PT-Magazin 3 2021
Offizielles Magazin der Oskar-Patzelt-Stiftung. Titelthema: Bange machen gilt nicht!
Offizielles Magazin der Oskar-Patzelt-Stiftung. Titelthema: Bange machen gilt nicht!
- Keine Tags gefunden...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
37<br />
Über den Autor<br />
Arne Wöhler<br />
Leiter Business Consulting<br />
und Development Cyber<br />
Security bei Arvato Systems.<br />
<strong>PT</strong>-MAGAZIN 3 <strong>2021</strong><br />
4. Tipp: Gehen Sie strukturiert vor.<br />
Um für den Fall der Fälle bestmöglich<br />
aufgestellt zu sein, ist die Incident Response<br />
in zwei Handlungsstränge aufzuteilen.<br />
Da wäre zunächst die forensische<br />
Untersuchung des vermeintlichen<br />
Vorfalls. Hier ermitteln Sie, wie und wie<br />
tief der Angreifer in Ihre IT-Infrastruktur<br />
eingedrungen ist, welche Ziele er verfolgt<br />
und welche Technologie er angewendet<br />
hat. Hierfür sollten Ihre Analysten neben<br />
Logging-Daten auch Informationen der<br />
Endpoint Detection sowie des Netzwerk-<br />
Monitorings heranziehen und auffällige<br />
Systeme bis in die Tiefe analysieren. Üblicherweise<br />
konzentrieren sich Analysten<br />
dabei auf Active Directory, DMZ (Demilitarisierte<br />
Zone) und besonders schützenswerte<br />
Bereiche.<br />
Auf dieser Basis können Sie Maßnahmen<br />
zur Abwehr des Angriffs und<br />
zur Entfernung des Angreifers aus Ihrem<br />
Netzwerk planen. Bei laufenden Vorfällen<br />
müssen Sie entscheiden, welche Handlungen<br />
ad hoc vorzunehmen (Containment)<br />
und welche vordefinierten Maßnahmen<br />
anzuwenden sind. Gleiches gilt<br />
für die Remediation. Hier brauchen Sie<br />
Maßnahmenpakete, die an die Komplexität<br />
Ihrer Geschäftsprozesse, den Aufbau<br />
der Infrastruktur, die Monitoring-Fähigkeiten<br />
auf Endpoints und Netzwerkverkehr<br />
sowie verfügbare Analyse-Skills<br />
angepasst sind. Die Abwehrmaßnahmen<br />
sollten ebenfalls den Methoden des<br />
Angreifers entsprechen.<br />
5. Tipp: Lernen Sie Ihre eigene Systemkritikalität<br />
kennen.<br />
Um schützenswerte Bereiche und neuralgische<br />
Punkt zu ermitteln, müssen<br />
Sie die Eigenheiten Ihrer Organisation,<br />
IT-Infrastruktur und vorhandenen Skills<br />
genau kennen. Betrachten Sie Incident<br />
Response als Mannschaftssport mit Spielern,<br />
die ihre Stärken nach abgestimmten<br />
Playbooks einbringen. Um die Positionen<br />
optimal zu besetzen, braucht es den idealen<br />
Mix aus Erfahrung und Skills. Diese<br />
Fähigkeiten intern aufzubauen, verursacht<br />
großen Aufwand. Einen Dienstleister<br />
heranzuziehen, der Managed Security<br />
als Service bietet, kann eine Überlegung<br />
wert sein. Aber auch dann sind regelmäßige<br />
Trainings unverzichtbar, um eine<br />
hohe Reaktionsfähigkeit sicherzustellen.<br />
6. Tipp: Setzen Sie auf Teamwork.<br />
Bei einem Angriff ist das ganze Security-Team<br />
gefragt. Das Security Operations<br />
Center (SOC) bewertet das Gefahrenpotenzial<br />
und entscheidet mit dem<br />
Incident Response Team, ob ein Angriff<br />
vorliegt. Handelt es sich um einen massiven<br />
Vorfall – von Erpressungsfällen mit<br />
Ransomware bis hin zu A<strong>PT</strong>-Angriffen –,<br />
koordiniert das Incident Response Team<br />
die Eindämmungs- und Bereinigungsaktivitäten<br />
und führt sie durch. Wichtig ist<br />
auch die Nachbereitung. Wer aus einem<br />
Vorkommnis strategische Maßnahmen<br />
ableitet, kann eine bessere Reaktionsfähigkeit<br />
und Resilienz entwickeln. Übertragen<br />
auf den Fußball, geht es um Fragen<br />
wie: Passten Spielaufbau und Organisation?<br />
Waren die Positionen richtig<br />
besetzt? Hat die Kommunikation funktioniert?<br />
Waren die personellen und technologischen<br />
Ressourcen in der richtigen<br />
Menge und Intensität verfügbar? War die<br />
Visibilität über das Spielgeschehen ausreichend?<br />
Schließlich sind Risikomanagement-<br />
und Entscheidungsprozesse fortlaufend<br />
zu optimieren? Denn: Nach dem<br />
Angriff ist vor dem Angriff.<br />
Weitere Informationen rund um Cyber<br />
Security gibt es im Lünendonk Whitepaper<br />
„Cyber Security – die Digitale Transformation<br />
sicher gestalten“, das in Zusammenarbeit<br />
von Lünendonk und Arvato<br />
Systems entstanden ist und unter https://<br />
www.arvato-systems.de/security-studie<br />
kostenlos zum Download bereitsteht. ó