Anbieter zum Thema

G DATA Advanced Analytics GmbH

G DATA CyberDefense AG

genua gmbh

Governikus GmbH & Co. KG

Infos zentral bündeln

IT-Notfälle sind oft von einer hohen Dynamik geprägt. Zugleich ist der Fluss zuverlässiger und möglichst vollständiger Informationen ein wichtiges Bindeglied des internen Notfallplans. Daher sollten alle Informationen an einer einzigen Stelle und über klar vordefinierte Kanäle zusammenlaufen. Wichtig ist dabei das Einrichten eines ­„Single Point of Truth“ – die Befehlskette muss eindeutig sein, und alle Beteiligten müssen jederzeit wissen, an wen sie sich wenden können, und wer nach außen sprechfähig und -berechtigt ist. Nichts behindert eine erfolgreiche Incident Response mehr, als zuerst widersprüchliche oder fehlerhafte Informationen aussortieren zu müssen. Bei der Kontaktaufnahme mit einem Dienstleister für die Incident Response sollten die folgenden Informationen so vollständig wie möglich vorliegen:

• Welcher Art ist der Zwischenfall? Hierbei ist auch zu beachten, dass ein etwaiger Angriff zum Zeitpunkt der Kontaktaufnahme möglicherweise noch nicht abgeschlossen ist.

• Wie genau und wann ist der Zwischenfall aufgefallen?

• Wurden bereits Maßnahmen ergriffen? Wenn ja, welche?

• Handelt es sich bei der betroffenen Behörde um einen KRITIS-Bestandteil?

Zudem benötigen die Disponenten auch Informationen über die ­Größe des Netzwerkes, eingesetzte Betriebssysteme sowie einige Eckpunkte zur IT-Struktur und zu ­Sicherungskonzepten.

Nach dem Incident ist vor dem Incident

Nach einem Vorfall ist es wichtig, eine Lektion aus den Ereignissen zu ziehen und den eigenen Notfallplan nötigenfalls anzupassen. Wenn der nächste Vorfall auf dieselbe Ursache zurückzuführen ist, dann wurden hier entscheidende Lektionen nicht gelernt.

So gut und solide der Notfallplan ansonsten auch sein mag – IT-Verantwortliche würden es am liebsten sehen, wenn er niemals zum Einsatz kommen müsste. Und auch wenn sich das nie ganz wird verhindern lassen, gibt es doch Mittel und Wege, eher auf sicherheitsrelevante Vorfälle reagieren zu können, bevor sie zum Stillstand einer kompletten Stadtverwaltung führen. In den meisten Fällen, in denen Fachleute einen Vorfall im Nachhinein aufgearbeitet und einen Zeitstrahl der Ereignisse erstellt haben, stellt sich heraus, dass der Vorfall mit hoher Wahrscheinlichkeit verhinderbar gewesen ­wäre. Und selbst in den Fällen, in denen er nicht verhinderbar gewesen wäre, hätten die Auswirkungen wesentlich weniger dramatisch ausfallen können. Es dreht sich wie so oft hier auch wieder um die rechtzeitige Verfügbarkeit von Informationen an der richtigen Stelle und wie mit diesen Informationen verfahren wird.

Dabei sind es nicht einmal ausgefeilte und maßgeschneiderte Angriffswerkzeuge, die hier zum Einsatz kommen. Angreifer bedienen sich vielfach auch der vorhandenen Infrastruktur und Softwarelandschaft, um zum Ziel zu kommen. Daraus ergeben sich charakteristische Muster, die sich detektieren lassen und die sehr zuverlässig auf illegitime, maliziöse Aktivitäten hinweisen. Und um diese herauszufiltern, benötigt es noch nicht einmal einen großen Invest. Denn die meisten Informationen finden sich in den Log­daten, die kritische Server sowieso generieren. Diese zielgerichtet zum Tragen zu bringen, ist nicht weiter schwer und auch nicht sehr kostspielig, im Unterschied zum Aufbau eines neuen SIEM oder gar eines SOC, der sich über Jahre hinweg ziehen kann und der große Summen Geld verschlingt.

An einigen neuralgischen Punkten im Netzwerk lassen sich also genau die Informationen gewinnen, die einer Behörde die Aktivierung des Notfallplans ersparen können. Werden diese dann noch von den richtigen Fachleuten und mit den passenden Technologien ausgewertet, dann ist viel gewonnen. Eine Lösung kann ein managed SIEM oder auch ein eigenes Security Monitoring sein, das von einem Dienstleister betreut wird – hier ist allerdings darauf zu achten, dass dieser Dienstleister über die entsprechenden Qualifikationen, die nötige Erfahrung und eine Zertifizierung des BSI verfügt, denn viele Behörden sind Teil der KRITIS und müssen entsprechend auf Sicherheitsvorfälle vorbereitet sein.

Dann ist es nämlich nur noch eine Frage der klaren Kommunikation, ob ein Vorfall eine Randnotiz bleibt oder zur Schlagzeile wird.

(ID:48725607)