Incident Response-Planung: Schritt für Schritt zum Notfallplan für IT-Security-Incidents

Ein gut durchdachter Incident Response Plan ermöglicht, frühzeitig und proaktiv auf IT-Sicherheitsvorfälle zu reagieren und mögliche Schäden zu reduzieren. Er ist eine absolute Notwendigkeit für alle Organisationen, unabhängig von deren Größe oder Branche. Kleinstunternehmen und KMU stehen dabei allerdings vor der Herausforderung, nicht dieselben personellen, finanziellen und fachlichen Ressourcen wie große Unternehmen zur Verfügung zu haben.

„In der heutigen vernetzten Welt ist eine hundertprozentige Sicherheit für niemanden möglich“, weiß Philipp Trummer, Teamlead Incident Response bei IKARUS Security Software: „Unter Berücksichtigung der vorhandenen Infrastruktur und des verfügbaren Budgets müssen die Risiken so gut wie möglich bewertet und die bestmöglichen Lösungen gefunden werden.“ Dazu gehört auch die Vorbereitung auf Notfälle durch die Erstellung eines Incident Response Plans.

Nutzen eines Incident Response Plans

Ein Incident Response Plan hilft, finanzielle, organisatorische und technische Risiken zu minimieren und sicherzustellen, dass Ihr Unternehmen im Einklang mit gesetzlichen Vorschriften steht. Sie sparen Kosten, Probleme und auch Betriebsausfälle, indem Ihr Unternehmen rasch handlungsfähig ist und auf bewährte Abläufe und Verfahren zurückgreifen kann.

Darüber hinaus hilft ein Notfallplan dabei, Risiken schneller zu erkennen, Schwachstellen frühzeitig zu adressieren und die IT-Sicherheit und Cyber-Resilienz Ihres Unternehmens langfristig zu erhöhen. Als Basis eignet sich die Bedrohungsmodellierung, die das Bedrohungs- und Risikopotenzial eines Unternehmens systematisch analysiert und so eine bessere Abwehr und Reaktion auf potenzielle Gefahren ermöglicht. Wichtiger als die exakte Nachbildung möglicher Angriffsszenarien sind dabei der Erkenntnisgewinn für das Unternehmen und das Aufzeigen von Schwachstellen und Verbesserungspotenzialen.

„Bisher war noch kein Fall mit einem anderen ident“, so Philipp Trummer: „Es zeigen sich zwar Ähnlichkeiten, die eine gewisse Klassifizierung ermöglichen, aber Angriffe sind fast immer eine Aneinanderreihung verschiedener Techniken – so individuell wie die Systemlandschaft der Betroffenen.“ Auch in der Abwehr können Einzelmaßnahmen daher einen wesentlichen Beitrag zur Systemsicherheit leisten.

Referenzmodell für die Erstellung eines Incident Response Prozesses

Als Referenz für die Erstellung eines Incident Response Plans werden häufig die sechs Phasen des SANS Institute Incident Response Framework zitiert. [1] Diese können auch kleinere Unternehmen unterstützen, indem sie eine strukturierte Vorgehensweise bieten.

1. Vorbereitung (Preparation
   Hier geht es um die Auflistung von Maßnahmen zur Reaktion auf potenzielle Sicherheitsvorfälle. Inhalte sind die Entwicklung von Richtlinien, die Schulung des Notfallteams, die Umsetzung von Sicherheitsmaßnahmen und die Erstellung von Notfallplänen.
2. Identifikation (Identification)
   Ziel ist die Erkennung und Identifizierung verdächtiger Aktivitäten. Dazu werden Netzwerkaktivitäten überwacht, Protokolle analysiert, Anomalien erkannt und Sicherheitstools implementiert, um potenzielle Sicherheitsvorfälle zu identifizieren.
3. Eindämmung (Containment)
   Sobald ein Sicherheitsvorfall erkannt wurde, wird in dieser Phase versucht, die Ausbreitung des Vorfalls zu stoppen und weiteren Schaden zu verhindern. Dies kann die Isolierung betroffener Systeme, das Blockieren von Netzwerkverbindungen oder andere Maßnahmen zur Eindämmung des Vorfalls umfassen.
4. Beseitigung (Eradication) – In dieser Phase werden die Ursachen des Sicherheitsvorfalls ermittelt und beseitigt. Ziel ist es, das betroffene System von Malware zu säubern, Schwachstellen zu schließen und sicherzustellen, dass sich der Vorfall nicht wiederholt.
5. Wiederherstellung (Recovery)
   Nachdem der Vorfall eingedämmt und beseitigt wurde, erfolgt die Wiederherstellung des Normalbetriebs. Dies kann die Wiederherstellung von Daten aus Backups, die Aktualisierung von Zugriffsrechten und Passwörtern sowie die Überprüfung der Systemintegrität umfassen.
6. Dokumentation (Lessons Learned)
   In dieser letzten Phase werden alle Aspekte des Sicherheitsvorfalls dokumentiert und analysiert. Es werden Lehren aus dem Vorfall gezogen, um die Incident Response Planung zu verbessern, Schwachstellen zu identifizieren und die Verteidigung gegen zukünftige Vorfälle zu stärken.

Diese sechs Phasen bilden einen zyklischen Prozess, der immer wieder durchlaufen werden muss, um jederzeit schnell auf Sicherheitsvorfälle reagieren und das eigene Unternehmen besser positionieren zu können.

Was muss ein Incident Response Plan beinhalten?

Ein praxistauglicher Incident Response Plan sollte klare Anweisungen enthalten, wie ein Sicherheitsvorfall zu behandeln, zu priorisieren und wann und wohin zu eskalieren ist. Halten Sie die Vorgaben so allgemein wie möglich und decken Sie Ihre größten Risiken sowie denkbare Szenarien wie Ransomware, Insider-Bedrohungen, unbefugte Zugriffe, Verlust von Geräten/Daten oder Phishing-Vorfälle ab. Ein anschließender Testdurchlauf hilft, Lücken in der Planung aufzudecken, Verbesserungspotenziale zu identifizieren und das Wissen zu festigen.

Eine Minimalvariante eines Incident Response Plans für kleinere Unternehmen umfasst die folgenden drei Hauptpunkte:

1. Verantwortlichkeiten: Wer übernimmt welche Aufgaben und hat welche Befugnisse
2. Prioritäten: Welche Maßnahmen sind im Schadensfall und bei den weiteren Schritten relevant?
3. Fokus: Welche Umfänge und Abläufe sind besonders wichtig und schützenswert?

Für die praktische Vorgehensweise bietet die IKARUS Incident Response Checkliste für KMU eine gute Orientierung. Bei Bedarf oder speziellen Teildisziplinen kann es sinnvoll sein, Expertenwissen hinzuzuziehen. „Während der Angreifer nur einen Weg in ein System finden muss, muss der Verteidiger unzählige Angriffsvektoren absichern“, so Philipp Trummer.

Verantwortlichkeiten und Erreichbarkeiten festhalten

Um im Fall eines Incidents keine Zeit zu verlieren, sollte eine aktuelle Kontaktliste aller Mitarbeitenden, Partner, Lieferanten und Dienstleister verfügbar sein – auch offline, falls kein Zugriff auf die IT-Systeme möglich ist. Listen Sie die folgenden Kontakte, angepasst an Ihr Geschäftsumfeld, mit Namen, Telefonnummer, E-Mail-Adresse und Stellvertretung auf, um bei Bedarf schnell in Verbindung treten zu können:

• IT-Sicherheitsverantwortliche
• Geschäftsleitung
• Incident Response-Team (ggf. extern)
• Nationale Meldestelle
• Internet Service Provider
• Cloud-Anbieter
• Software-Anbieter

Klären Sie in Ihrem IR-Plan auch mögliche Eskalationsstufen. Denn Zeit ist der entscheidende Faktor: „Die Chancen, einen Angriff abzuwehren oder Schäden zu verhindern, sinken drastisch, wenn man Bedrohungen nicht ernst nimmt oder versucht, die Dinge erstmal selbst in die Hand zu nehmen“, weiß Philipp Trummer aus zahlreichen Beispielen zu berichten: „Manchmal ist eine Beratung durch Fachexpertinnen und -experten unerlässlich – und auch hier gilt: je früher, desto besser.“

Hilfreiche Links und Dokumente:

Leitfaden zur Bewältigung von IT-Sicherheitsvorfällen

IKARUS Incident Response Checkliste für KMU

IKARUS Notfallplan bei Ransomware

Quellen: