Sergey Nivens - Fotolia

Der richtige Umgang mit Sicherheitsvorfällen ist entscheidend

Es ist meist nur eine Frage der Zeit, bis ein Unternehmen auf einen Sicherheitsvorfall reagieren muss. Ein planvolles Vorgehen ist dann unabdingbar.

Bei Security Incident Response, also der Reaktion auf Sicherheitsvorfälle, wird versucht, eben jene zu erkennen und eine technische Antwort darauf zu liefern, wie die Probleme zu lösen sind. Dieses Management von Sicherheitsvorfällen umfasst allerdings nicht ausschließlich technische Vorgehensweisen, um angemessen auf das Problem zu reagieren. Natürlich betreffen diese Aktivitäten je nach Ausprägung und Vorfall auch die Geschäftsführung, Personalabteilung, Öffentlichkeitsarbeit, Krisen-Management wie auch Rechtsabteilung und gegebenenfalls andere Fachbereiche.

All diese Funktionen und Verantwortlichkeiten zusammengenommen bilden dann ein funktionierendes Security-Incident-Management ab. Die Rollen und Verantwortlichkeiten verteilen sich auf viele Stellen im Unternehmen und müssen dementsprechend in einem Vorfallreaktionsplan (Incident Response Plan) dokumentiert werden. Und das Erstellen eines entsprechenden Planes ist eine der wichtigsten Aufgaben für den Aufbau eines effektiven Incident-Managements.

Ein Grundsatz der IT-Sicherheit lautet, dass man sein Netzwerk nur gegen Anfälligkeiten schützen kann, wenn man um die entsprechenden Schwachstellen weiß. Auf unbekannte Ereignisse sollte möglichst effektiv reagiert werden.

In einem Vorfallreaktionsplan ist dokumentiert, wer, wie, welche Maßnahmen beim Eintreten eines Sicherheitsvorfalls im Unternehmen ergreift. Der Plan definiert zudem, was überhaupt als entsprechender Sicherheitsvorfall eingestuft wird und dokumentiert die dann anzuwendenden Abläufe, Richtlinien, Rollen, Verantwortlichkeiten und nicht zuletzt auch Kommunikations- und Eskalationswege.

In einer von IBM und dem Ponemon Institute veröffentlichten Studie ist ein Incident-Management-Plan der wichtigste Faktor, wenn es darum geht, die Kosten bei einem Vorfall in Sachen Datensicherheit zu reduzieren. Mit einem entsprechenden Plan können Unternehmen angemessen auf derlei Ereignisse reagieren.

Viele Unternehmen benötigen schon aus regulatorischen oder vertraglichen Gründen einen entsprechenden Plan. Und ein entsprechender Vorfallreaktionsplan ist ebenfalls ein gutes Werkzeug, um im Falle eines Falles nachzuweisen, dass man seiner Sorgfaltspflicht in Sachen Compliance nachgekommen ist.

Sofortreaktion: Das Problem stoppen

Wird ein Sicherheitsvorfall als solcher erkannt, gibt der Vorfallreaktionsplan mehrere Schritte vor. Dazu gehört als direkte Maßnahme, dass man dafür sorgt, dass das Problem keinen weiteren Schaden mehr anrichten kann. Dies setzt natürlich voraus, dass zumindest bereits im Groben klar ist, was wirklich passiert oder vorgefallen ist.

In einem Beispiel-Szenario hat sich folgendes ereignet: Eine Monitoring-Lösung erkennt, dass eine große Menge an Daten aus der Kundendatenbank über das Internet-Gateway an eine IP-Adresse außerhalb des Landes übertragen wurde. Als Sofortmaßnahme zur Vermeidung weiteren Schadens und Abfluss von Daten könnte jetzt ein Blockieren der Empfänger-IP-Adresse über die Firewall erfolgen.

Zwischenziel: Das Problem beseitigen

Sobald sichergestellt ist, dass kein weiterer Verlust oder Schaden auftritt, gilt es den Vorfall zu analysieren, um ganz genau zu verstehen, was wirklich vorgefallen ist. Und nachfolgend alle Elemente, die mit dem Vorfall in Verbindung stehen, zu entfernen.

Im bereits erwähnten Beispiel wurde festgestellt, dass die Daten von einem internen Datenbank-Administrator versendet wurden. Wie so häufig in entsprechenden Fällen tat er dies nicht persönlich, sondern hat die Kontrolle über seine Zugangsdaten verloren. Dies, weil er in einer Phishing-Mail auf einen Link geklickt hatte. Die Anmeldeinformationen des Admins aus dem Single-Sign-On-Netzwerk gewähren auch Admin-Zugriff auf die Datenbank. Beim Analysieren der Phishing-Mail stellt sich heraus, dass 1.000 Anwender im Unternehmen diese erhalten haben und 20 Prozent der Empfänger auf den präparierten Link geklickt haben. Auch diese Nutzer haben damit die Kontrolle über ihre Anmeldedaten verloren. Zu diesen Anwendern gehörten unter anderem:

  • 15 Administratoren unterschiedlicher Anwendungen, unter anderem von Datenbanken und Webserver;
  • 25 leitende Angestellte und ihre Teams;
  • Sieben Anwender aus der IT-Abteilung mit Berechtigungen zur Konfiguration von Firewalls, Routern und kritischen Netzwerkeinstellungen, wie DHCP oder dem Domain Name System (DNS).

Anhand des genannten Vorfalls wird deutlich, welche unterschiedlichen Maßnahmen zu ergreifen sind. Zunächst das Ändern der Passwörter aller betroffenen oder auch aller Benutzer. Danach gilt es festzulegen, auf welche Vermögenswerte und Daten mögliche Angreifer aufgrund der jeweiligen Benutzerinformationen möglicherweise Zugriff hatten. Gibt es bereits Hinweise darauf, dass Daten kompromittiert wurden? Hier gilt es alle Anzeichen zu berücksichtigen, also etwa die Informationen von Mitarbeitern als auch im Hinblick auf die verwendete IP-Adresse. Zudem muss überprüft werden, ob Anmeldeinformationen geändert wurden oder neue hinzugefügt.

Sobald vollständig klar ist, was wirklich vorgefallen ist, man den Überblick über den gesamten Vorfall hat und alle kritischen Elemente eliminiert wurden, kann man sich dem nächsten Ziel zuwenden.

Mittelfristiges Ziel: Wiederherstellung

Nun gilt es so schnell wie möglich wieder einen normalen Geschäftsbetrieb zu ermöglichen. Das Beseitigen des Problems sowie die Wiederherstellung sind dabei oft verzahnte Abläufe.

Im vorliegenden Fall ist die Wiederherstellung der Kundendatenbank zur Wiederaufnahme des Geschäftsbetriebs eine der größten Herausforderungen. Hier muss analysiert und sichergestellt werden, dass es keinerlei Anzeichen für eine Kompromittierung oder Manipulation gibt. Die Integrität der Datenbank muss sichergestellt sein, bevor diese wieder in den Produktionsbetrieb aufgenommen wird.

Langfristiges Ziel: Vermeidung derartiger Probleme

Wenn der Geschäftsbetrieb wieder normal läuft, sollte man sicherstellen, dass ein derartiger Vorfall nicht noch einmal auftreten kann. Es muss eine Bewertung und Analyse stattfinden, um die Ursachen für den Sicherheitsvorfall möglichst genau zu klären. Das Problem sollte nicht als gelöst betrachtet werden, bis die Ursachenanalyse abgeschlossen ist. Wenn die Ursachen feststehen, gilt es die Sicherheitsstrategie und die Schutzmaßnahmen entsprechend anzupassen.

Im vorliegenden Fall sollte das Thema Berechtigungen und privilegierte Zugangsrechte strategisch angegangen werden. Ein Nutzer, der sich an das Netzwerk anmeldet, darf nicht sofort Admin-Berechtigungen für eine Datenbank haben. Das Thema Admin-Accounts und deren Sicherheit und Verwaltung spielt da eine große Rolle. Auf Anwendungsebene kann für mehr Sicherheit gesorgt werden, indem technisch festgelegt wird, dass entsprechende Datenbanken nur unter ganz bestimmten Bedingungen nach außerhalb des Unternehmensnetzwerkes übertragen werden können. Beispielsweise, dass dies von zwei Personen entsprechend autorisiert wird. Zudem kann die Verschlüsselung der Daten das Risiko bei einem Datendiebstahl deutlich verringern.

Neben den hier genannten Maßnahmen gehört natürlich eine Reihe weiterer zu einer entsprechenden Reaktion auf Sicherheitsvorfälle. Kommunikation, Benachrichtigung, Informationspflichten und Meldepflichten sind da beispielsweise kritische Themen, die nicht minder wichtig sind als die technischen Aspekte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was macht einen guten Vorfallreaktionsplan aus?

Beim Vorfallreaktionsplan die Cloud-Dienste berücksichtigen

Einen Cybersicherheitsplan für Unternehmen aufstellen

Die Informationspflichten nach EU-DSGVO: Wie man sich vorbereiten muss

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close