Mit Testszenarien die Cybersicherheit verbessern – Permanent abwehrbereit

»Incident Preparedness and Response«-Report von Verizon zeigt, wie sich Unternehmen auf einen Cyberangriff vorbereiten.

Unternehmen sind sich mehr denn je bewusst, wie stark sich Cyberkriminalität auf ihre Reputation auswirken kann. Jährlich erscheinende Berichte wie der Verizon Data Breach Investigations Report [1] und der Verizon Insider Threat Report [2] greifen diese Entwicklung auf und weisen auf Cyberbedrohungen hin, die jede Organisation auf dem Radar haben sollte. Zwar sind zum Verständnis der Gefahren grundlegende Kenntnisse zu Cyberbedrohungen notwendig, doch erfordert die Vorbereitung auf einen Sicherheitsvorfall einen viel breiter angelegten Ansatz.

Anzeige

Mit dem Verizon Incident Preparedness and Response (VIPR)-Report [3] erhalten Unternehmen eine strategische Anleitung, wie sie sich auf Cybervorfälle mit einem Incident-Response-Plan (IR-Plan) vorbereiten können. Der Report basiert auf der Bewertung von IR-Plänen und Simulationen von Datenschutzverletzungen, die Verizon für Kunden in den Jahren 2016 bis 2018 durchgeführt hat.

»Viele Firmen sind der Meinung, dass sie schon ausreichend gegen einen Cyberangriff geschützt sind, wenn sie einen IR-Plan vorbereitet haben. Nur zu oft werden diese Pläne dann jahrelang nicht mehr angefasst, aktualisiert oder durchgespielt und sind damit bei einem tatsächlichen Cybervorfall nicht einsatzbereit«, erläutert Bryan Sartin, Executive Director, Verizon Global Security Services. »Ein veralteter Plan ist genauso schlimm wie überhaupt keinen Plan zu haben. IR-Pläne sollten als lebende Dokumente gesehen werden, damit sie auch tatsächlich effektiv sind. Sie müssen daher regelmäßig aktualisiert und die Szenarien trainiert werden«.

Anzeige

Der vollständige Verizon Incident Preparedness Response Report sowie die Breach Simulation Kits stehen auf der Ressourcenseite des VIPR Report zum Download bereit.

John Grim vom Verizon Threat Research Advisory Center (VTRAC) und Mitglied des Investigative Response Team fügt hinzu: »IR-Pläne lassen sich auf dem neuesten Stand halten, indem man Stakeholder-Feedback, Erkenntnisse aus Simulationstests sowie Erkenntnisse über die neuesten Cybertaktiken einbezieht. Dadurch ist es möglich, den Plan permanent zu erneuern, sodass dieser die sich ständig verändernde Sicherheitslandschaft widerspiegelt.«

Sechs typische Phasen für ein Incident Response. Jeder IR-Plan sollte sechs Phasen umfassen, in denen wichtige Maßnahmen von der Vorbereitung bis zur kontinuierlichen Anpassung des Plans an die Bedrohungslage beschrieben sind. Der erste Schritt ist die Planung und Vorbereitung. Hier geht es um die Definition des IR-Plans unter Einbeziehung wichtiger interner Interessengruppen und Dritter, um im Notfall eine effektive Reaktion starten zu können. Die zweite Phase umfasst das Erkennen und Validieren, bei dem Unternehmen die erkannten Sicherheitsvorfälle nach Schweregrad und Quelle klassifizieren. Im dritten Schritt erfolgt die Eindämmung und Eliminierung, bei dem das Security-Team sich darauf konzentriert, bestehende Bedrohungen der Cybersicherheit zu eliminieren. Sammeln und Analysieren ist die vierte Phase: Hier sollten Organisationen Beweismaterial sichern, um Einblicke in die Cybersicherheitsvorfälle zu erhalten. Diese Informationen helfen bei der effektiven Eindämmung, Eliminierung und Behebung von Datenverletzungen. Im fünften Schritt geht es um die Reparatur und Wiederherstellung. Die hier beschriebenen Maßnahmen sollen dabei helfen, den laufenden Betrieb wieder aufzunehmen, und dazu beitragen, zukünftige Vorfälle zu verhindern oder abzumildern. Die sechste Phase enthält die Maßnahmen Bewertung und Anpassung. Die gemachten Erfahrungen werden gesammelt und in den IR-Plan integriert. So können Unternehmen ihre Metriken, Kontrollmechanismen und Vorgehensweisen zur Cybersicherheit laufend optimieren.

Anzeige

Eigene Übungsszenarien entwerfen. Der VIPR-Bericht enthält zudem fünf »Breach Simulation Kits«. Diese setzen sich aus realen Szenarien zusammen und stellen Unternehmen Inhalte zur Verfügung, anhand dessen sie ihre eigenen simulierten Übungen durchführen können. So lässt sich der jeweilige IR-Plan mit den jeweiligen Zielgruppen üben und perfektionieren. Zu diesen Szenarien gehören Insider-Bedrohungen wie bösartiges Cryptomining, ein Malware-Ausbruch, Cyberspionage sowie ein Cloud-basierter Cyberangriff.


Arno Edelmann,
Security Solutions für die DACH Region,
Verizon

 

 

 

[1] https://enterprise.verizon.com/resources/reports/dbir/
[2] https://enterprise.verizon.com/resources/reports/insider-threat-report.pdf
[3] Der vollständige Verizon Incident Preparedness Response Report sowie die Breach Simulation Kits stehen auf der Ressourcenseite des VIPR Report zum Download bereit: https://enterprise.verizon.com/resources/reports/vipr/

 

Illustration: © aRalia /shutterstock.com

In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Insider-Bedrohungen und wie Unternehmen sich davor besser schützen können

Immer noch befindet sich eine der größten Sicherheitsbedrohungen, denen Unternehmen derzeit ausgesetzt sind, bereits im eigenen Netzwerk. Insider-Bedrohungen sind nach wie vor schwer zu erkennen, traditionelle Sicherheitstechniken verfangen hier nicht. Jedes Unternehmen, dem der Schutz seiner Marke und seiner Reputation am Herzen liegen, sollte die von Insidern ausgehenden Gefahren nicht unterschätzen. Unabhängig davon, ob es…

Supply-Chain-Angriffe häufen sich, werden aber noch unterschätzt

Schadcode macht aus legitimen Apps gefährliche Verteiler von Malware. Ein neuer Trend ist für Unternehmen äußerst gefährlich: Hacker infizieren schädlichen Code in Software, um eigentlich legitime Apps zur Verteilung von Malware zu nutzen. Einmal ins System eingedrungen, lässt sich das Ausmaß des entstandenen Schadens oft erst im Nachhinein bewerten. »Diese neue Art der Bedrohung heißt…

Beschleunigt Chinas Aufstieg den sogenannten »Westlessness«-Trend?

China und die geopolitischen Veränderungen, die der rasante Aufstieg Chinas als internationaler Sicherheitsakteur nach sich ziehen, sind dieses Jahr prominent auf der Münchner Sicherheitskonferenz (MSC) vertreten.     Ein Interview mit Helena Legarda, wissenschaftliche Mitarbeiterin am Mercator Institute for China Studies (MERICS) in Berlin.   China ist Gegenstand zahlreicher Side Events auf der Münchner Sicherheitskonferenz…

Stellungnahme zur Berichterstattung des Wall Street Journal zu »Hintertüren« in Huawei-Produkten

Wie die Snowden-Leaks bewiesen haben, haben die Vereinigten Staaten weltweit verdeckt auf Telekommunikationsnetze zugegriffen und andere Länder seit geraumer Zeit ausspioniert. Der Bericht der Washington Post von dieser Woche darüber, wie die CIA jahrzehntelang ein Verschlüsselungsunternehmen zur Bespitzelung anderer Länder eingesetzt hat, ist ein weiterer Beweis dafür.   Die Behauptungen der USA, Huawei habe technische…

Die Psychologie der Malware: Menschliche Schwächen gezielt ausnutzen

Psychologie ist zweifellos untrennbar mit dem Thema Computing verbunden, ob es nun um das Design künstlicher Intelligenz geht oder darum, die Interaktion zwischen Mensch und Computer besser zu verstehen. Ein Faktor, der die Entscheidungen der Entwickler beeinflusst und der im besten Falle zusätzlich dazu beiträgt, die User Experience zu verbessern. Leider sind sich auch Malware-Entwickler…

Cloud-native Sicherheitsplattformen – Neues Zeitalter in der Cybersicherheit

Herkömmliche Sicherheitstools und -methoden erweisen sich zunehmend als ungeeignet, um die entwicklergetriebenen und infrastrukturunabhängigen Multi-Cloud-Modelle der Cloud-Native-Ära zu schützen. Palo Alto Networks sieht darin den Beginn eines neuen Zeitalters in der Cybersicherheit, das dominiert wird vom Konzept einer Cloud Native Security Platform (CNSP) – einer Sicherheitsplattform, bei der Cloud-native Technologien im Mittelpunkt stehen.   Bei…

Fünf Regeln zur Bewältigung einer Cybersicherheitskrise: Vorstände und Verantwortliche unter Druck

Das aktuelle Allianz Risk Barometer 2020 – als weltweit größte Risikostudie – hat kritische Geschäftsunterbrechungen, die durch Cybersicherheitsverletzungen verursacht werden, als das größte Risiko für Unternehmen erkannt [1]. »Wann man von einer Cybersicherheitskrise betroffen sein wird, lässt sich nie vorhersagen. Unternehmen können aber Zeit gewinnen, indem sie einen gut einstudierten und effektiven Cyber-Resiliency-Plan aufstellen, der…

Mobile Malware: Vom Konsumentenschreck zur veritablen Unternehmensbedrohung

Laut Verizon Mobile Security Index für 2019 räumen 33 Prozent der befragten Unternehmen ein, dass sie bereits von einer Datenschutzverletzung betroffen waren, bei der ein mobiles Endgerät beteiligt war. Das ist ein Anstieg um 27 % gegenüber 2018. Die Ergebnisse machen deutlich, dass es ganz offensichtlich an der Zeit ist, Mobilgeräte besser zu sichern. Allerdings…

Wunsch und Wirklichkeit bei Führungskräften

Was Fachkräften hierzulande bei ihren Vorgesetzten wichtig ist, ist leider nicht immer das, was sie in der Realität bekommen – so lässt sich das Ergebnis einer Studie der Onlineplattform meinestadt.de zusammenfassen. Befragt wurden gut 2.000 Fachkräfte mit Berufsausbildung. Akademikerinnen und Akademiker zählen nicht dazu. Rund jede oder jeder Zweite stellt seiner Führungskraft zwar ein gutes…

Cyberresilienz: Ein Synonym für Cybersicherheit?

Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberattacken lautet die Frage nicht mehr, ob ein Unternehmen attackiert wird, sondern wann – und ob die angegriffene Organisation in der Lage sein wird, ihre Aktivitäten unbeschadet fortzusetzen. Genau das bezeichnet die Cyberresilienz. Von Stormshield gibt es vier gute Vorsätze zu deren Gewährleistung.  …

Conversation Hijacking: Best Practices zum Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende Geschäftskonversationen ein oder initiieren neue Konversationen auf Grundlage von ausgespähten Informationen. Conversation Hijacking ist häufig Teil einer E-Mail-Kontenübernahme: Hierbei überwachen Kriminelle das kompromittierte Konto, um Unternehmensvorgänge, Geschäftsaktivitäten, Zahlungsverfahren und andere Details auszuspionieren. Die gekaperten Konten selbst nutzen Angreifer jedoch eher selten für Conversation Hijacking, da der Kontobesitzer…

Die fünf Cyber-Security-Trends 2020

Im Cyber-Security-Jahr 2019 standen die Zunahme von politisch motivierten Cyber-Threats, aber auch Angriffe auf Smart-Home-Geräte oder das einjährige Bestehen der DSGVO im Fokus. Welche Trends setzen sich im Jahr 2020 fort? Welche neuen Entwicklungen werden erwartet? Stefan Wehrhahn vom IT-Security-Anbieter BullGuard beleuchtet fünf Trends für das Jahr 2020:   5G und Cybersicherheit 5G wird die…