Damit es nicht zu spät ist, wenn es zu spät ist

Wie Sie ein Notfalleingreifteam für Datensicherheitsvorfälle aufbauen

Die Einrichtung eines Emergency-Response-Teams (ERT) ist von entscheidender Bedeutung, bevor ein Cybersicherheitsereignis eintritt – wer zu diesem Team gehören sollte und welche Technologie Unternehmen benötigen, erfahren Sie in diesem Artikel.

Vor einem Sicherheitsvorfall ist es wichtig, bereits einen Notfallplan zu haben, der ein Team von Hauptakteuren und die erforderlichen Tools enthält, um Unternehmen schnell wieder online zu bringen, erklärt Pure Storage. Ein wichtiger Teil der Vorbereitung auf ein Sicherheitsereignis besteht darin, dafür zu sorgen, dass Unternehmen über die nötigen Mitarbeiter und die Technologie verfügen, um sich so schnell wie möglich wieder zu erholen. Die Bildung eines Notfallteams ist ein wichtiger Schritt. Es sind klare Handlungsanweisungen, ein nach Prioritäten geordneter Wiederherstellungsplan, ein Plan für die Einbindung externer Unterstützung und eine klare Linie für die Wiederherstellungsausrüstung erforderlich. Dadurch ist die Wahrscheinlichkeit geringer, auf der Stelle zu treten.

Anzeige

Teil 1: Notfallteam für Datenverletzungen

Wer sollte dem ERT angehören? Abhängig vom Unternehmen und seinen besonderen Anforderungen sollte das Notfallteam nach Meinung von Pure Storage einige wichtige Akteure umfassen:

1. Forensische Experten

Nach einem Cybersicherheitsereignis sammeln forensische Experten Beweise von Daten auf Computern und anderen digitalen Speichermedien zur Verwendung bei der Untersuchung. Ihre Fähigkeiten sollten Schwachstellendiagnosen, digitale Forensik, die Fähigkeit zur Analyse von Speicherauszügen und Malware sowie die Fähigkeit zur Verwendung von Analysetools zur Durchführung einer Korrelationsanalyse von Sicherheitsereignissen umfassen.

Sie befolgen detaillierte Verfahren, um die Integrität ihrer Ergebnisse zu wahren und sicherzustellen, dass sie als Beweismittel verwendet werden können, einschließlich:

Anzeige
  • Rekonstruktion der Ereignisse, die zu einem Sicherheitsvorfall oder einer Sicherheitsgefährdung geführt haben, anhand von Sicherheitsprotokolldaten.
  • Wiederherstellen verlorener Daten von physischen und virtuellen Geräten.
  • Sammeln und Analysieren von Beweisen für böswillige Netzwerkaktivitäten.
  • Aufrechterhaltung der Integrität und Sicherstellung einer nachweisbaren Aufbewahrungskette für digitale Beweise.
  • Kontaktaufnahme und Zusammenarbeit mit Strafverfolgungsbehörden.
  • Zeugenaussagen in Gerichtsverfahren.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

2. Rechtsbeistand

Das Fachwissen eines Rechtsberaters im Notfallteam ist bei einem Sicherheitsereignis von unschätzbarem Wert. Die Rechtsabteilung kann dabei helfen zu bestimmen, wie Unternehmen mit minimaler Haftung vorgehen können. Rechtsexperten beraten bei der Offenlegung von Sicherheitsvorfällen und koordinieren die Kommunikation mit den Strafverfolgungsbehörden, Ermittlungsbehörden und Interessengruppen. Sie bereiten zudem die Befragung von Personen vor und kümmern sich um eventuelle Klagen von Aktionären und Mitarbeitern, die aus dem Sicherheitsvorfall resultieren könnten.

Rechtsexperten helfen Unternehmen, die rechtlichen Verpflichtungen, potenziellen Konflikte und Haftungsfragen zu verstehen, und können bei der Ausarbeitung von Richtlinien und Verfahren mitwirken. Diese Rolle kann ein internes Team, ein ausgelagertes Team oder eine Mischform sein. Bei ausgelagerten oder gemischten Teams sollte ein bestimmter Mitarbeiter als Verbindungsperson fungieren.

3. Informationssicherheit (InfoSec)

Das InfoSec-Team koordiniert die Untersuchung, Bewertung, Verfolgung, Lösung und Meldung kritischer Sicherheitsvorfälle. Es bestimmt, ob ein Sicherheitsvorfall gemeldet werden muss, und setzt das Protokoll für Sicherheitsverletzungen um.

Im Allgemeinen ist InfoSec ein Teilbereich der Cybersicherheit, der sich speziell auf Prozesse für die Datensicherheit bezieht. Diese Funktion soll die unbefugte Offenlegung, Unterbrechung, Überprüfung, Aufzeichnung oder Zerstörung von Informationen verhindern. Bei den Informationen kann es sich um physische oder digitale Daten handeln, einschließlich personenbezogener Daten und biometrischer Daten.

4. Informationstechnologie (IT)

Die IT ist sowohl vor als auch nach einem Sicherheitsereignis von entscheidender Bedeutung und wird aktiv in alle Phasen des Notfallplans einbezogen, einschließlich:

  • Vorbereitung: Kartierung von IT-Assets, Daten, Geräten und Benutzern innerhalb des IT-Ökosystems. Dies ermöglicht ein klares Verständnis der IT-Infrastruktur, was sowohl während eines Sicherheitsereignisses als auch davor hilfreich ist, um Sicherheitsschwachstellen für proaktive Maßnahmen aufzuzeigen.
     
  • Identifizierung: Identifiziert und reagiert auf Vorfälle, die über den Helpdesk gemeldet oder mit Hilfe von Sicherheits- und Bedrohungsabwehrtools erkannt werden. Die IT-Abteilung sammelt Informationen anhand von Protokollen und Fehlermeldungen, Systemen zur Erkennung von Eindringlingen und Überwachungstools, um die Art und den Umfang des Vorfalls zu ermitteln.
     
  • Eingrenzung: Führt eine kurz- oder langfristige Eindämmung durch, um den bereits entstandenen Schaden zu minimieren und weiteren Schaden zu verhindern.
     
  • Beseitigung: Beseitigung der Bedrohung und Wiederherstellung des vorherigen Zustands der betroffenen Systeme (oder eines sicheren Arbeitszustands).
     
  • Wiederherstellung: Testet, überwacht und validiert die Systeme während des Wiederherstellungsprozesses, um sicherzustellen, dass sie nicht erneut infiziert oder anderweitig gefährdet werden.
     
  • Post-Mortem: Dokumentiert die Details des Vorfalls und die angewandten Abhilfemethoden für eine spätere Analyse, um künftige Maßnahmen zur Reaktion auf Vorfälle zu verbessern.

Das IT-Fachwissen des Teams sollte insbesondere die Betriebssystemverwaltung, die Wiederherstellung von Systemsoftware, Client-, Web- und Anwendungs-Servern, den Schutz von Datenbanken sowie das Testen von Business Continuity- und Disaster Recovery-Funktionen umfassen.

5. Beziehungen zu Investoren

Wenn ein Unternehmen wichtige Beziehungen zu Partnern und Investoren unterhält, benötigt es eine Incident-Response-Funktion. Ziel ist es, externen Parteien zu vermitteln, wie sich das Ereignis sowohl auf den finanziellen Status des Unternehmens als auch auf ihre Beziehungen zum Unternehmen auswirkt.

Die Investor-Relations-Abteilung (IR-Abteilung) vermittelt wichtige Informationen über Unternehmensangelegenheiten, damit Investoren fundierte Entscheidungen treffen können. Als Teil des Notfallteams gewährleistet diese Funktion, Sicherheitsereignisse genau offenzulegen und auf Bedenken einzugehen. Dies trägt auch dazu bei, die Auswirkungen des Vorfalls auf die Beziehungen zu den Investoren zu minimieren.

6. Medienarbeit und Unternehmenskommunikation

Bei einem Sicherheitsvorfall ist die Kommunikation entscheidend. Unternehmen sollten einen festen Ansprechpartner für die Medien haben, der die Kommunikation mit den Medien, Partnern und den externen Interessengruppen verwaltet. Dies gilt einschließlich der internen Kommunikation im Zusammenhang mit den Maßnahmen zur Reaktion auf den Vorfall. Zu den Aufgaben des Kommunikationsbeauftragten kann es gehören, interne und externe Mitteilungen über den Vorfall zu verfassen und zu versenden. Ebenso geht es darum, kritische Partner, Behörden, externe Techniklieferanten und betroffene Kunden zu kontaktieren und sie über aktuelle Abhilfemaßnahmen zu informieren. Dank einer speziellen Person, die mit den Medien spricht, sind Unternehmen besser in der Lage, während und nach dem Sicherheitsvorfall eine konsistente, genaue Darstellung zu kommunizieren.

7. Incident Manager

Der Incident Manager koordiniert alle Aktionen des ERT und stellt sicher, dass jedes Teammitglied seine Maßnahmen durchführt, um Schäden zu minimieren und die Wiederherstellungszeiten zu verkürzen. Zu den Hauptaufgaben dieser Rolle gehören die Koordinierung der Reaktion auf den Vorfall, die Zusammenfassung der Ergebnisse und der Auswirkungen des Vorfalls, die Weiterleitung von Problemen an die höhere Führungsebene und die Zuweisung von Ad-hoc-Aufgaben, falls erforderlich.

Weitere empfehlenswerte Kontakte:

  • Anbieter von Cyberversicherungen, die den Umfang der Versicherung, ihre spezifischen Deckungen und Einschränkungen sowie die erforderlichen Schritte erläutern können, die unternommen werden müssen, damit die Deckungen greifen.
     
  • Lokale und nationale Strafverfolgungsbehörden, denen mögliche Compliance-Verstöße und potenzielle Strafen gemeldet werden sollten und wo Unternehmen zusätzliche Unterstützung erhalten können.
     
  • Wichtige Partner und Behörden, einschließlich juristischer und technischer Partner, die bei der Wiederherstellung helfen können.

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.