Incident Response: Was tun bei einem Cyber-Angriff?

Cyber-Angriffe gehören im digitalen Zeitalter zu den größten Bedrohungen für Unternehmen. Kommt es zu einem Cyber-Angriff, ist eine schnelle und effektive Reaktion entscheidend, um den Schaden zu begrenzen und den Geschäftsbetrieb aufrechtzuerhalten. Das ist die Aufgabe der Incident Response (auf Deutsch: Reaktion auf Sicherheitsvorfälle).

Eine gut durchdachte Incident Response ist essenziell, um angemessen auf Vorfälle zu reagieren und zu verhindern, dass aus einem Cyber-Angriff ein existenzbedrohender Sicherheitsvorfall wird. Um das zu erreichen, müssen Unternehmen sowohl organisatorische und technische als auch kommunikationsbezogene Aspekte bei ihrer Notfallplanung beachten.

Dieser Artikel bietet einen Überblick über die verschiedenen Bereiche der Incident Response und erläutert, was Unternehmen beim Aufbau eines Incident Response Teams und beim Entwickeln eines Incident Response Plans beachten sollten.

Incident Response beschreibt die strukturierte und koordinierte Reaktion auf einen Cyber-Sicherheitsvorfall. Ein IT-Sicherheitsvorfall ist ein Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen, Daten oder Netzwerken bedroht oder beeinträchtigt. Dazu zählen zum Beispiel gezielte Cyber-Attacken wie Malware-Angriffe, unbefugte Systemzugriffe, Datenlecks oder System- und Bedienfehler.

Zur Incident Response gehören alle Prozesse und Maßnahmen, die ergriffen werden, um auf Cyber-Vorfälle vorbereitet zu sein, sie zu erkennen, zu analysieren und angemessen zu reagieren. Das Ziel besteht darin, den Vorfall rasch unter Kontrolle zu bringen, den Schaden zu minimieren, schnellstmöglich wieder zum Normalbetrieb zurückzukehren und zukünftigen Angriffen vorzubeugen.

Um dieses Ziel zu erreichen, brauchen Unternehmen eine detaillierten Incident Response Plan und ein gut geschultes Incident Response Team, das die verschiedenen organisatorischen und technischen Reaktionsmaßnahmen koordiniert und die Krisenkommunikation übernimmt.

Erfolgreiches Incident Response Management erfordert ein ganzheitliches Konzept, das sowohl die organisatorischen und technischen Aspekte der Incident Response als auch die Kommunikation bei Cyber-Angriffen umfasst.

Eine effektive Incident Response beginnt bei der Organisation. Unternehmen sollten ein spezialisiertes Incident Response Team (IRT) aufstellen, das im Ernstfall sofort einsatzbereit ist. Alle Teammitglieder sollten ihre Rollen und Verantwortlichkeiten im Krisenfall kennen und durch regelmäßige Schulungen und Krisenstabsübungen auf den Ernstfall vorbereitet werden.

Daneben gehört zur organisatorischen Reaktion auf Cyber-Angriffe auch der Aufbau eines stabilen Notbetriebs, um den Zeitraum zu überbrücken, bis die IT-Systeme wiederhergestellt sind, und die Koordination von externen Dienstleistern, die zur Bewältigung des Vorfalls hinzugezogen werden. Auch die Einhaltung von gesetzlichen Melde- und Dokumentationspflichten fällt in den administrativen Bereich der Incident Response.

Die technische Reaktion auf Cyber-Angriffe ist der zweite große Pfeiler der Incident Response. Sie umfasst Maßnahmen wie die Isolierung betroffener Systeme zur Eindämmung des Angriffs und den Einsatz von IT-Forensik-Tools, um den Vorfall zu untersuchen und den Angriffsvektor zu identifizieren.

Auch die Wiederherstellung von Systemen und Daten nach dem Angriff und die technische Unterstützung des Notbetriebs durch die Bereitstellung einer temporären IT-Infrastruktur und die Konfiguration kritischer Anwendungen für den Minimalbetrieb fallen in diesen Bereich. Im Rahmen der forensischen Analyse des Vorfalls und des IT-Wiederaufbaus werden zudem langfristige Maßnahmen zur Verbesserung der Cyber-Sicherheit des Unternehmens identifiziert und umgesetzt.

Eine gute Kommunikationsstrategie ist ein wichtiger Baustein der Incident Response. Zur Kommunikation bei Cyber-Angriffen gehören verschiedene Bereiche. Zum einen spielt die interne Kommunikation zwecks Abstimmung innerhalb des Incident Response Teams und zum Informieren der restlichen Belegschaft eine wichtige Rolle. Zum anderen muss der Vorfall an verschiedene externe Parteien kommuniziert werden.

Zur externen Kommunikation gehört das Informieren von Kunden, Geschäftspartnern, Lieferanten, Drittanbietern und sonstigen Stakeholdern sowie das Entwickeln und Umsetzen einer geeigneten PR-Strategie, um das Image des Unternehmens zu schützen und der Verbreitung von Fehlinformationen vorzubeugen. Außerdem muss der Vorfall bei der Cyberversicherung (sofern vorhanden) sowie bei den zuständigen Behörden gemeldet werden.

Ein Incident Response Plan (IRP) ist ein formeller Notfallplan, der das gesamte Vorgehen im Falle eines Cyber-Sicherheitsvorfalls detailliert beschreibt und dem Incident Response Team als Handlungsgrundlage dient. In der Regel orientieren sich Notfallpläne für die Incident Response an einem sechsstufigen Ablauf, der die folgenden Schritte umfasst: Vorbereitung, Bedrohungserkennung, Eindämmung des Angriffs, Beseitigung der aktiven Bedrohung, IT-Wiederaufbau und nachträgliche Verbesserung der IT-Sicherheit.

Neben dem Notfallplan sollten Unternehmen im Rahmen der Prävention von Cyber-Angriffen auch die Rollen und Verantwortlichkeiten der einzelnen Mitglieder des Incident Response Teams dokumentieren, einen Plan zur Geschäftskontinuität erarbeiten und eine Kommunikationsstrategie für den Ernstfall entwickeln.

Wenn es zu einer Cyber-Attacke kommt, gilt vor allem eins: Ruhe bewahren und die notwendigen Maßnahmen einleiten, um die Systeme möglichst schnell wiederherzustellen und den Schaden zu begrenzen. Hier ist eine Übersicht der wichtigsten Maßnahmen, um im Ernstfall korrekt zu reagieren und die Auswirkungen eines Cyber-Angriffs möglichst gering zu halten.

• Klare Einordnung des Vorfalls als Cyber-Angriff (und nicht als simplen technischen Defekt)
• Kontakt zur Cyberversicherung aufnehmen
• Identifizierung der betroffenen Systeme und Anwendungen und weitere Arbeiten mit ihnen einstellen
• Trennung der betroffenen Systeme, Netzwerke und Anwendungen von der restlichen IT-Infrastruktur und vom Internet
• Kommunikation mit relevanten Personen und Verantwortlichen zwecks einer koordinierten Vorgehensweise
• Dokumentation aller bisher durchgeführten Schritte und Unregelmäßigkeiten
• Fokus auf Sicherung kritischer Geschäftsprozesse, Systeme und Daten
• Forensische Sicherung aller Log-Daten, Protokolle und Dateien, die für die Analyse des Vorfalls relevant sein könnten
• Unterbrechung von Backups, um zu verhindern, dass Sicherungskopien vom Vorfall betroffen sind (z. B. im Falle eines Malware-Angriffs)
• Benachrichtigung relevanter externer Parteien und Behörden
• Kontinuierliche Überwachung der betroffenen Systeme und Netzwerke nach dem Vorfall
• Wiederherstellung der betroffenen Daten und Systeme
• Forensische Analyse des Vorfalls, um Schwachstellen und Sicherheitslücken zu identifizieren, und Ergreifen von Maßnahmen, um diese zu beheben

Das Bundesamt für Sicherheit in der Informationstechnik stellt einen Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle zur Verfügung, der unter anderem detaillierte Handlungsempfehlungen und Sofortmaßnahmen für verschiedene häufig auftretende IT-Sicherheitsvorfälle auflistet.

Vor allem kleine und mittelständische Unternehmen verfügen weder über die notwendigen Ressourcen noch über die notwendige Expertise, um einen Cyber-Vorfall schnell und effektiv zu bewältigen. In solchen Fällen stellt sich die Frage, wo Organisationen professionelle Unterstützung bei der Incident Response erhalten.

Für Organisationen, die eine Cyberversicherung abgeschlossen haben, besteht der einfachste Weg, schnell und unkompliziert Unterstützung zur Bewältigung eines Cyber-Vorfalls zu erhalten, darin, die Versicherung zu kontaktieren. Alternativ können Unternehmen sich auch an ihren Versicherungsmakler wenden, der den Kontakt zu einem geeigneten Dienstleister herstellen kann. Das BSI stellt darüber hinaus eine Liste qualifizierter Dienstleister zur Verfügung.