10 Tipps zum erfolgreichen Incident Response

In meinem früheren Beitrag Sporttasche rettet Hochschule vor Ransomware habe ich vorgestellt, wie das Incident-Response-Team von Switch CERT nach einem Cyberangriff Schritt für Schritt vorgeht. Aus meiner langjährigen Erfahrung haben sich diese zehn Top-Tipps bestens bewährt. Denn bei einem solchen Vorfall kann vieles schiefgehen und es handelt sich um einen Ausnahmezustand. Ein wenig Abstand und eine Prise Humor gehören bei der Bewältigung immer dazu und helfen stets, untenstehende Tipps umzusetzen. Los geht’s.

1. Ohne Mampf kein Kampf

Der erste sehr hilfreiche Tipp, der bei grösseren IT-Sicherheitsvorfällen gerne vergessen geht, ist die Verpflegung der Einsatzleute. Alle beteiligten Personen sind Menschen mit Grundbedürfnissen. Diese müssen trotz der zusammenbrechenden Welt abgedeckt werden. Denn hungrige, durstige und gestresste Menschen arbeiten automatisch weniger effizient und verpassen wichtige Zusammenhänge, ohne dies meist zu merken. So ist es völlig legitim, am Sonntagmorgen um zwei Uhr beim Burger King Drive Through 24 Cheeseburger mit der zugehörigen riesigen Portion Pommes zu bestellen. Der sehr überraschten Mine des Verkäufers darf man gerne mit einem Lächeln begegnen.

2. Y’all got any more of that whiteboard

Kritzeln, darstellen und miteinander planen. Auch wenn wir uns im digitalen Zeitalter bewegen, kann ein analoges Whiteboard, eine Wandtafel oder einfach ein grosses Blatt Papier sehr hilfreich im Teamaustausch und in der Strategieplanung sein. Gerade wenn es schnell gehen muss, ist eine schöne PowerPoint-Präsentation das Letzte, womit man seine Gedanken verschwenden sollte. Mal abgesehen davon, dass die Zeit fehlt. «Quick and Dirty» ist das Stichwort.

3. Brace yourself – the phone will ring

Was immer unterschätzt wird, ist das Interesse der eigenen Mitarbeitenden und der Medien an einem IT-Sicherheitsvorfall. Das Thema ist gerade sehr en vogue, und alle wollen wissen, was passiert ist. Die Telefonlinien laufen heiss und die Nachrichten der Bekannten lassen das Handy dauervibrieren. So kann es schon mal vorkommen, dass vermeintliche Mitarbeitende bei der kurzen Pausenzigarette das Gespräch suchen und nachfragen, wie es denn um den Fall stehe. Spätestens wenn diese Person versucht, einem in den Lageraum zu folgen und Fotos zu machen, ist Misstrauen angebracht.

So sollte man auch die Arbeit der ersten Front nicht unterschätzen. Gemeint sind die Fachleute vom Support. Sie sind es nämlich, die alle Fragen der Belegschaft und deren Frustrationen über Behinderungen oder gar den Unterbruch ihrer Arbeit zu hören bekommen. Das kann der Krisenstab mit einer Notfall-Website und einer öffentlichen Kommunikation abfedern. Es empfiehlt sich also, die Fachleute vom Support im Auge zu behalten, weil diese sehr vieles abfangen müssen.

4. Stress, stress everywhere

Menschen gehen mit Druck und Stress unterschiedlich um. So kommt es oft vor, dass bestehende Hierarchien, während eines Incidents auf den Kopf gestellt werden und sich natürliche Hierarchien herausbilden. Was bedeutet das für die Beteiligten? «Embrace the Chaos.» In diesen grossen Stresssituationen werden automatisch Personen hervortreten, die normalerweise eher im Hintergrund tätig sind, jedoch für die Beteiligten eine natürliche Fachautorität haben. Sehr oft handelt es sich dabei nicht um Personen, die im Organigramm ganz oben stehen. Durch das Vertrauen des Teams können diese Personen sich ins Chaos begeben und für Stabilität sorgen. Würde man dieser natürlichen Entwicklung Einhalt gebieten, würde dies den Incident Response Prozess stark behindern. So kann es in einer Krise schon mal vorkommen, dass eine «einfache» Person aus dem Netzwerkteam plötzlich alle involvierten Parteien führt.

5. Nobody cares – get the help you need

Holen Sie sich die Hilfe, die Sie brauchen. Security ist am erfolgreichsten, wenn verschiedene Teams zusammenarbeiten und sich austauschen. Dazu gehören zum Beispiel die Polizei, das NCSC, die Lieferanten oder auch externe Security Partner wie Switch CERT, welche bei der Bewältigung des Incidents helfen können. Hand in Hand bewältigen die verschiedenen Fachpersonen die Krise gemeinsam. Im Alleingang und mit falsch verstandenem Stolz scheint die Bewältigung meist unmöglich und zieht sich unnötig in die Länge - viel hilfreiches Wissen und Information werden vergeudet. Die Digitalisierung hat viel Komfort gebracht, aber auch die Angriffsoberfläche stark vergrössert. Dass Angriffe passieren, ist alter Kaffee. Was nicht vergessen werden sollte: Selbst wenn wir einen Angriff abwenden können, handelt es sich um eine Straftat, die geahndet werden muss. Die Vorstellung, dass unsere digitalen Mittel unser Haus sind, ist noch nicht stark verankert. Wenn jemand ungefragt meinen Zaun einreisst, um zu sehen ob er dem Angriff standhält, melde ich dies auch der Polizei.

6. Minimum Champion!

Wer kennt sie nicht, die 80-zu-20-Regel? Gerne würde man bei einem Sicherheitsvorfall jeder Spur hinterherjagen, um genau sagen können, wie es dazu gekommen ist. Es ist auf jeden Fall wichtig, die Schwachstellen zu identifizieren, bevor man zum Wiederaufbau schreitet. Zu viele Situationen habe ich erlebt, bei denen man sich die Mühe nicht machte, und die zweite Verschlüsselung folgte sogleich. Jedoch brauchen die Datenanalyse und die Korrelierung viel Zeit. Um den genauen Angriffs- bzw. Infektionsweg nachzustellen, fehlen meist Daten, da gewisse Logs nicht aufgezeichnet wurden, kurze Zeitspannen für die Datenspeicherung definiert wurden oder aber neue Systeme noch nicht ins zentrale Logmanagement hinzugefügt wurden. Es braucht eine Balance zwischen der dem Sherlock-Holmes-Modus und der Wiederaufnahme des Betriebs. Weniger Perfektionismus, mehr praktische Relevanz.

7. Ight Imma Head Out – Exercise!

«Papier nimmt alles an.» Ein alter und doch sehr weiser Spruch. Haben Sie ein Incident Response Playbook? Wunderschöne Notfallkonzepte, die auf Papier ausgedruckt irgendwo verstauben, weil niemand weiss, wo sie abgelegt sind oder ob sie überhaupt existieren? Wie können Sie Ihre Teammitglieder kontaktieren, wenn mal nichts im Büro erreichbar ist?

All diese Dinge sind meist nicht einstudiert. Und wenn dann noch der Stress und Druck eines IT-Sicherheitsvorfalls dazukommen, kann es sehr chaotisch werden. Aus diesem Grund gilt: Üben, üben, üben. Die Konzepte und Pläne können noch so gut sein. Wenn sie nie eingeübt wurden, werden sie nicht funktionieren und die Incident Response wird an den kleinsten Hürden scheitern. Machen Sie Tabletop-Übungen mit Ihren Teams. Sprechen Sie durch, was wäre, wenn, und stellen Sie die unbequemen Fragen!

8. No ragrets – creativity

Checklisten sind schön und gut und dienen auch als Orientierungshilfe. Jedoch sollten sie nicht von der besten Lösung zur richtigen Zeit ablenken. In der Lösungsfindung während eines IT-Sicherheitsvorfalls ist Kreativität gefragt, denn kein Incident gleicht dem anderen. Bestehende Prozesse müssen hinterfragt werden, um den besten Weg zu finden. Die Angreifer sind uns immer einen Schritt voraus. Für effektive Lösungen müssen wir ihnen in nichts nachstehen und alle Involvierten müssen befähigt werden, diese unkonventionellen Lösungen zu entwerfen und umzusetzen.

9. Run a marathon they said, It’ll be fun they said

Behalten Sie das Durchhaltevermögen Ihres Teams im Auge. Die Bewältigung eines IT-Sicherheitsvorfalls ist ein Marathon, kein Sprint. Es wird Wochen dauern, um den regulären Betrieb wieder aufzunehmen. Viele Aufräumarbeiten und Anpassungen aus dem Gelernten werden folgen. Gerade in den stressigsten Situationen braucht der Mensch Entspannung, um optimal funktionieren zu können. Auch jene, die unermüdlich arbeiten, ohne eine Pause einlegen zu wollen, müssen mal sanft daran erinnert werden, sich zu erholen. Denn wenn Tage bis Wochen durchgearbeitet wird, steht jeder Mensch kurz vor einem Burnout. Die Incident Response Prozesse sollten jedoch auf lange Sicht umsetzbar sein, damit der Marathon bewältigt werden kann.

10. Are you sure about that?

Den Überblick über die eigene IT-Infrastruktur zu behalten, ist eine grosse Herausforderung. Sie ist meist um so grösser, je grösser und komplexer das Unternehmen ist. Alte Testserver, die vergessen wurden. Admin-Admin Accounts, die nicht gelöscht wurden. Wo gehobelt wird, fallen Späne. Die Sensibilisierung für sicheres Arbeiten auf allen Stufen – von den Endnutzenden bis zu den Verantwortlichen für die Technik – verhindert bereits viele Incidents. Zudem steigt so der Überblick über die eigene Infrastruktur und eine schnellere Bewältigung des Vorfalls. Denn nur mit einer vernünftigen Bestandsaufnahme ist es überhaupt möglich zu verstehen, was passiert ist und wohin die Reise gehen soll.

Use the knowledge of the community

Was sind Ihre Erfahrungen und Tipps für ein erfolgreiches Incident Response? Was sind Ihre schrägsten Erlebnisse, die Sie heute noch zum Lachen bringen? In Anlehnung an Tipp Nr. 5 lassen Sie uns austauschen und voneinander lernen. So werden wir zukünftige Incidents noch besser bestehen.