Jedes Unternehmen hat Respekt vor Cyber-Sicherheitsvorfällen. Wenn es zu einem Vorfall kommt, sollte ein entsprechender Vorfallreaktionsplan, auch genannt ein Incident Response Plan zur Verfügung stehen.
Klickt zum Beispiel ein Mitarbeiter auf einen Phishing Link, muss ein entsprechendes Team den Vorfall schnell und routiniert untersuchen, um gegebenenfalls zu reagieren. Verschiedene Quellen, wie das SANS Institute, haben für solch einen Plan sechs verschiedene Aspekte empfohlen.
1. Incident Response Vorbereitung
Wohl die wichtigste Phase ist die Vorbereitung. Sowohl normale Mitarbeiter als auch die Administratoren in der IT müssen die entsprechende Schulung haben, wie sie sich bei einem entsprechenden Vorfall zu verhalten haben. Dabei ist besonders auf die unterschiedlichen Angriffsarten einzugehen, beispielsweise Phishing oder ein DDoS Angriffe.
2. Identifikation
Eher für die IT-Abteilung ist der 2. Punkt bei einem Incident Response Plan. Hier soll der entsprechende Vorfall analysiert und identifiziert werden. Wichtig ist festzustellen, ob es sich überhaupt um einen sicherheitskritischen Vorfall handelt.
Beispielsweise könnte plötzlich im gesamten Unternehmen kein Internetzugang mehr vorhanden sein. Nun stellt sich die Frage, handelt es sich um einen DDoS-Angriff, bei dem versucht wird das gesamte Unternehmen durch etliche Anfragen lahmzulegen, oder könnte auch der Internetanbieter einen Netzwerkausfall durch einen Defekt verzeichnen.
3. Vorfall spezifizieren
Sollte es sich um einen sicherheitskritischen Vorfall handeln, muss genau spezifiziert werden welche Schäden entstanden sind und eine möglicherweise weitere Ausbreitung verhindert werden. Ist ein einzelner Computer möglicherweise durch einen Link in einer Phishing E-Mail infiziert, so sollte dieser umgehend vom internen Netz der Firma genommen werden.
4. Löschen und Sichern
Wurde festgestellt, dass ein entsprechendes System infiziert ist, sollte versucht werden die Malware oder die Ursache des Vorfalls zu Löschen. Anschließend kann so viel wie möglich aus dem infizierten System gesichert werden, bevor es zum nächsten Schritt weiter geht.
5. Wiederherstellen
Nachdem die Punkte 1 bis 4 abgearbeitet wurden, kann in einem Incident Response Plan die Wiederherstellung der entsprechenden Systeme vorgenommen werden. Es ist empfehlenswert hier je nach schwere des Vorfalls vorzugehen.
Ist zum Beispiel ein einzelner Computer durch eine Kryptolocker-Malware komplett verschlüsselt und es sind nur wenige Daten verloren gegangen, sollte ein entsprechendes Backup wiederhergestellt werden und auf gar keinen Fall auf Forderungen der Angreifer eingegangen werden.
6. Incident Respone Plan verbessern
Aus dem Vorfall zu lernen ist immer gut, eine entsprechende Dokumentation der Vorgehensweisen kann dazu dienen, bei einem zukünftigen Vorfall einen noch besseren Ablauf zu Entwickeln. Generell können Unternehmen durch gute Incident Response Pläne, die entsprechenden Vorgehensweisen stark verbessern und so mögliche Schäden minimieren oder sogar komplett zu verhindern.
