Das Ziel der Vorfallreaktion besteht darin, Angriffe schnell zu identifizieren, Auswirkungen zu minimieren, Schäden einzudämmen, Ursachen zu beseitigen und so das Risiko künftiger Vorfälle zu reduzieren.

Definition der Vorfallreaktion

Fast jedes Unternehmen verfügt in gewisser Weise über einen Prozess für die Vorfallreaktion. Unternehmen, die einen formelleren Prozess einführen möchten, müssen sich jedoch folgende Fragen stellen:

1. Welche Schritte sind notwendig, damit die an der Vorfallreaktion beteiligten Personen tätig werden?
2. Wie umfassend und spezifisch sollte Ihr Reaktionsplan sein?
3. Haben Sie ausreichend (und die richtigen) Mitarbeiter, um angemessen zu reagieren?
4. Was sind Ihre akzeptablen SLAs für die Vorfallreaktion und die Rückkehr zum Normalbetrieb?

Höchstwahrscheinlich fallen die Antworten auf diese Fragen nicht optimal aus, da die meisten Unternehmen in einem oder mehreren Bereichen hinter den Erwartungen zurückbleiben, wie eine Studie des Ponemon Institute zeigt:

77 % der Unternehmen haben keinen formellen, konsistent angewendeten Plan.

57 % berichten von längeren Reaktionszeiten.

77 % haben Schwierigkeiten damit, Sicherheitspersonal zu finden und zu binden.*

Im Schnitt dauert es 214 Tage, bis bösartige oder kriminelle Angriffe identifiziert werden; Eindämmung und Wiederherstellung nehmen 77 Tage in Anspruch. Zweifelsohne ist ein besseres Management für die Vorfallreaktion erforderlich, um Unternehmen vollständig vor der schnell zunehmenden Anzahl von Bedrohungen zu schützen, denen sie täglich ausgesetzt sind.

* IBM-Studie: „Responding to Cybersecurity Incidents Still a Major Challenge for Businesses“

A: Das richtige Team – Für eine möglichst effektive Vorfallreaktion empfehlen Branchenexperten, die folgenden Rollen in Ihr Team zu integrieren, unabhängig von der Größe Ihre Unternehmens. Selbstverständlich übernimmt das technische Team die Führung, jedoch gibt es auch andere Funktionsbereiche in Ihrem Unternehmen, die miteinbezogen werden sollten, insbesondere bei einem schweren Angriff. Sobald Sie die Personen für diese Rollen identifiziert haben, müssen Sie sie über ihre Verantwortung im Fall eines schwerwiegenden, großflächigen Angriffs mit weitreichenden Folgen informieren: Vorfallreaktion, Sicherheitsanalyse, IT, Bedrohungsforschung, Rechts- und Personalwesen, Unternehmenskommunikation, Risikomanagement, Führungsebene und externe Sicherheitsforensik.

B: Der richtige Plan – Ein umfassender Plan für die Vorfallreaktion umfasst mindestens die folgenden Taktiken und Prozesse:

• Vorbereiten des Teams auf sämtliche Arten von Bedrohungen
• Erkennen und Identifizieren von Art und Schweregrad eines Vorfalls
• Eindämmen und Begrenzen von Schäden
• Bestimmen von Auswirkungen und damit verbundenen Risiken
• Untersuchen und Beseitigen von Ursachen
• Abschwächen und Abwehren von Angriffen
• Analysieren und Anpassen von Plänen nach Angriffen, um zukünftige Angriffe zu vermeiden

Kommunikation ist während eines Angriffs unerlässlich. Stellen Sie daher als Teil Ihres Reaktionsplans sicher, dass die Kommunikation reibungslos verläuft.

C: Die richtigen Tools – Angesichts der zunehmenden Anzahl unbekannter Angriffe kann Ihr Unternehmen mit den richtigen Tools viel Zeit und Geld sparen und außerdem sowohl Kunden schützen als auch Markentreue sicherstellen.

Informationen sind ein wesentlicher Bestandteil aller Pläne für die Vorfallreaktion. Aus diesem Grund stellt eine cloudbasierte Lösung für Endpunktsicherheit in der Regel die umfassendsten Tools bereit, um Angriffe schnellstmöglich zu entschärfen. Dazu gehört auch der Zugriff auf wichtige Daten:

• Durch die Erfassung ungefilterter Daten gewinnen Teams Erkenntnisse zum Endpunktverhalten, nicht nur zu bereits identifizierten Angriffsmustern und Verhaltensweisen. Das ist ausschlaggebend, um eine Angriffsuntersuchung von Tagen auf Minuten zu beschleunigen, insbesondere vor dem Hintergrund zunehmender unbekannter Angriffsmethoden.
• Datenanalysen bieten Einblick in sämtliche Endpunktaktivitäten, egal ob aktuell oder historisch. Die richtigen Daten geben Aufschluss darüber, wo Angriffe begonnen und welchen Verlauf sie genommen haben. Dadurch können sie schneller abgewehrt werden.
• Mithilfe von externer Threat Intelligence ermitteln Sie schnell Bedrohungen, die Ihnen bislang unbekannt waren und von anderen Unternehmen identifiziert wurden. Zur Erinnerung: Wenn Sie wissen, mit was Sie es zu tun haben, können Sie schneller reagieren.
• „Live Response“-Funktionen unterstützen Sie dabei, Remote-Endpunkte zu korrigieren und unnötiges Re-Imaging zu vermeiden.

Studie: „The Third Annual Study on the Cyber Resilient Organisation“

Fast jede Untersuchung zu den Sicherheitsherausforderungen in Unternehmen enthält Statistiken darüber, wie schwierig es ist, qualifiziertes Sicherheitspersonal zu finden und zu binden. Das trifft auch auf 77 % der Befragten in der oben erwähnten Ponemon-Studie zu. Es fehlen fast zwei Millionen Fachkräfte in kritischen Sicherheitspositionen und diese Knappheit schreitet weltweit schnell voran.

Der Mangel an geeigneten Sicherheitsmitarbeitern kann die Vorfallreaktion gravierend beeinträchtigen, sodass Unternehmen versuchen, Sicherheitsfunktionen wie diese auszulagern. Tatsächlich geht Gartner davon aus, dass die Ausgaben für ausgelagerte Sicherheitsservices im Jahr 2018 bei über 18 Milliarden US-Dollar liegen werden. Nach Consulting-Services ist das der Bereich mit den zweithöchsten Sicherheitsausgaben.

Angesichts der Schwierigkeiten beim Einstellen des richtigen Personals ist das sinnvoll, da ein Managed Service schnell jegliche Lücken in Ihrem Sicherheitsteam schließen kann. Damit sind Sie in der Lage, Benachrichtigungen zu priorisieren, neue Bedrohungen aufzudecken und Untersuchungen zu beschleunigen. Diese Services werden üblicherweise von hoch qualifizierten Bedrohungsexperten unterstützt, die Ihre Unternehmensumgebung kontinuierlich überwachen. Sie identifizieren neue Bedrohungen und bieten Ihrem Team bei Bedarf Zugriff auf kritische Sicherheitsservices.

* Gartner Forecasts Worldwide Security Spending Will Reach $96 Billion in 2018, Up 8 Percent from 2017