Was bei einem Cybervorfall zu tun ist, Teil 2: Nichttechnische Reaktion

Wie besprochen in der erster Teil In dieser Serie ist die erste technische Reaktion nach einem Cybervorfall entscheidend, um den Vorfall einzudämmen und weiteren Datendiebstahl zu verhindern. Wenn das Ausmaß des Cybervorfalls ins Blickfeld gerät, ist es wichtig, auch kleine Details zu beachten, die sich bei der Formulierung der nichttechnischen Reaktion als nützlich erweisen könnten. Ein Plan zur Reaktion auf Cybervorfälle muss fest verankert sein. Gartner definiert dies als:

Dieser auch als „Plan zur Reaktion auf Computervorfälle“ bekannte Plan wird von einem Unternehmen formuliert, um auf potenziell katastrophale Computervorfälle wie Viren oder Hackerangriffe zu reagieren. Der CIRP sollte Maßnahmen beinhalten, mit denen festgestellt werden kann, ob der Vorfall von einer bösartigen Quelle herrührt — und, falls ja, zur Eindämmung der Bedrohung und zur Isolierung des Unternehmens vom Angreifer.

Der Plan informiert über die Zusammensetzung der zuständigen Teams, die sich mit etwaigen Vorfällen befassen werden. Ein Beispiel könnte sein:

• Ersthelfer
• Taktisch (Sicherheit)
• Teamkoordinator (C-Level)
• Rechtliches
• Öffentlichkeitsarbeit

Die Ersthelfer sind in der Regel der IT-Helpdesk, der sich in der Regel mit IT-bezogenen Problemen und der Behebung von Problemen in der Organisation befasst. Wenn es sich bei einem gemeldeten Problem um ein Sicherheitsproblem handelt, wird es schnell an das taktische (Sicherheits-) Team weitergeleitet, das je nach Schwere des Vorfalls ein spezialisierteres externes Incident-Response-Team hinzuziehen kann. Dieses Team ist dann für die detailliertere forensische Untersuchung und Ursachenanalyse verantwortlich. In der Regel erhält eine Führungskraft auf Führungsebene, z. B. ein CIO oder CISO, regelmäßig Informationen, die an die oberste Führungsebene weitergegeben werden können, insbesondere im schwerwiegenden Fall eines Datenschutzverletzung. Sollte ein Kommunikationsbedarf in Bezug auf Rechts- oder Öffentlichkeitsarbeit entstehen, sollten die jeweiligen Teams hinzugezogen werden. All diese Schritte sollten Teil der Standardarbeitsanweisung (SOP) als Teil des Gesamtplans sein.

Alle Mitarbeiter innerhalb der Organisation sollten sich auch darüber im Klaren sein, wie ein Vorfall gemeldet werden soll. Wenn sich die Mitarbeiter der Bedeutung einer solchen Richtlinie nicht bewusst sind, wird es äußerst schwierig sein, einen effektiven Cyber-Reaktionsplan zu haben.

Beispielsweise sollte ein Mitarbeiter, der eine verdächtige E-Mail erhält, einen solchen Vorfall sofort melden, damit das richtige technische Personal feststellen kann, ob es sich um eine böswillige E-Mail handelt. Es könnte auch sein, dass eine Warnung in einem der Cyber-Überwachungssysteme des Unternehmens ausgelöst wird. In den meisten Fällen zielen Bedrohungsakteure auf das schwächste Glied, den Endbenutzer, ab. Das Versäumnis, scheinbar triviale Vorfälle zu melden, kann den Unterschied ausmachen, ob der Beginn einer größeren böswilligen Kampagne erkannt wird oder nicht.

Daher befasst sich der nichttechnische Reaktionsteil mit Richtlinien, Verfahren und Prozessen, die Folgendes beinhalten:

• Bewertung des Vorfalls
• Meldung von Vorfällen
• Regulatorische Berichterstattung
• Öffentliche Offenlegung

Bewertung des Vorfalls

Es ist wichtig, eine erste Klassifizierung eines Cybervorfalls auf der Grundlage der derzeit bekannten Informationen vorzunehmen. Das mögliche Ausmaß der Auswirkungen sollte das Worst-Case-Szenario sein, auch wenn nicht alle Einzelheiten bekannt sind. Wie in dem Referenzbeispiel, das in der erste technische Antwort, wenn der Cybervorfall eine interne Gefährdung des Benutzerkontos beinhaltet, kann jede Ressource, auf die das kompromittierte Konto Zugriff hat, ebenfalls betroffen sein.

Dies können Ressourcen wie VPN oder Fernzugriff, E-Mail-Zugriff und Intranet-Ressourcenzugriff sein, insbesondere in Fällen, in denen die Multifaktor-Authentifizierung oder die maschinelle Authentifizierung zum Zeitpunkt des Vorfalls nicht verwendet wurden.

Das potenzielle Ausmaß der Auswirkungen sollte als Richtschnur für die technische Reaktionsphase dienen. Sobald das gesamte Ausmaß des Vorfalls untersucht und mit einiger Sicherheit bestimmt wurde, kann das bekannte Ausmaß der Auswirkungen bestätigt werden. In diesem Fall ist es durchaus möglich, dass die Auswirkungen und Auswirkungen des Vorfalls nicht so schwerwiegend sind, wie ursprünglich angenommen.

Die Bewertung der anfänglichen Auswirkungen eines Vorfalls ist ein entscheidender Schritt. Es bietet die Möglichkeit, fundierte Entscheidungen über andere Schritte zu treffen, z. B. über die Art eines formellen Berichts an die Aufsichtsbehörden, darüber, ob eine Offenlegung der öffentlichen Kommunikation erforderlich ist oder ob Hintergrundprotokolle aktiviert werden sollten. In jedem Fall ist es am besten, vom Worst-Case-Szenario auszugehen, bis das Gegenteil bewiesen ist.

Bericht über einen Vorfall

Obwohl ein Cybersicherheitsvorfall nicht automatisch mit einem schwerwiegenden Verstoß gleichzusetzen ist, ist es dennoch wichtig, einen Vorfall zu melden. In der ersten Instanz wird es sich dabei um einen formellen internen Bericht handeln, in dem einige wichtige Aspekte des Vorfalls detailliert beschrieben werden. In dem Bericht sollten die Incident-ID und der Incident-Besitzer eindeutig identifiziert werden.

Der formelle Bericht sollte auch einige nützliche Informationen enthalten, z. B. die Art des Vorfalls, eine Zusammenfassung des Vorfalls, den Zeitplan, die Analyse der Auswirkungen und der Grundursache, alle Abhilfemaßnahmen oder Wiederherstellungsmaßnahmen und schließlich alle Lehren, die aus dem spezifischen Vorfall gezogen wurden. Ein Beispiel lautet wie folgt:

• Datum des Vorfalls
• Vorfalls-ID
• Besitzer des Vorfalls
• Zusammenfassung des Vorfalls
• Zeitplan des Vorfalls
• Einzelheiten des Vorfalls
• Analyse der Auswirkungen
• Grundursache
• Problembehebung und Wiederherstellung
• Gelernte Lektionen
• Anhang

Der Bericht sollte Einzelheiten zu den betroffenen Benutzern und ihren Konten sowie eine Zeitleiste der Ereignisse vor, während und nach dem Vorfall enthalten. Die betroffenen Ressourcen der Organisation, wie Computersysteme, Daten oder Websites, sollten ebenfalls detailliert beschrieben werden. Dies wird als Grundlage für die abschließende Folgenabschätzung und Ursachenanalyse dienen. Alle Berichte sollten ordnungsgemäß eingereicht und nach Abschluss jedes gemeldeten Vorfalls katalogisiert werden.

Regulatorische und öffentliche Offenlegung

Im Umgang mit Aufsichtsbehörden müssen je nach Branche einer Organisation (Gesundheitswesen, Finanzen, Transport oder Einzelhandel) spezifische Rahmenbedingungen und Vorschriften eingehalten werden. Außerdem wird es allgemeine Compliance-Vorschriften geben, die sich über verschiedene Branchen erstrecken, wie beispielsweise die DSGVO, insbesondere bei Vorfällen, bei denen es um personenbezogene Daten von Kunden oder Mitarbeitern geht. In diesem Zusammenhang kann es auch erforderlich sein, die Strafverfolgungsbehörden zu informieren. Dies kann die zuständige Strafverfolgungsbehörde sein, die für den Empfang solcher Berichte zuständig ist. Im Fall von Organisationen, die auch für die Verteidigung zuständig sind oder Teil einer als kritisch eingestuften nationalen Infrastruktur sind, gibt es aufgrund regulatorischer Anforderungen möglicherweise bereits eine klare Linie zur Berichterstattung an eine solche Behörde.

Auch die rechtliche Seite des Vorfalls sollte eingehend berücksichtigt werden. Auch hier gilt: Wenn es sich bei dem Vorfall um eine Datenschutzverletzung personenbezogener Daten handelt, sollten auch hier angemessene Vorbereitungen für eine mögliche rechtliche Anfechtung getroffen werden. Organisationen sollten kompetente Rechtsberatung einholen. Der Rechtsberater sollte auch über den Inhalt aller Offenlegungen informieren und angeben, wer innerhalb der Organisation eine solche Offenlegung formell vornimmt. Zu einem solchen Unterteam können gehören:

• C-Level (CIO/ CISO oder gleichwertig)
• Leiter des Incident-Response-Teams (technisch)
• Rechtliches
• Öffentlichkeitsarbeit

Wenn eine erhebliche Datenschutzverletzung bestätigt wird — was bedeutet, dass unangemessen auf personenbezogene Daten oder Kundendaten zugegriffen wurde —, kann eine öffentliche Ankündigung erforderlich sein. Dies ist einer der heikelsten Teile der nichttechnischen Reaktion, da er direkte oder indirekte negative rechtliche und finanzielle Folgen für das Unternehmen haben kann. Daher ist es von größter Bedeutung, dass ein kompetentes PR-Team konsultiert wird, um herauszufinden, wie eine solche Offenlegung am besten angegangen werden kann. In den meisten Fällen bestimmt der regulatorische Rahmen, wann und wie eine Veröffentlichung erfolgt. Er wird auch festlegen, wann und wie die Regulierungsbehörden einbezogen werden.

Es sollte jetzt klar sein, dass das Dokument zur Cybersicherheitspolitik jeder Organisation einen Plan zur Reaktion auf Cybervorfälle enthalten sollte. Sie benötigen ein ständiges Reaktionsteam und eine klare und umsetzbare Standardarbeitsanweisung (SOP). Alle Mitarbeiter, Auftragnehmer und das damit verbundene Personal sollten sich der Cyberrichtlinien und der Berichtslinien voll und ganz bewusst sein. Lokale und internationale Organisationen wie NIST bieten öffentliche Rahmenbedingungen für die Planung der Reaktion auf Vorfälle. Wenn es um die Reaktion auf Cybervorfälle geht, sind Planung und Vorbereitung der ultimative Schlüssel zum Erfolg, unabhängig von der Größe oder dem Status einer Organisation, insbesondere in dieser Zeitvon einem Verstoß ausgehen. '