Incident Response Plan: Der Rettungsschirm für KMU

Kleine und mittelständische Unternehmen werden immer häufiger das Ziel von Cyberangriffen. Laut aktuellen Studien muss jedes Dritte KMU kurz- oder mittelfristig die Insolvenz anmelden. Dies ist ein gravierendes Risiko für die Mitarbeiter:innen und Verantwortlichen. Ein definierter Incident Response Plan kann im Ernstfall Unternehmen und Arbeitsplätze retten.

Was ist Incident Response

Incident ist Englisch und bedeutet Vorfall. Incident Response ist also die „Antwort auf einen Vorfall“. Im Kontext der Informationssicherheits sprechen wir also von einem Informationssicherheitsvorfall. Dies kann beispielsweise das Abhandenkommen eines Laptops sein oder der Befall eines Unternehmens mit Ransomware. Laut der Gothaer Versicherung ist ein Cyberangriff das meistgefürchtetste Risiko in Deutschland. Um im Ernstfall vorbereitet zu sein, sollten Sie einen Incident Response Plan haben und diesen auch durchexerziert haben, um bestmöglich vorbereitet zu sein. Denn eins ist sicher: Ihre Firma wird einen Informationssicherheitsvorfall haben. Die Frage ist nur wann und ob Sie vorbereitet sind.




Eckpfeiler eines Incident Response Plans

Der erste Schritt eines Incident Response Plans sollte eine klare Definition sein, wie Mitarbeiter:innen den Incident melden können. Technsiche Tools können Sie unterstützten in Zeiten von Emotet und anderen Malware-Kampagnen sind jedoch die Mitarbeiter:innen eine ebenfalls unablässliche Informationsquelle. Damit diese potentielle Vorfälle melden können, benötigen Sie einen definierten Prozess, beispielsweise eine E-Mail Adresse, an die sich die Mitarbeiter:innen wenden können. Diese muss allen Mitarbeiter:innen bekannt sein und sollte durch den Verantwortlichen beobachtet werden.

Damit Sie sich irgendwann auch ruhiger hinlegen können nachdem Sie den Incident Response Plan erstellt haben, sollten Sie Incidents nach Kritikalität einordnen. Verdächtiges Verhalten ohne eindeutige Beweise gehört zu den Fällen niedriger oder mittlerer Kritikalität. Sie sollten diese Vorfälle untersuchen, aber nicht sofort sämtliche Arbeit liegen lassen. Bei hoher Kritikalität sieht das ganze bereits anders aus. In diesem Fall ist es wahrscheinlich, dass ein Angreifer schon Zugang zu Informationen haben könnte. Sie sollten augenblicklich die Untersuchung beginnen. Halten Sie eine Eskalationsstufe vor, wenn Angreifer bereits Zugang zu Informationen haben, beispielsweise die Stufe „Kritisch“. In diesem Fall ist neben der Untersuchung des Vorfalls auch unverzüglich die Geschäftsführung zu informieren.

Richten Sie weiterhin einen Krisenstab ein, der im Falle eines Falles sofort bereitstehen kann und sich bestenfalls vorher bereits kennengelernt hat. Klären Sie Verantwortlichkeiten ebenfalls vorher ab, sodass sich Ihr Krisenstabsteam nicht im Bedarfsfall erst zusammenfinden muss. Die Teilnehmer:innen des Krisenstabs sollten über entsprechende Risikokenntnis verfügen und nicht in Panik verfallen. Wählen Sie hier weise vorab aus und ergänzen Sie im Bedarfsfall einzelne Fachabteilungen. Dieser Krisenstab sollte dann regelmäßig „tagen“ und sich mit externen Partnern abstimmen, um den Vorfall zu managen und den Schaden zu begrenzen. Außerdem sollte der Krisenstab nach der Bewältigung des Vorfalls eine Retrospektive halten, um ähnliche Vorfälle nicht stattfinden zu lassen.

Kommunikation ist der Schlüssel

Eine Studie von IBM zeigt, dass ein Incident Response Plan die Kosten von ungefähr 5 Millionen US-Dollar auf 3 Millionen US-Dollar senken kann. Auch gute Krisenkommunikation während und nach einem Incident ist wichtig. Mit Kunden, Partnern und weiteren Stakeholdern. Diese wollen informiert sein, wie es bezüglich der weiteren Strategie aussieht, wielange Sie mit Dienstausfällen zu rechnen haben und weitere Informationen. Norsk Hydro war beispielsweise Opfer eines Ransomwarevorfalls und ist ein Paradebeispiel für gute Krisenkommunikation.

Lösungsansatz

Wir haben auf GitHub eine Blaupause für einen schlanken aber effizienten Incident Response Plan veröffentlicht. Diesen können Sie als Vorlage verwenden, um Ihren eigenen Plan aufzubauen. Fühlen Sie sich zudem eingeladen, Verbesserungen und Feedback per GitHub bereitzustellen. Falls Sie Unterstützung bei der Umsetzung und Planung benötigen, kontaktieren Sie uns gerne, wir unterstützen Sie gerne im Bereich Incident Response Planung.

 


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar