Incident Handling and Response

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Bei einem konkreten Verdacht auf einen Sicherheitsvorfall muss schnell und richtig gehandelt werden. Jetzt müssen in Abhängigkeit vom Verdacht und von der Art und Kritikalität des betroffenen Systems Sofortmaßnahmen durchgeführt werden. Darüber hinaus muss der Vorfall an ein Incident Handling Team eskaliert werden. Das Team sollte entsprechend dem Vorfall gegebenenfalls auch Vorgesetzte, Rechtsabteilung, Personalvertretung und Personalabteilung involvieren. Dann gilt es, die Spuren bzw. Daten zu sammeln und zu sichern.

Häufige Fehler

In der Praxis zeigt sich, dass in den meisten Fällen keine ausreichenden Eskalationsprozeduren und Leitfäden für richtiges Handeln bei Sicherheitsvorfällen existieren. Bei dem Verdacht, dass gerade ein Hacker sein Unwesen auf den Firmenservern treibt, werden in Hektik oder sogar Panik oft wichtige Spuren zerstört, und eine Analyse des Tathergangs ist danach oft nicht mehr möglich.

Vorsorge

Um im Fall der Fälle nicht hilflos und mit leeren Händen dazustehen, sollte man sich rechtzeitig über das so genannte „Incident Handling“ im Unternehmen Gedanken machen. Die Zielsetzung liegt dabei in der Definition von Prozessen, die im Ernstfall einzuhalten sind, um eine angemessene Reaktion zu ermöglichen. Dazu müssen unter anderem Zuständigkeiten und Befugnisse sowie Handlungsanweisungen für die korrekte Sammlung und Sicherung relevanter Daten definiert werden. Ebenso müssen vorbereitende Maßnahmen geplant und durchgeführt werden, damit im Ernstfall die benötigten Informationen oder Protokolle überhaupt technisch verfügbar sind.

Dabei sind unterschiedliche Szenarien zu bedenken. Beispiele:

  • Der Einbruch eines Hackers in die Web-Applikation des Unternehmens
  • ein Mitarbeiter, der vertrauliche Daten an ein Konkurrenzunternehmen versendet
  • ein Wurm, der sich im Unternehmen ausbreitet
  • kinderpornographische Bilder auf der Festplatte eines Angestellten.

Konkrete Sofortmaßnahmen

Die konkrete Durchführung von Sofortmaßnahmen des Incident Handlings kann meist nur sinnvoll von den eigenen Mitarbeitern vor Ort durchgeführt werden, da in diesem Fall genaue Kenntnisse der firmeninternen Strukturen sowie ein schnelles Handeln erforderlich sind. Allerdings ist auch externe Unterstützung möglich, wenn im Vorfeld schon klare Absprachen getroffen wurden. Anschließend stehen die Analyse des Tathergangs und die gerichtsfeste Durchführung und Aufbereitung der forensischen Analyse im Vordergrund. Die Auswertung der Daten kann sehr gut von externen Experten übernommen werden. Durch ihre regelmäßige Tätigkeit verfügen sie über ein großes Maß an Erfahrung, um so beispielsweise den Tathergang rekonstruieren zu können und die sogenannte „Nadel im Heuhaufen“ zu finden.

Siehe auch



Diese Seite wurde zuletzt am 18. Oktober 2019 um 14:36 Uhr von Daniela Strobel geändert.