Incident Response – Erste Hilfe bei Security-Notfällen

Jan 12, 2022 | Services

Es ist keine Panikmache, sondern die knallharte Realität. Ausnahmslos jede Schweizer Unternehmung und Organisation ist ein potenzielles Opfer für Cyberkriminelle. Mittels Social Engineering oder Phishing-Attacken kompromittieren die Angreifer IT-Systeme und installieren Malware, verschlüsseln sensible Daten oder drohen mit der Veröffentlichung von vertraulichen Dokumenten. Bei einem solchen Security-Notfall ist es wichtig, vorbereitet zu sein und über eine eingespielte und krisenerprobte Notfallorganisation zu verfügen. Der Incident Response Service von Netcloud ist genau dafür geschaffen.

Vorbereitung mit Incident Response

Damit im Notfall jeder Handgriff sitzt, benötigt es präzise Vorbereitungsmassnahmen. Dies umfasst im ersten Schritt die Datenerhebung: Dokumentationen, Kontaktlisten, Prozesse, Kommunikationspläne und Checklisten schaffen die Grundlage für den Fall, dass ein Security-Notfall eintritt. Diese Informationen werden in einem Incident-Response-Handbuch zusammengefasst, das bei Notfällen zum Zuge kommt. Auch muss das Netcloud Cyber Defence Center (CDC) vorbereitet sein. Dafür füllt der Kunde einen Fragebogen aus, der Auskunft über die Kunden-Infrastruktur gibt. Diese Informationen werden mit den bereits erhobenen Kundendaten zentral abgelegt. Ferner ist es wichtig, die Notfallorganisation zu testen, damit bei einem Incident alle Abläufe reibungslos funktionieren.

Wenn der Ernstfall eintritt

Für die Bewältigung eines Security-Notfalles sind die ersten Erkenntnisse entscheidend, um das weitere Vorgehen zu definieren und eine Wiederinfektion zu verhindern.

  • Wann hat der Notfall angefangen?
  • Wie ist der Notfall festgestellt worden (User, Monitoring, etc.)?
  • Wie schlimm ist das Ausmass? Was ist kompromittiert? (Files, Clients, Server)
  • Wie hat sich die Malware verbreitet (Script, Active Directory, Client, etc.)?
  • Was ist der Backup-Zustand? Wurde die Schadsoftware mitgesichert?
  • Was wurde bereits unternommen?

Bei der Lagebeurteilung hilft der Tagesverantwortliche des Cyber Defence Centers. Verifiziert das CDC den Security-Notfall, wird die vorweg definierte Notfallorganisation aufgeboten. Diese besteht seitens Netcloud aus dem Krisenmanager sowie einem Cyber-Defence-Spezialisten und kundenseitig aus einem Management-Vertreter, einem System Engineer und dem Kommunikationsverantwortlichen. Bei Bedarf werden weitere System Engineers, z.B. Forensiker oder Fachleute des jeweiligen Bereiches (ERP, Produktion, Logistik) hinzugezogen. In den ersten Schritten eines Notfallorganisationsaufrufs organisiert der Krisenmanager ein Kick-Off, um erste Erkenntnisse zu teilen und die weiteren Schritte zu definieren. Dies sind üblicherweise die Eindämmung der Malware durch sofortige Isolation, die Analyse der Schwachstelle(n), die Trennung des Backup Storages vom Netz und die Desaster Recovery.

Und wer sollte was wissen?

Nebst den technischen Sofortmassnahmen gehört eine rechtzeitige, verständliche und wahrheitsgemässe Kommunikation dazu. Interne (Mitarbeiter, Geschäftsführung, Verwaltungsrat) als auch externe Stakeholder (Kunden, Partner, Lieferanten, Behörden) müssen sachlich über den Vorfall informiert werden. Entsprechende Templates sollten vorbereitet sein. Auch können aufgrund des Notfalls die üblichen Kommunikationskanäle wie E-Mail oder Telefon ausfallen, weshalb Alternativen überlegt werden müssen.

Eine grundsolide Vorbereitung ist also die halbe Miete, um bei einem Security-Notfall adäquat zu reagieren. Gerne helfen wir Ihnen bei der Erarbeitung Ihres Incident-Response-Planes >