IT-Security November/Dezember 2023
Komplexe Cybersicherheit – Schlüsselrolle Automatisierung? Wie Cybersicherheit moderne Arbeitswelten unterstützt Zero Trust Network Access – OT-Netzwerke verstärkt im Fokus von Kriminellen Unified Endpoint Management – Aus dem Schatten ins Licht
Komplexe Cybersicherheit – Schlüsselrolle Automatisierung?
Wie Cybersicherheit moderne Arbeitswelten unterstützt
Zero Trust Network Access – OT-Netzwerke verstärkt im Fokus von Kriminellen
Unified Endpoint Management – Aus dem Schatten ins Licht
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 19<br />
lerdings dauert die Entdeckung in den<br />
meisten Fällen deutlich länger, als viele<br />
<strong>IT</strong>-Entscheider in Unternehmen wahrhaben<br />
wollen: 41,5 Prozent von ihnen sind<br />
zuversichtlich, dass ihr Sicherheitsteam<br />
einen kritischen Vorfall innerhalb von<br />
wenigen Minuten identifiziert. Allerdings<br />
zeigen Zahlen, dass wenn der ursprüngliche<br />
Zugriff auf das eigene Netzwerk<br />
nicht entdeckt wurde (was nicht selten<br />
vorkommt), meist mit einem ganzen Jahr<br />
bis zur Identifizierung gerechnet werden<br />
muss. Sehr viel Zeit, in der Cyberkriminelle<br />
mit gestohlenen Daten und kompromittierten<br />
Netzwerken Schaden anrichten<br />
können. Unternehmen müssen<br />
also ihre Vorfallentdeckungskapazitäten<br />
auf ein sehr hohes Niveau bringen.<br />
Wie man Incident Response<br />
richtig etabliert<br />
Incident-Response-Prozesse sind also bei<br />
weitem kein nettes Beiwerk, sondern ein<br />
Must-Have. Im Notfall sorgen sie dafür,<br />
dass Unternehmen schnell und effizient<br />
reagieren können. Denn die Methoden<br />
von Cyberkriminellen werden immer<br />
ausgeklügelter und schwerer zu enttarnen.<br />
Ihre Vorgehensweisen sind so zahlreich<br />
wie variabel: Spear-Phishing, Ransomware,<br />
DDoS-Attacken, Spyware,<br />
generische Malware und mehr.<br />
Doch wie werden IR-Prozesse etabliert?<br />
Was sollte ein guter IR-Plan beziehungsweise<br />
ein IR-Playbook enthalten? Wird<br />
ein Unternehmen angegriffen, steht es<br />
vor zwei großen Herausforderungen:<br />
Einerseits gilt es den Schaden zu minimieren,<br />
andererseits so schnell wie<br />
möglich zum normalen Arbeitsablauf<br />
zurückzukehren. An dieser Stelle kommt<br />
Incident Response ins Spiel. Sie ermöglicht<br />
eine effiziente Reaktion auf den<br />
Sicherheitsvorfall (Vorfallreaktion),<br />
aber liefert darüber hinaus auch ein detailliertes<br />
Bild des Vorfalls. IR deckt den<br />
gesamten Untersuchungs- und Reaktionszyklus<br />
ab: von der frühen Reaktion<br />
auf Vorfälle und der Sammlung von Beweismitteln<br />
bis hin zur Identifizierung<br />
zusätzlicher Spuren von Hackerangriffen<br />
und der Erstellung eines Plans zur<br />
Angriffsabwehr.<br />
Unternehmen sollten in den folgenden<br />
Phasen die passenden Antworten<br />
parat haben:<br />
➤ Vorbereitung: Incident Response<br />
sollte nicht nur als proaktive Reaktion<br />
auf einen Sicherheitsvorfall verstanden<br />
werden, sondern auch als<br />
präventive Maßnahme. Unternehmen<br />
bereiten sich allgemein auf den<br />
Ernstfall vor. Dazu gehören neben<br />
Incident-Response-Plänen und Playbooks<br />
auch Tabletop Exercises oder<br />
das Abschließen einer dedizierten<br />
Cyberversicherung.<br />
➤ Erkennung: In dieser Phase wird ein<br />
Vorfall als solcher identifiziert und<br />
gemeldet sowie die ersten Informationen<br />
zum Vorfall gesammelt.<br />
➤ Schadensbegrenzung: Basierend<br />
auf den vorhandenen Informationen<br />
wird der Vorfall eingedämmt, damit<br />
dieser sich nicht weiter im Unternehmensnetzwerk<br />
ausbreiten kann.<br />
Einrichtung und Kontrolle<br />
einer Kennwort-/<br />
Passwortrichtlinie<br />
Anti-Phishing-Software<br />
im Einsatz<br />
Multi-Faktor-Authentifizierung<br />
implementiert<br />
➤ Beseitigung: Mit der Schadensbegrenzung<br />
geht die Beseitigung des<br />
Angriffs einher. Vorhandene Schaddateien<br />
werden von den infizierten<br />
Geräten entfernt, diese Systeme mit<br />
weiteren Sicherheitsmaßnahmen<br />
gehärtet, Updates eingespielt und<br />
vorhandene Sicherheitslücken geschlossen.<br />
➤ Wiederherstellung: In dieser Phase<br />
werden die Systeme wiederhergestellt,<br />
nachdem diese beispielsweise<br />
von der Infrastruktur getrennt<br />
wurden. Backups werden wieder<br />
eingespielt.<br />
➤ Lessons Learned: Nach dem Angriff<br />
ist vor dem Angriff. Nach einem<br />
Vorfall werden alle unternommenen<br />
Schritte durchgegangen und rückblickend<br />
analysiert.<br />
Kai Schuricht<br />
Quellen:<br />
[1] https://kas.pr/ir-report_de<br />
[2] https://www.bitkom.org/Presse/Presseinformation/<br />
Wirtschaftsschutz-2022<br />
[3] https://www.kaspersky.de/enterprise-security/<br />
incident-response<br />
[4] https://www.kaspersky.de/enterprise-security/<br />
cyber-security-training<br />
zur vorbeugung von cybersicherheitsvorfällen haben wir<br />
folgende maßnahmen im unternehmen implementiert (auszug):<br />
Datensicherung<br />
mit regelmäßigen<br />
Back-ups<br />
Regelmäßige<br />
Mitarbeiterschulungen<br />
zu Cybersicherheitsthemen<br />
www.it-daily.net | <strong>November</strong>/<strong>Dezember</strong> <strong>2023</strong>