- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Fünf Schritte bei der Reaktion auf Incidents


Ein etabliertes Incident-Response-Verfahren ist angesichts der aktuellen Sicherheitsbedrohungen für ein Unternehmen heute unerlässlich
Notfallpläne müssen regelmäßig überprüft und getestet werden

- Anzeigen -





Dass Unternehmen gänzlich vor Sicherheitsvorfällen gefeit sind, ist ein Trugschluss: eine 100-prozentige Absicherung kann es nicht geben. Jedes Unternehmen sollte sich dieser Tatsache stellen und auf Störungen vorbereitet sein. Welche Handlungsschritte sich dann im Fall der Fälle empfehlen, zeigt NTT Com Security auf. Klar ist, dass die Abwehr eines Angriffs nicht erst beim Sicherheitsvorfall selbst beginnen sollte. Im Vorfeld sollte eine Abwehrstrategie etabliert sein. Eine solche Incident-Response-Strategie muss detaillierte Vorgehensweisen und Maßnahmen bei der Behandlung von Sicherheitsvorfällen beinhalten.

Konkret sollten hier beispielsweise Verantwortlichkeiten festgelegt, Aufgaben definiert, Schadensfälle klassifiziert oder Kommunikationsmaßnahmen – auch im Hinblick auf die zentralen Ansprechstellen Cybercrime der Bundesländer oder Strafverfolgungsbehörden – geregelt werden. Doch welche Maßnahmen muss ein Unternehmen im Ernstfall, sprich beim Incident, konkret ergreifen? Sicherheitsexperte NTT Com Security empfiehlt die Einhaltung von folgenden fünf Handlungsschritten:

1. Identifizierung
Zunächst müssen Verantwortliche feststellen, um welchen Vorfall es sich handelt. Zur Analyse können zum Beispiel Log-Files – auch aus SIEM (Security Information and Event Management)-Systemen – herangezogen werden. Zudem müssen sie ermitteln, welche Zielsysteme betroffen sind, welchen aktuellen Status der Angriff hat und inwieweit bereits das gesamte Unternehmensnetzwerk kompromittiert ist. Neben der Erkennung und Erfassung von Sicherheitsvorfällen beinhaltet dieser Schritt auch die Bewertung der Attacke und ihrer Relevanz für unternehmenskritische Systeme und Daten. Nur auf Basis einer solchen detaillierten Analyse kann ein Unternehmen zielgerichtete Abwehrmaßnahmen ergreifen.

2. Stoppen des Angriffs
Der zweite Schritt umfasst das Stoppen beziehungsweise Eindämmen der Attacke. Abhängig vom Angriffsszenario sind hier unterschiedliche Maßnahmen denkbar, vom Abschalten einzelner Systeme über das Abtrennen bestimmter Netzwerkbereiche bis hin zu einem vollständigen Kappen aller Internetverbindungen. Um weitere Angriffe abzuwehren, ist zudem oft ein sofortiges Patchen der Systeme angezeigt. Natürlich muss die IT bei der Eindämmung der Auswirkungen von Sicherheitsvorfällen auch immer die Business Continuity berücksichtigen – gemäß dem Motto "soviel abschalten wie möglich."

3. Wiederherstellung
Der dritte Schritt sieht die Beseitigung aller Schäden vor. Dabei muss die IT alle Systeme, die potenziell betroffen sind, detailliert untersuchen. Das betrifft Betriebssysteme, Applikationen und Konfigurationsdateien ebenso wie alle Anwenderdateien. Zur Überprüfung eignen sich nur Sicherheitstools, die auf neuestem Stand sind wie aktuelle Antivirenlösungen. Bei Datenverlust muss die IT entsprechende Recovery-Maßnahmen ergreifen.

4. Aufnahme des Normalbetriebs
Der nächste Schritt umfasst die Wiederaufnahme des Normalbetriebs, beispielsweise mit der sukzessiven Zuschaltung aller abgeschalteten Subsysteme. Vor der Wiederinbetriebnahme müssen dann auf jeden Fall umfassende Testläufe erfolgen, in denen der reibungslose Systembetrieb überprüft wird – zum Beispiel mittels Anwendungsfunktionstests.

5. Dokumentation und Maßnahmeneinleitung
Der letzte Schritt, den nach Erfahrungswerten von NTT Com Security die meisten Unternehmen vernachlässigen, betrifft die Aspekte Dokumentation beziehungsweise Reporting und Maßnahmeneinleitung. Ein Report muss eine klare Bestandsaufnahme des vergangenen Incidents enthalten sowie eine detaillierte Bewertung der ergriffenen Aktivitäten. So sollte zum Beispiel konkret spezifiziert werden, was gut und was weniger gut gelaufen ist, welche Kosten entstanden sind und in welchen Bereichen sich ein deutlicher Handlungsbedarf herauskristallisiert hat. Auf dieser Basis kann ein Unternehmen dann entsprechende Veränderungen initiieren und Maßnahmen einleiten, um einen gleichartig gelagerten Sicherheitsvorfall künftig zuverlässig auszuschließen.
(NTT Com Security: ra)

eingetragen: 08.04.16
Home & Newsletterlauf: 28.04.16


NTT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorsicht vor Schwachstellen in Apps

    F5 Networks ruft Unternehmen auf, sich intensiver mit der Sicherheit ihrer Web Apps zu befassen. Während sie sich hauptsächlich um die Geschwindigkeit der Entwicklung, Performance und Nutzungsraten kümmern, vergessen sie oft die Absicherung ihrer Anwendungen. "Die gleichen Apps, von denen die Geschäftstätigkeiten abhängen, enthalten häufig auch Schwachstellen, die das Business gefährden", sagt Ralf Sydekum, Technical Manager DACH bei F5 Networks. "Wir sprechen dabei nicht über kleine Fehler, die ausgeklügelte cyberkriminelle Techniken erfordern, sondern über alltägliche Lücken, die Hacker quasi automatisch ausnutzen können. Dieses Szenario ist viel häufiger als die schlagzeilenträchtigen, spektakulären Angriffe." Hacker untersuchen Webseiten in der Regel über automatische Tools auf mögliche Fehler. Die zehn häufigsten bekannten Schwachstellen sind dabei für 85 Prozent der erfolgreichen Angriffe verantwortlich. Daher kann jedes Unternehmen schnell zum Opfer werden. Letztlich gibt es drei mögliche Angriffswege.

  • Typische Stolpersteine in ISMS-Projekten

    In immer mehr Unternehmen steht der Aufbau eines Informationssicherheits-Managementsystems nach der internationalen Norm ISO 27001 ganz vorne auf der strategischen Agenda. Das IT-Sicherheitsgesetz und neue regulative Anforderungen in verschiedenen Branchen unterstützen diese Entwicklung zusätzlich. Allerdings gestalten sich viele ISMS-Projekte schwieriger als erwartet, was nach den Erkenntnissen der TÜV Trust IT häufig ähnliche Ursachen hat. Deshalb hat die TÜV Trust IT typische Stolpersteine zusammengestellt. Nur wenn sich das Top-Management als Befürworter eines ISMS bekennt, kann ein ISMS intern die notwendige und nachhaltige Bedeutung erlangen. Deshalb muss die Geschäftsleitung nicht nur von Beginn an in die Planung einbezogen werden, sondern das Projekt in seinen verschiedenen Etappen auch aktiv begleiten.

  • MongoDB-Ransomware wirkungsvoll abwehren

    In den letzten Jahren hat die Zahl der Ransomware-Angriffe stetig zugenommen. Während zunächst eher private Anwender im Fokus standen, konzentrieren sich Cyberkriminelle bei Ransomware-Angriffen zunehmend auf Unternehmensnetzwerke. Besonders auf MongoDB NoSQL-Datenbanken haben es Hacker in den letzten Monaten abgesehen. Das Sicherheitsunternehmen Trustwave verrät, mit welchen einfachen Handgriffen Unternehmen ihre MongoDB-Datenbanken vor Angriffen schützen können. Je einfacher ein Unternehmensnetzwerk oder eine Netzwerkanwendung zu hacken ist, desto leichter gerät es auch ins Visier von Cyberkriminellen. Und so wurde in den letzten Monaten immer wieder falsch konfigurierte oder unzureichend gesicherte MongoDB NoSQL-Datenbankinstallationen das Ziel von Hackerangriffen.

  • Microsoft-Support für Windows Vista endete

    Am 11. April 2017 endete der Support von Microsoft für das Betriebssystem Windows Vista. Anschließend werden für Windows Vista keine weiteren Updates mehr veröffentlicht, auch wenn noch Fehler oder Sicherheitslücken entdeckt werden sollten. Da öffentlich bekannte Schwachstellen somit nicht mehr geschlossen werden, birgt die weitere Nutzung von Vista hohe Risiken für die IT-Sicherheit, vor allem wenn das betroffene Gerät mit dem Internet verbunden ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Anwendern von Windows Vista, das Betriebssystem nach dem 11. April nicht mehr zu verwenden und möglichst schnell auf ein anderes aktuelles Betriebssystem umzusteigen.

  • Datenverarbeitung auf dem Prüfstand

    Die EU-Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, wird weit reichende Auswirkungen auf Unternehmen und Bürger in Europa und weltweit haben. Doch noch immer sind viele Unternehmen nicht ausreichend auf die neuen Richtlinien vorbereitet. Eset hat einige Tipps zusammengestellt, mit denen IT-Verantwortliche ihr Unternehmen fit für die neuen Vorgaben machen können: Alle wichtigen Entscheidungsträger im Unternehmen sollten sich der Auswirkungen der DSGVO bewusst sein und wissen, was sie für den alltäglichen Betrieb bedeutet. Informieren Sie deshalb auch die Geschäftsführung über die Bedeutung des Themas.