IT Sicherheit IT Grundschutz ISO27000 | |||
---|---|---|---|
Wissen | Beispiele | Impulse | Aufgaben |
Ausgangssituation
|
Quelle BSI, 27kCloud GmbH cs |
Vorbeugende Maßnahmen
Alle Veränderungen dokumentieren
|
agieren statt reagieren |
Quelle BSI, 27kCloud GmbH cs |
Klassische Infrastruktur
Breitband LWL
nicht aktuelle:
keine
|
|
Quelle cs@27kcloud.de |
Sicherheitsrichtlinie vom BSI
Informationssicherheitsrichtlinie |
Toolkit der 27kcloud GmbH |
ISMS as a Service als Instanz |
ITIL Übersicht |
Unserer Consulter agieren mit einen ganzheitlichen Ansatz |
Quelle BSI, 27kCloud GmbH cs |
Richtiges Verhalten bei einem IT-Sicherheitsvorfall
Ein IT-Notfall kann immer geschehen. Wichtig ist nur, dass Unternehmen darauf richtig vorbereitet sind.
Dass die Zahl der Sicherheitsvorfälle steigt, bestätigt auch das BSI in seinen Lageberichten. Das ist umso bedenklicher, wenn man betrachtet, wie viel Zeit und Aufwand mit der Abwehr beziehungsweise der Prävention als Maßnahmen zum Schutz vor Sicherheitsvorfällen betrieben wird. Jedes Unternehmen sollte einen Notfallplan bereithalten. Doch im Folgenden geht es vielmehr um empfohlene Best Practices: was zu tun ist, wenn etwas geschehen ist oder gerade geschieht. Mit dem Ziel, Auswirkungen zu vermeiden, die durch die Beeinträchtigung von Geschäftsfunktionen einen großen Schaden anrichten und die Informationssicherheit erheblich verschlechtern können. Glücklicherweise gibt es Frameworks, die sich mit diesen Themen befassen – allen voran bei uns in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI), aber auch das National Institute of Standards and Technology (NIST) sowie das SANS Institute haben dazu einiges verfasst. Bei SANS sind im „Incident Handler’s Handbook“ die Abschnitte Identification, Containment, Eradication und Recovery interessant, die entsprechenden Funktionen bei NIST sind Detect, Respond, Recover.
|
Quelle BSI, 27kCloud GmbH cs |
Sofortmaßnahmen
Sobald ein Vorfall bemerkt wird, müssen, im Idealfall durch ein geeignetes Werkzeug wie ein SIEM, Maßnahmen ergriffen werden. Tatsächlich kommt es hier nicht auf Details an, sondern auf Geschwindigkeit. In der IT kennt man generell MTTR („Mean Time to Resolve“), in der Security kommt MTTD noch davor: die „Mean Time to Detect“. Die Sofortmaßnahmen sitzen dazwischen und sind, je nach Situation, dem Notausschalter an einer Industriemaschine gleichzusetzen. Was immer gerade passiert, muss gestoppt werden, und im schlimmsten Fall heißt das „lock-down“: eine komplette Plattform herunterfahren, zumindest jedoch die Kommunikation mit dem Angreifer unterbrechen. Im Gefahrenfall herrscht oft Unsicherheit, jedoch ermöglicht eine verzögerte Reaktion häufig einen ungewollten Datenabfluss. Schnelles Handeln ist deshalb unerlässlich. Im Anschluss müssen die notwendigen Personen wie der IT-Sicherheitsbeauftragte oder die Geschäftsführung benachrichtigt werden. Eine schnelle Reaktion kann mit Glück sogar bei der Behandlung helfen, bevor tatsächlicher Schaden entstanden ist. Manche Organisationen verfügen über ausreichend Kompetenz und geeignete Werkzeuge wie Echtzeitforensik und Automatismen, bei denen die Sofortmaßnahmen von Software gesteuert sind.
|
Quelle BSI, 27kCloud GmbH cs |
Ursachen finden und Nachforschung betreiben
Nachdem die akute Situation beseitigt und unberechtigter Zugriff unterbunden wurde, steht die Suche nach den Ursachen sowie das Ermessen des entstandenen Schadens an. Die jeweiligen Ergebnisse entscheiden über weitere Schritte. Einige Fragen, die jetzt helfen, sind:
Ich schlage noch eine weitere, brisante Frage vor:
Nachdem die Ursachen identifiziert worden sind, kann der Schaden ermittelt werden. Auf welche Ressourcen wurde zugegriffen? Welche Daten sind nach außen gelangt? Wurden Daten gelöscht? Schwieriger festzustellen, ist, auf welche Daten generell zugegriffen worden ist, und darüber hinaus, ob sie verändert wurden. Wenn nicht vorab ein Werkzeug mit File Integrity Monitoring eingesetzt worden ist, kann man den tatsächlichen Zugriff nicht einwandfrei identifizieren. In Pressemitteilungen liest man dann von „potenziellem Zugriff (auf Millionen von Kundendaten)“. Im Zweifelsfall ist der Schaden vermutlich größer, als zuerst angenommen. Jeder, der sich mit Security beschäftigt, kennt das Konzept des „honey pots“ zur Entlarvung krimineller Cyber-Aktivitäten, aber auch Angreifer nutzen ähnliche Ideen, um Spuren zu verwischen. Hierbei ist es wichtig zu erwähnen, dass das Nachforschen passiv zu erfolgen hat. Es dürfen zum jetzigen Zeitpunkt keine Veränderungen am Istzustand durchgeführt werden. Mit traditionellen Konzepten 2020 auf der sicheren Seite?
|
Quelle BSI, 27kCloud GmbH cs |