IT-Security November/Dezember 2023

Weitere Magazine

Info

18 | IT SECURITY Besser Vor- als Nachsorge WIE INCIDENT RESPONSE UNTERNEHMEN FÜR CYBER-ANGRIFFE WAPPNET „Incident-Response-Pläne? Nützen uns nichts, sind zu teuer und verschwenden die Zeit meiner Mitarbeiter!“. Diese Ansicht vertreten 41 Prozent der IT-Verantwortlichen in Deutschland, wie eine aktuelle Kaspersky-Studie zum Thema „Incident Response zur Prävention“ [1] zeigt. Da überrascht es nicht, dass nur jedes fünfte Unternehmen über Pläne für Incident-Response verfügt. Klar ist: Ohne gezielte und kontinuierliche Vorbereitung auf IT-Sicherheitsvorfälle riskieren Unternehmen im Akutfall folgenschwere Konsequenzen – wirtschaftlicher, finanzieller und nicht zuletzt imagetechnischer Natur. Mitunter kann auch ihre Existenz auf dem Spiel stehen, denn Cyberversicherungen, die zumindest die gröbsten Kosten abdecken, bilden bei Unternehmen in Deutschland eher die Ausnahme (bei 30,5 Prozent). Allein im vergangenen Jahr entstand laut Bitkom ein Schaden Kritischer Faktor Zeit Im Fall der Fälle sind Unternehmen im Vorteil, wenn sie einen klaren Maßnahmenplan aus der Schublade ziehen können – Stichwort Incident-Response-Plan und -Playbook. Je schneller Unternehmen auf den Vorfall reagieren, ihn eingrenzen und den Zugriff auf kritische Systeme und Daten abschneiden kann, desto mehr können die Konsequenzen eines Angriffs eingedämmt werden. Al- INCIDENT-RESPONSE- PROZESSE SIND BEI WEITEM KEIN NETTES BEIWERK, SONDERN EIN MUST-HAVE. Kai Schuricht, Lead Incident Response Specialist, Kaspersky, www.kaspersky.de von insgesamt rund 203 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen [2]. UNTERSTÜTZUNG BEI DER VORFALLREAKTION Kaspersky setzt als Cybersicherheitsanbieter sein gesamtes Wissen für die Etablierung einer robusten Cyberabwehr und Vorfallreaktionskapazität von Unternehmen ein. ➤ Die Kaspersky Incident Response Services [3] bewahren Unternehmen vor Cyberangriffen und ihren schwerwiegenden Folgen. ➤ Wie können interne Teams auf Cyberattacken richtig reagieren und schädliche Aktionen analysieren? Das Kaspersky Security Training [4] vertieft ihre Kenntnisse in den Bereichen Forensik und Incident Response. Außerdem werden Trainings zur Malware- Analyse und Reverse Engineering angeboten. ➤ Bei einem Sicherheitsvorfall unterstützt Kaspersky Unternehmen bei der aktiven Reaktion auf Angriffe und kann den gesamten Zyklus der Vorfalluntersuchung abdecken. Basisschutz? Hälfte der Unternehmen in Deutschland ist vulnerabel Grundsätzlich scheint es in den von Kaspersky befragten Unternehmen bereits am Basisschutz zu hapern. Demnach: ➤ fehlt in jedem dritten (35,5 Prozent) Unternehmen in Deutschland eine Passwort-Richtlinie. ➤ erstellen nur 58 Prozent von ihnen Backups. ➤ hat sich die wichtige Sicherheitsmaßnahme einer Multi-Faktor-Authentifizierung bis dato nur bei knapp mehr als der Hälfte (54 Prozent) etabliert. Das Fehlen regelmäßiger Datensicherungen, kombiniert mit unzureichendem Passwort- und Zugangsschutz für Anwendungen sowie ungeschulten Mitarbeitern, machen es Unternehmen potenziellen Angreifern einfach, in das eigene Unternehmensnetzwerk einzudringen. Haben Cyberkriminelle erst mal eine Lücke im Netzwerk ausgemacht, können sie auf kritische Systeme und Tools oder sensible Informationen wie Kundendaten, Zahlungsinformationen oder Geschäftsgeheimnisse zugreifen. November/Dezember 2023 | www.it-daily.net
IT SECURITY | 19 lerdings dauert die Entdeckung in den meisten Fällen deutlich länger, als viele IT-Entscheider in Unternehmen wahrhaben wollen: 41,5 Prozent von ihnen sind zuversichtlich, dass ihr Sicherheitsteam einen kritischen Vorfall innerhalb von wenigen Minuten identifiziert. Allerdings zeigen Zahlen, dass wenn der ursprüngliche Zugriff auf das eigene Netzwerk nicht entdeckt wurde (was nicht selten vorkommt), meist mit einem ganzen Jahr bis zur Identifizierung gerechnet werden muss. Sehr viel Zeit, in der Cyberkriminelle mit gestohlenen Daten und kompromittierten Netzwerken Schaden anrichten können. Unternehmen müssen also ihre Vorfallentdeckungskapazitäten auf ein sehr hohes Niveau bringen. Wie man Incident Response richtig etabliert Incident-Response-Prozesse sind also bei weitem kein nettes Beiwerk, sondern ein Must-Have. Im Notfall sorgen sie dafür, dass Unternehmen schnell und effizient reagieren können. Denn die Methoden von Cyberkriminellen werden immer ausgeklügelter und schwerer zu enttarnen. Ihre Vorgehensweisen sind so zahlreich wie variabel: Spear-Phishing, Ransomware, DDoS-Attacken, Spyware, generische Malware und mehr. Doch wie werden IR-Prozesse etabliert? Was sollte ein guter IR-Plan beziehungsweise ein IR-Playbook enthalten? Wird ein Unternehmen angegriffen, steht es vor zwei großen Herausforderungen: Einerseits gilt es den Schaden zu minimieren, andererseits so schnell wie möglich zum normalen Arbeitsablauf zurückzukehren. An dieser Stelle kommt Incident Response ins Spiel. Sie ermöglicht eine effiziente Reaktion auf den Sicherheitsvorfall (Vorfallreaktion), aber liefert darüber hinaus auch ein detailliertes Bild des Vorfalls. IR deckt den gesamten Untersuchungs- und Reaktionszyklus ab: von der frühen Reaktion auf Vorfälle und der Sammlung von Beweismitteln bis hin zur Identifizierung zusätzlicher Spuren von Hackerangriffen und der Erstellung eines Plans zur Angriffsabwehr. Unternehmen sollten in den folgenden Phasen die passenden Antworten parat haben: ➤ Vorbereitung: Incident Response sollte nicht nur als proaktive Reaktion auf einen Sicherheitsvorfall verstanden werden, sondern auch als präventive Maßnahme. Unternehmen bereiten sich allgemein auf den Ernstfall vor. Dazu gehören neben Incident-Response-Plänen und Playbooks auch Tabletop Exercises oder das Abschließen einer dedizierten Cyberversicherung. ➤ Erkennung: In dieser Phase wird ein Vorfall als solcher identifiziert und gemeldet sowie die ersten Informationen zum Vorfall gesammelt. ➤ Schadensbegrenzung: Basierend auf den vorhandenen Informationen wird der Vorfall eingedämmt, damit dieser sich nicht weiter im Unternehmensnetzwerk ausbreiten kann. Einrichtung und Kontrolle einer Kennwort-/ Passwortrichtlinie Anti-Phishing-Software im Einsatz Multi-Faktor-Authentifizierung implementiert ➤ Beseitigung: Mit der Schadensbegrenzung geht die Beseitigung des Angriffs einher. Vorhandene Schaddateien werden von den infizierten Geräten entfernt, diese Systeme mit weiteren Sicherheitsmaßnahmen gehärtet, Updates eingespielt und vorhandene Sicherheitslücken geschlossen. ➤ Wiederherstellung: In dieser Phase werden die Systeme wiederhergestellt, nachdem diese beispielsweise von der Infrastruktur getrennt wurden. Backups werden wieder eingespielt. ➤ Lessons Learned: Nach dem Angriff ist vor dem Angriff. Nach einem Vorfall werden alle unternommenen Schritte durchgegangen und rückblickend analysiert. Kai Schuricht Quellen: [1] https://kas.pr/ir-report_de [2] https://www.bitkom.org/Presse/Presseinformation/ Wirtschaftsschutz-2022 [3] https://www.kaspersky.de/enterprise-security/ incident-response [4] https://www.kaspersky.de/enterprise-security/ cyber-security-training zur vorbeugung von cybersicherheitsvorfällen haben wir folgende maßnahmen im unternehmen implementiert (auszug): Datensicherung mit regelmäßigen Back-ups Regelmäßige Mitarbeiterschulungen zu Cybersicherheitsthemen www.it-daily.net | November/Dezember 2023
Seite 1 und 2: Detect. Protect. Respond. November/
Seite 3 und 4: INHALT | 3 COVERSTORY 04 21 Inhalt
Seite 5 und 6: COVERSTORY | 5 it security: Wie sie
Seite 7 und 8: THOUGHT LEADERSHIP | 7 Wie Cybersic
Seite 9 und 10: THOUGHT LEADERSHIP | 9 mensstrategi
Seite 11 und 12: IT SECURITY | 11 Cybersecurity im M
Seite 13 und 14: IT SECURITY | 13 ein Angreifer bere
Seite 15 und 16: IT SECURITY | 15 ANGREIFER NUTZEN K
Seite 17: Kampf gegen Cyberkriminalität MARK
Seite 21 und 22: ADVERTORIAL | 21 Customer Identity
Seite 23 und 24: IT SECURITY | 23 Tixeo steht für m
Seite 25 und 26: ADVERTORIAL | 25 Kompatibilität un
Seite 27 und 28: IT SECURITY | 27 identifiziert und
Seite 29 und 30: ADVERTORIAL | 29 Software-Schwachst
Seite 31 und 32: IT SECURITY | 31 hungen zu erkennen
Seite 33 und 34: IT SECURITY | 33 Wissen, was geht T
Seite 35 und 36: IT SECURITY | 35 tieren. Zeitmangel
Seite 37 und 38: IT SECURITY | 37 Separated App: ein
Seite 39 und 40: IT SECURITY | 39 DIE IT-SA WAR AUCH
Seite 41 und 42: IT SECURITY | 41 AUCH 2023 SEHEN WI
Seite 43 und 44: IT SECURITY | 43 IT-Sicherheitstren
Seite 45 und 46: IT SECURITY | 45 (IPMI). Letzteres
Seite 47 und 48: IT SECURITY | 47 Das kleine Einmale

IT-Security November/Dezember 2023

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?