuell dadurch beeinflusst wird. Wie auch die Weltwirtschaft sind die meisten Unternehmen heute stark von einer funktionierenden IT und Produktion abhängig. Der Corona-Virus legt aktuell alles lahm und Regierungen schalten in den Katastrophenmodus. Die Leute bekommen Panik. Dass es ihrem Unternehmen in einem Security-Incident nicht auch so geht, möchte ich ihnen den IR-Prozess in diesem Artikel näher vorstellen. Der IR-Prozess besteht in der Regel aus 6 Phasen:
1. Preparation/Vorbereitung: Ohne Vorbereitung ist alles nichts… Trifft ein Unternehmen keine Vorbereitungen, um auf einen Cyberangriff zu reagieren, kann dies die Lage sogar verschlimmern. Unkoordiniertes Vorgehen löst in vielen Menschen Panik aus und führt zu irrationalen Handlungen. Doch gerade bei einem Cyberangriff sind solche Verhaltensweisen nicht zielführend. Möchte man einen Vergleich zur aktuellen Corona-Krise wagen, ist Deutschland relativ zu anderen Ländern gesehen mit dem Gefahrenabwehrrecht und den etablierten medizinischen Infrastrukturen sehr gut aufgestellt. Diverse Notfallpläne greifen wie Zahnräder ineinander und die Maßnahmen können stufenweise hochgefahren werden. Umso wichtiger ist es daher für Unternehmen sich auf einen möglichen „Tag X“ vorzubereiten und einen Incident Response Plan zu erstellen. Zuständiges Personal sollte namentlich benannt werden und evtl. in Form eines „Cyber Security Incident Response Team“ (CSIRT) organisatorisch aufgestellt werden. Das CSIRT sollte für solche Fälle auch ausgebildet werden und kann in großen Unternehmen sogar dauerhaft bestehen. Auch Analyse-Tools (genauer: forensische Hard- und Software) sollten angeschafft werden, um in diesen Fällen ein zielgerichtetes Vorgehen zu ermöglichen. Last-Minute-Käufe führen hier zu unsachgemäßen Ausgaben, ganz abgesehen davon, dass gar kein geschultes Personal für die Tools vorhanden ist. Also: Legen Sie am besten einen schriftlichen Incident Response Plan an.
2. Detection/Entdeckung: Die Entdeckung eines Cyberangriffs erfolgt im Unternehmen häufig dadurch, dass die Systeme nicht mehr richtig funktionieren und eine Prüfung dahingehend stattfindet oder durch die implementierten Security-Tools, die im Rahmen des „Security Incident and Event Management“(SIEM) eingesetzt werden. Diese Phase der Entdeckung gilt als Startschuss für die ersten Maßnahmen im Rahmen des festgelegten IR-Plans. Bei der Corona-Krise waren erste Anzeichen vor Wochen schon in China erkennbar. Betrachtet man die Welt als ein großes Computernetzwerk eines Unternehmens so wären hier schon die ersten Indikatoren für einen unternehmensweiten Ausbruch vorhanden gewesen. Die Netzwerkverbindungen (weltweite Personentransporte, wie Flüge, Bus-, Zugverbindungen usw.) wurden durch Europa anfangs nur tröpfchenweise eingeschränkt. Eine Einschränkung von 100 auf 0 wäre für das Gesamtsystem der Wirtschaft logischerweise tödlich gewesen. Genau so wäre es auch für ein Unternehmen. Physikalisch kann man hier nicht einfach an den Server gehen und alle Kabel ziehen oder einfach alle bestehenden Verbindungen kappen und die Ports blockieren. Daher wird erst eine gründliche Analyse nötig, die den nächsten Schritt im IR-Prozess darstellt.
3. Analysis/Analyse: Das im IR-Plan festgelegte Personal oder auch externe Partner beginnen nach der Feststellung eines Sicherheitsvorfalls nun die Systemaktivitäten mit dem Ziel zu analysieren die Ursache des Cyberangriffs zu finden und den Weg der Angreifer nachzuvollziehen (…was nicht immer so leicht ist). Hier stehen bestimmte Methoden und Tools zur Verfügung. Eine besondere Bedeutung hat dabei die Sammlung aller möglichen Daten aus den Bereichen der Logfiles, des Netzwerkverkehrs, der Prozesse und der Speicher (sowohl Arbeitsspeicher, als auch persistente Speicherquellen). Die Analyse kann je nach Datenmenge einige Tage oder auch nur Stunden in Anspruch nehmen. In der Corona-Krise bestanden zwar entsprechende medizinische Testmethoden, jedoch war das Vorgehen bei Weitem nicht standardisiert, wie es im forensischen Bereich ist.Sind die Maßnahmen beendet so dürfte die Analyse die Grundlage für alle folgenden Maßnahmen geschaffen haben. Daher sollte sie mit der notwendigen Gründlichkeit durchgeführt werden!
4. Containment/Eindämmung: Zum aktuellen Zeitpunkt befinden wir uns bei der Corona-Krise genau in dieser Phase. Nachdem nun ein Verständnis herrscht mit welchem „Gegner“ wir es zu tun haben, werden die Schutzmaßnahmen nach und nach hochgefahren, um die Ausbreitung des Virus zu stoppen. Einrichtungen müssen geschlossen bleiben, soziale Kontakte sind zu meiden und nur „systemrelevante“ Bereiche sollten noch betrieben werden. Bezogen auf IT-Infrastrukturen sollte ähnlich vorgegangen werden. Wichtig ist hier jedoch, dass einem stufenweisen Plan gefolgt wird:
-
- Short-term-Maßnahmen: Schadensbegrenzung und Isolation der betroffenen Systeme, um im Gesamtsystem weiterhin arbeitsfähig zu sein. Mögliche Maßnahmen wären hier auf Netzwerkbasis die Schließung von Ports oder die Filterung IP-Adressen durch Firewall-Regeln. Hilft alles nichts, so müssen die Netzwerkkabel gezogen werden. Dies wäre analog einer „Ausgangssperre“ durch die Bundesregierung zu sehen. Die jeweiligen Server und Clients könnten nicht mehr kommunizieren und damit kein „Sozialleben“ mehr aufrechterhalten, was einen entsprechenden Einfluss auf das Gesamtsystem hat. Daher sollten diese Maßnahmen mit den Verantwortlichen diskutiert und mit Bedacht gewählt werden.
- Long-term-Maßnahmen: Neben der Herstellung der temporären Arbeitsfähigkeit des Gesamtsystems sollten parallel „saubere“ Maschinen und Systeme aufgesetzt werden, die dann nach und nach die „reparierten“ temporären System ersetzen.
5. Eradiction and recovery/Beseitigung und Wiederhestellung: Die o.g. stete Ersetzung der Systeme zählt in der Regel in diese Phase. Die betroffenen Systeme sollten durch Re-Imaging komplett neu aufgesetzt werden. Hierbei können Backups eine wichtige Rolle spielen, weshalb ein technisch intelligentes Backup-Konzept sehr wichtig ist. Die Rechte der betroffenen Benutzeraccounts sollten genau geprüft und angepasst werden. Auch alle übrigen Accounts müssen hinsichtlich einer Kompromittierung überprüft werden. Wo nötig müssen diese neu aufgesetzt bzw. deren Rechte neu definiert werden.Sobald die Arbeitsfähigkeit in der Gänze erreicht ist, ist es unabdingbar die Systeme auf Schwachstellen hin zu prüfen. Es muss letztlich sichergestellt sein, dass die Systeme frei von Malware sind.
6. Post-incident activity/Nachbereitung: Die Nachbereitung zählt zu den wichtigsten Phasen im IR-Prozess. Lernt ein Unternehmen nicht aus seinen Fehlern, so könnte der nächste Cyberangriff den finanziellen Ruin bedeuten. Daher ist es wichtig die Abläufe und Ereignisse mit den verantwortlichen Personen genau zu beleuchten, um Optimierungspotenzial zu erkennen. Der IR-Plan ist nicht in Stein gemeißelt und sollte daher an notwendiger Stelle angepasst werden. Was sind also die Learnings aus dem Vorfall? Wie war das Personal aufgestellt? Sind Schulungen nötig? Ist eine bessere Absprache und Zusammenarbeit mit den Partnern nötig?Außerdem sollten die Tools beleuchtet werden: Sind die Tools der IT-Sicherheit ausreichend und zuverlässig? Wo nötig sollte hier angepasst und Prozesse geändert werden. Im Gesamten gilt: Proaktiv zu handeln ist besser als reaktiv zu handeln! Daher sollten die Systeme regelmäßig mit Updates versorgt werden. Jede einzelne Komponente (Hard- und Software) sollte hierauf überprüft werden. Funktionierende Schutzmechanismen, wie IDS/IPS und Firewalls sowie Defense-in-depth Ansätze sollten umgesetzt werden.Um nochmals die Parallelen zur Corona-Krise zu ziehen: Veraltete Systeme sind ähnlich einem schwächelnden Immunsystem! Diese könnte lebensbedrohlich werden. Hat man also einen Plan und ist auf solche Fälle vorbereitet, so lassen sich Sicherheitsvorfälle zwar nicht immer verhindern, aber sie laufen glimpflicher und ohne Panik ab. Analog könnte man den IR-Prozess also auch in seinen Phasen auf die Corona-Krise anwenden.