Cybersecurity Incident Response: Was du wissen musst

Ist dein Unternehmen auf eine Sicherheitslücke oder einen Cyberangriff vorbereitet? Nach Ansicht von Cybersecurity-Experten ist es eher eine Frage des „Wann“ als des „Ob“, ob dein Unternehmen von einem ernsthaften Cybersecurity-Vorfall betroffen sein wird. Das gilt sowohl für Großunternehmen als auch für kleine und mittlere Unternehmen (KMU). Ein Incident Response Plan (Vorfallsreaktionsplan), der nach einem Sicherheitsvorfall unverzüglich ausgeführt wird, ist für jede Organisation, unabhängig von ihrer Größe, von entscheidender Bedeutung. Die Zeit der Erarbeitung deines Reaktionsplans ist jetzt. Heute schauen wir uns genauer an, was du wissen musst, um einen wirksamen Incident Response Plan für Cybersicherheit zu erstellen.

Alarmierende Zahlen: Cyberangriffe nehmen zu

2020 und 2021 brachten einige Herausforderungen mit sich. Die globale COVID-19-Pandemie hat Unternehmen aller Größenordnungen dazu gezwungen, Mitarbeiter aus der Ferne zu beschäftigen und auf Cloud-basierten Plattformen zu arbeiten. Leider haben diese Veränderungen zu einem Anstieg der cyberkriminellen Aktivitäten geführt – sie sind um satte 600 % gestiegen.

Berichten zufolge hat die Zahl der Ransomware-Angriffe im Jahr 2021 zugenommen 151 % Anstieg des Angriffsvolumens. Es wird geschätzt, dass heute alle 11 Sekunden ein neues Unternehmen Opfer eines Ransomware-Angriffs wird.

Aber das ist noch nicht alles, nicht einmal annähernd. CPO Magazine berichtet dass fast eine halbe Million Zoom-Konten kompromittiert wurden und die Daten dieser Konten im Dark Web verkauft wurden. Außerdem hat stiegen die Phishing-Angriffe um 510 % allein von Januar bis Februar 2020. Cybercrime Magazine stellt fest, dass sich der weltweite Schaden durch Cyberkriminalität im Jahr 2021 auf 16,4 Milliarden US-Dollar pro Tag, 684,9 Millionen US-Dollar pro Stunde, 11 Millionen US-Dollar pro Minute und 190.000 US-Dollar pro Sekunde beläuft.

Es sind schwierige Zeiten für Unternehmen, gleichzeitig aber lukrative Zeiten für Cyberkriminelle. Für die Unternehmen von heute ist es von existenzieller Bedeutung, darauf vorbereitet zu sein, im Falle eines Cyberangriffs entsprechend zu reagieren. Die National Cyber Security Alliance berichtet, dass 60 % der kleinen und mittleren Unternehmen, die von einem schweren Cyberangriff betroffen sind, innerhalb von sechs Monaten ihren Betrieb einstellen müssen.

Was ist ein Incident Response Plan und warum brauchst du ihn?

Ein Cybersecurity Incident Response Plan ist eine Reihe von Anweisungen und Richtlinien, mit denen sich Unternehmen auf einen Cybersicherheitsvorfall vorbereiten, ihn erkennen, darauf reagieren und sich davon erholen können. Die meisten Reaktionspläne werden für Probleme wie Malware-Angriffe oder allgemeine Sicherheits- und Datenverletzungen erstellt. In der Regel sind solche Pläne technologieorientiert und geben einen festen Ablauf vor, wenn ein Unternehmen von einem Vorfall betroffen ist. Es ist auch wichtig zu wissen, dass die Reaktionspläne auf Vorfälle nicht nur die IT-Abteilung, sondern auch andere Bereiche des Unternehmens berücksichtigen sollten. Zu einem guten Plan gehören Bereiche wie Finanzen, Kundendienst, PR, Personalwesen, Rechtsabteilung, Kundendienst und andere Stellen.

Bei der Erstellung eines Cybersecurity Incident Response Plans solltest du darauf achten, ihn so spezifisch wie möglich zu gestalten. Er sollte speziell auf dein Unternehmen zugeschnitten sein und klar festlegen, wer was und wann zu tun hat, wenn das Unternehmen von einem Cyberangriff betroffen ist. Natürlich gibt es zahlreiche Faktoren, die berücksichtigt werden müssen, damit ein Plan erfolgreich ist und den Bedürfnissen deines Unternehmens entspricht. Manche Unternehmen wissen nicht, wo sie anfangen sollen, geschweige denn, welche Prioritäten sie setzen sollen. Um dieses dringliche Thema zu beleuchten, findest du hier einige wichtige Punkte, die du bei der Erstellung deines Cybersecurity-Reaktionsplans berücksichtigen solltest.

Ein internes Reaktionsteam zusammenstellen

Überlege dir, ob du ein internes Team zusammenstellst, das für die Ausarbeitung des Cybersecurity Incident Response Plans und dessen Umsetzung im Notfall verantwortlich ist. Die Größe des Teams hängt von den Ressourcen des Unternehmens ab, aber es sollte aus IT- und Cybersicherheitsexperten, einem Personalspezialisten, Kommunikationsverantwortlichen und einem Rechtsexperten bestehen. Ein internes Team kann von großem Nutzen sein, wenn es in deinem Unternehmen zu einem Sicherheitsvorfall kommt, da die Mitglieder des Teams genau wissen, wie der Vorfallsreaktionsplan ausgeführt werden muss.

Vorfälle differenzieren

Nicht alle Sicherheitsvorfälle sind gleich. Daher solltest du bei der Erstellung deines Reaktionsplans verschiedene Verfahren für unterschiedliche Vorfälle vorsehen. Es ist wichtig zu beurteilen, welche Art von Sicherheitsvorfällen in deinem Unternehmen als geringfügig oder schwerwiegend eingestuft werden. Einige Sicherheitsverletzungen erfordern möglicherweise umfangreiche Maßnahmen, während andere mit weniger Ressourcen bewältigt werden können. Je nach Schwere des Vorfalls muss das Reaktionsteam mit unterschiedlichem Personal arbeiten. Die Differenzierung von Vorfällen ist für kleinere Unternehmen aufgrund des Mangels an Ressourcen extrem wichtig.

Eine Checkliste für das weitere Vorgehen erstellen

Ein gut durchdachter Plan zur Reaktion auf Cybervorfälle muss eine Checkliste mit priorisierten Maßnahmen enthalten, die sofort durchgeführt werden müssen, nachdem das Unternehmen von einem möglichen Vorfall erfahren hat. Darum geht es in dem Plan schließlich. Auch wenn die Checklisten für jedes Unternehmen je nach Größe, Art der Geschäftstätigkeit und anderen Variablen unterschiedlich ausfallen, sind hier ein paar Maßnahmen aufgeführt, die in jeder Checkliste enthalten sein sollten:

• Protokolliere das Datum und die Uhrzeit, an dem der Verstoß entdeckt wurde.

• Definiere die Art des Sicherheitsvorfalls.

• Schalte potenziell gefährdete Systeme offline, um weitere unbefugte Aktivitäten zu verhindern.

• Führe erste Gespräche mit den Personen, die über den möglichen Verstoß Bescheid wissen.

• Erstelle eine Kopie der betroffenen Systeme, damit sie repariert werden können, ohne den Untersuchungsprozess zu gefährden.

• Beginne mit der internen Kommunikation.

• Bereite eine Pressemitteilung vor.

Überprüfe und ändere den Incident Response Plan regelmäßig

Ein Cybersecurity Incident Response Plan muss regelmäßig überprüft und entsprechend den wachsenden oder schwindenden Unternehmensressourcen und Cybersecurity-Trends angepasst werden. Dies sollte mindestens einmal im Jahr oder sogar noch häufiger geschehen. Der Reaktionsplan sollte alle Änderungen innerhalb des Unternehmens berücksichtigen, z. B. personelle Änderungen, Änderungen der IT-Infrastruktur usw.

Die Cybersicherheit in Unternehmen kann eine große Herausforderung sein. Sie beinhaltet ein menschliches Element und eine große Anzahl beweglicher Teile. Selbst die größten Akteure in der Geschäftswelt haben mit den wachsenden Anforderungen an die Cybersicherheit zu kämpfen. Daher ist es manchmal schwierig zu erkennen, dass etwas so Kompliziertes wie die Unternehmenssicherheit eigentlich mit so grundlegenden Dingen wie einer guten Passwortqualität oder dem Erkennen von Phishing-E-Mails beginnt.

Wenn du mehr über Cybersecurity Incident Response erfahren möchtest und wie du dein Unternehmen widerstandsfähig machen kannst, haben wir genau das Richtige für dich. Vor ein paar Wochen veranstaltete NordPass ein Webinar zu diesem Thema. Zu den Referenten gehörten Lisa Forte, Partner @ Red Goat Cyber Security, Vilius Benetis, Direktor @ NRD Cyber Security, und Andrius Januta, Cyber Security Professional @ Nord Security. Du kannst die Aufzeichnungen des Webinars gerne herunterladen, wenn du professionelle Einblicke in die Planung von Cybersecurity-Reaktionen erhalten möchtest.