Die Reaktion auf Sicherheitsereignisse (Security Incident Response, SIR) ist ein strategischer Ansatz, um Cyberangriffe zu erkennen, zu kategorisieren und abzuwehren sowie die Wiederherstellung nach einer solchen Attacke zu managen.
Cyberangriffe sind wie Schnellbälle, die einen Hügel hinabrollen: Sie fangen in der Regel klein an. Doch leider fehlt es vielen Unternehmen an den nötigen Ressourcen oder Prozessen, um diese Bedrohungen abzuwehren, bevor sie sich ausbreiten können. Und wenn sich Cyberangriffe ungehindert von kleinen Incidents zu schwerwiegenden Geschäftsrisiken entwickeln dürfen, haben sie am Ende verheerende Folgen. Studien zeigen, dass es Unternehmen durchschnittlich 128 Tage kostet, einen Angriff zu erkennen. Das sind vier Monate – vier Monate, in denen Angreifer Daten stehlen, Ihre Systeme schädigen und Ihre Geschäftsfähigkeit stören können.
Security Incident Response (SIR), also die Reaktion auf Sicherheitsvorfälle, soll Unternehmen dabei unterstützen, auf diese Art von Netzwerkangriffen zu reagieren, bevor sie das Geschäft beeinträchtigen. SIR ist darauf ausgelegt, viele verschiedene Arten von Cyberangriffen und Security Incidents zu erkennen. Hierzu kommen bewährte, skalierbare Workflows und Verfahren zum Einsatz, mit denen Security Operations Center (SOCs) und Incident-Reaktionsteams geschäftliche Auswirkungen minimieren und die Wiederherstellung beschleunigen können.
Security Incident Response ist eine Unterkategorie der allgemeineren Reaktion auf Incidents, die auch Probleme abdeckt, die nichts mit dem Thema Sicherheit zu tun haben. SIR ist speziell darauf ausgelegt, Angriffe auf die digitalen Systeme eines Unternehmens abzuwehren. Das umfasst unter anderem die folgenden Kategorien von Security Incidents:
Ein Angriff auf ein Computersystem – auch als Datenschutzverletzung oder IT‑Sicherheitsverletzung bezeichnet – tritt auf, wenn Cyberkrimineller nicht autorisierten Zugriff auf die Computerdaten, Softwareanwendungen, Netzwerke und Geräte eines Unternehmens erlangen.
Cyberkriminelle, egal ob intern oder extern, die Zugang zu den Netzwerken eines Unternehmens erhalten, können versuchen, Änderungen an verschiedenen Tools, Anwendungen, Daten oder sensiblen Systemen vorzunehmen.
Wenn unverschlüsselte Hardware in die falschen Hände gerät, birgt das große Gefahren. Deshalb brauchen Unternehmen Pläne für den Fall, dass Geräte verloren gehen oder gestohlen werden, um das Sicherheitsrisiko zu reduzieren.
In einigen Fällen dienen Cyberangriffe nicht dazu, Daten zu stehlen, sondern sollen einfach nur Unterbrechungen verursachen. DoS‑Attacken überfluten das angegriffene Netzwerk mit Datenverkehr, um seine Kapazität zu überlasten und einen Ausfall herbeizuführen.
Cyberkriminelle, die Zugang zu den Systemen eines Unternehmens erlangen, können die Kontrolle über IT‑Ressourcen oder -Tools übernehmen, oftmals als Grundlage für einen Ransomware-Angriff.
Für Angreifer besteht die einfachste Methode, sich Zugriff zu verschaffen, oftmals darin, ein autorisiertes Benutzerkonto zu übernehmen. Diese gehackten Konten sind besonders schwer aufzuspüren.
Ebenso wie der Schnellball, der auf dem Weg den Hügel hinab immer größer wird, eskalieren Security Incidents fast immer, wenn sie nicht behandelt werden. Die Folgen, die dann entstehen, sind vielfältig: von gestohlenen Anmeldeinformationen und gehackten Unternehmens- oder Kundendaten über teure und rufschädigende Ausfälle bis hin zum Zusammenbruch ganzer Systeme. Eine geeignete Reaktion auf Security Incidents besteht darin, dass die SOC‑Teams die Incidents mithilfe der richtigen Ressourcen, Tools und Prozesse aufspüren und priorisieren, bevor sie richtig ins Rollen kommen können.
Bei der Reaktion auf Security Incidents (Security Incident Response, SIR) kommen Best Practices, automatisierte Workflows mit einem Fokus auf Zusammenarbeit sowie Schritt-für-Schritt-Reaktionspläne zum Einsatz, die jede Phase der Bedrohungsabwehr abdecken. So werden Eindringungsversuche schnellstmöglich aufgehalten, und Unternehmen können bewährte und skalierbare Reaktionsstrategien nutzen, um den normalen Betrieb nach der Erkennung und Abwehr eines Angriffs schnell wiederherzustellen.
Zusätzlich zur schnellen Wiederherstellung nach potenziellen Datenschutzverletzungen unterstützt Security Incident Response auch die Einhaltung regulatorischer Compliance-Standards, wie sie beispielsweise in Sektoren wie Gesundheitswesen und Finanzdienstleistungen gesetzlich vorgeschrieben sind. Und zu guter Letzt schützt SIR auch die Markenreputation, die bei erfolgreichen Angriffen bleibende Schäden davontragen kann.
Zwar kann das SIR‑Team Aufgaben für jede Ebene Ihres Unternehmens beinhalten, darunter IT, Risikomanagement, HR und Rechtsabteilung, doch der Großteil der Verantwortung liegt bei Ihrem Incident-Reaktionsteam. Diese Teams umfassen in der Regel folgende Rollen:
Incident Response Manager übernehmen die Leitung der Reaktion auf Security Incidents. Sie überwachen Aktionen, priorisieren Bedrohungen und fungieren als Bindeglied zwischen Reaktionsteam und dem Rest des Unternehmens. Die Unterstützung der Führungsebene ist essenziell für effektive SIR‑Pläne, weshalb Incident Response Manager erst die Chefetage an Bord holen müssen, bevor ein Reaktionsplan umgesetzt werden kann.
Sicherheitsanalysten sind das Einsatzteam während eines Incidents. Diese Analysten sollten darin geschult sein, tatsächliche Incidents von potenziellen Fehlalarmen zu unterscheiden, Zeit, Ort und Details des Incidents zu bestimmen und sämtliche Spuren zu finden und zu sichern, die Angreifer möglicherweise hinterlassen haben.
Zu guter Letzt versuchen Threat Researcher, den Schweregrad und Umfang des Angriffs zu definieren. Sie durchsuchen das Internet nach vertraulichen Informationen, die möglicherweise aus Unternehmenssystemen gestohlen wurden. Darüber hinaus unterstützen sie den Aufbau einer Datenbank mit bisherigen Incidents, um die Threat Intelligence, also die Bedrohungsinformationen des Unternehmens, zu verbessern.
Jede dieser Positionen spielt eine wichtige Rolle bei der Reaktion auf Security Incidents und die anschließende Wiederherstellung. Einige Unternehmen lagern einen Teil dieser Aufgaben an externe Anbieter aus. Doch ganz gleich, ob Sie ein rein internes Team einsetzen oder sich für Outsourcing entscheiden – Ihr Incident-Reaktionsteam ist entscheidend, um zu gewährleisten, dass das Unternehmen den SIR‑Plan ordnungsgemäß befolgt.
Damit die Reaktion auf Security Incidents effektiv funktioniert, muss sie schon lange, bevor ein Security Incident auftritt, vollständig vorbereitet sein. Ein Security Incident Response Plan (SIRP) ist eine formelles offizielles Dokument, das klar darlegt, welche Maßnahmen das Unternehmen in jeder einzelnen Phase der Reaktion auf einen Security Incident ergreifen muss. Gleichzeitig sollte der SIRP die Rollen und Verantwortungsbereiche der Reaktion im gesamten Unternehmen festlegen und angeben, wie diese Rollen im Rahmen der definierten Reaktionsprotokolle kommunizieren und interagieren sollten.
Der SIRP muss sich in den kritischen ersten Stunden eines Angriffs schnell umsetzen lassen. Deshalb muss er klar formuliert sein, unmissverständliche Terminologie enthalten und sich einfach befolgen lassen. SIRPs enthalten oftmals eine Sammlung von Playbooks zur Reaktion auf Incidents.
Im Kern ist ein SIRP eine Sammlung von Anleitungen für Reaktionsteams, mit der sie Bedrohungen erkennen, effektiv reagieren und die Folgen eines Security Incidents reduzieren können – flächendeckend und mit der nötigen Geschwindigkeit und Genauigkeit.
Da unheimlich viel davon abhängt, wie schnell ein Unternehmen seine Reaktionsstrategie umsetzen kann, folgen die meisten SIRPs einem bewährten Format, das sechs Phasen umfasst:
Die erste Phase der Reaktion auf einen Security Incident befasst sich damit, IT, SOC und andere Mitglieder der Reaktionsteams auf die Reaktion vorzubereiten. Dies ist wahrscheinlich die wichtigste Phase Ihres SIRP – sie umfasst Reaktionsschulungen für Mitarbeiter, die Sicherung der richtigen Ressourcen, Einholung Genehmigungen und die Vereinbarung von Dokumentationsstandards. Viele Unternehmen führen Übungen durch, um alle Beteiligten mit ihren Aufgaben vertraut zu machen.
Angriffe können ihren Ursprung in den verschiedensten Bereichen finden. Deshalb ist es wichtig, dass den Reaktionsteams Verfahren zur Verfügung stehen, mit denen sie potenzielle Bedrohungen erkennen und bestätigen können, bevor sie ihnen den Status eines verifizierten Security Incidents zuweisen. Während der Erkennungsphase muss bestimmt werden, wann ein Ereignis aufgetreten ist, wie es bemerkt wurde, welche Bereiche es betreffen könnte, welche Folgen es auf den aktuellen Betrieb hat und ob der Einstiegspunkt bekannt ist.
Wenn die Bedrohung verifiziert wurde, muss in der nächsten Phase verhindert werden, dass sie sich im System ausbreitet. Eindämmung ist ein wichtiger Schritt und sollte niemals übersprungen werden, um direkt zur Beseitigung überzugehen. Denn wenn Sie Malware einfach nur löschen, können Sie keine Beweise mehr sammeln. Doch die brauchen Sie, um Ihr Netzwerk künftig besser vor ähnlichen Angriffen zu schützen. Trennen Sie die Verbindung angegriffener Systeme, isolieren Sie sie und setzen Sie wenn möglich Backupsysteme ein, um den Geschäftsbetrieb aufrechtzuerhalten. Patchen Sie sämtliche Systeme, überprüfen Sie Remote-Zugriffsprotokolle und sorgen Sie dafür, dass alle Administratorkonten ihre Anmeldeinformationen ändern.
Nachdem die Bedrohung eingedämmt wurde und alle relevanten Daten gesammelt wurden, können Sie damit beginnen, die Malware sicher vom System zu entfernen. Hierbei ist es entscheidend, dass sämtliche Malware beseitigt wird. Sind Sie nicht gründlich genug, können Spuren zurückbleiben, die weiterhin nicht autorisierten Zugriff auf Ihre Daten ermöglichen und die Malware später erneut aktivieren können.
Eine Bedrohung abzuwehren, ist gut. Doch Ihre Systeme zu verbessern, damit Security Incidents Ihr Unternehmen gar nicht erst beeinträchtigen können, ist noch besser. Nachdem der Incident ordnungsgemäß gehandhabt wurde, sollten Sie mit Mitgliedern des Reaktionsteams und anderen Stakeholdern sprechen, um herauszufinden und zu dokumentieren, was Sie aus dem Ereignis gelernt haben. Mit diesem Wissen können Sie Ihre Systeme besser auf künftige Incidents vorbereiten und sowohl Priorisierung als auch Reaktion optimieren.
Die Häufigkeit, Komplexität und Raffinesse von Sicherheitsbedrohungen nimmt ständig zu. Deshalb ist die Reaktion auf Security Incidents heute nicht mehr nur ein Wettbewerbsvorteil, sondern ein wichtiger Sicherheitsstandard. Doch wenn jede Sekunde zählt, stellen viele Sicherheitsteams fest, dass ihnen einfach die nötigen Ressourcen fehlen, um jeden möglichen Security Incident eingehend zu untersuchen, zu verifizieren und darauf zu reagieren. ServiceNow bietet hierfür die Lösung.
ServiceNow Security Incident Response transformiert den Standardansatz der IT-Sicherheit der Untersuchung, Reaktion und Wiederherstellung durch erweiterte Automatisierungsfunktionen und die Zentralisierung der Daten des Sicherheitsbetriebs, Einblicken und Berichten auf einer einzigen Plattform. Unterstützen und skalieren Sie Reaktionsteams mit automatisierter Priorisierung, Selektierung, Datenanalyse und anderen wichtigen Aufgaben. Gehen Sie dann noch einen Schritt weiter mit Echtzeit-Einblicken, detaillierten Playbooks und vollständiger Transparenz in der Netzwerksicherheit.
Erfahren Sie, wie ServiceNow Ihren Ansatz für die Reaktion auf Security Incidents optimieren kann und halten Sie Cyberangriffe auf, bevor Ihr Unternehmen darunter leidet.