Für den Ernstfall vorbereitet sein – genau das bezeichnet das Schlagwort „Incident Readiness“. Dabei soll ein Unternehmen bereits im Vorfeld proaktive Maßnahmen getroffen haben, die die Auswirkungen eines IT-Sicherheitsvorfalls minimieren.
„Wenn Du Dich und den Feind kennst, brauchst Du den Ausgang von hundert Schlachten nicht zu fürchten“, so heißt es in dem Werk „Die Kunst des Krieges“, welches eine der Kernbotschaften des chinesischen Generals Sun Tzu (545 v. Chr. – 470 v. Chr.) lehrt. Eine Analogie zur Abwehr von Cyberangriffen auf das eigene Unternehmen ist dabei schnell hergeleitet, denn auch hier gilt: Wer die eigenen Schwachstellen und die Vorgehensweise der Cyberkriminellen kennt, der braucht den Ausgang von hunderten Angriffen auf das Unternehmensnetzwerk nicht zu fürchten. Genau dieses Konzept greift der Ansatz von Incident Readiness auf, der sich auch über viele Teilbereiche und Ressorts erstreckt: politisch, gesellschaftlich und wirtschaftlich.
Politisch zu mehr Umsicht verordnet
Mittlerweile ist die EU-DSGVO, die Europäische Datenschutzgrundverordnung, bei Unternehmen in aller Munde. Kein Wunder, denn mit ihr greift eine strengere Rechtslage. Die Politik hat also erkannt, dass personenbezogene Daten noch strenger und einheitlich in der EU geschützt werden müssen. Laut den Vorgaben des Art. 33 EU-DSGVO gilt es Datenpannen, bei der personenbezogene Daten betroffen sein könnten, binnen 72 Stunden nach Bekanntwerden der Verletzung der Aufsichtsbehörde zu melden. Um Sicherheitsvorfälle dieser Art zu vermeiden gilt es mit Incident Readiness auf den Ernstfall vorbereitet zu sein und eine Datenschutz-Folgenabschätzung durchzuführen, die laut Art. 35 EU-DSGVO für besonders kritische Datenverarbeitungsverfahren anzuwenden ist. Sie gliedert sich in drei Eskalationsstufen auf:
- Der erste Schritt ist die Überprüfung des Risikos für die Rechte und Freiheiten der Betroffenen.
- Ist ein Risiko vorhanden, so muss im zweiten Schritt eruiert werden, ob die geplanten Sicherheitsvorkehrungen zum Schutz der Daten ausreichen, sodass die EU-DSGVO eingehalten werden kann.
- Wenn dies nicht möglich sein sollte, so muss im letzten und dritten Schritt die Aufsichtsbehörde informiert werden, die eine Empfehlung ausspricht.
Sollte die Behörde Kenntnis über eine Datenpanne und damit einen Verstoß erhalten, muss das Unternehmen laut Art. 83 EU-DSGVO Bußgelder von bis zu 20 Millionen Euro respektive 4 Prozent des weltweiten Firmenjahresumsatzes zahlen. Mit Incident-Readiness-Maßnahmen, die proaktiv getroffen wurden, können die Strafzahlungen verhindert werden.
Tim Berghoff, Security Evangelist der G DATA CyberDefense AG aus Bochum, gibt drei Tipps, was bei einer Incident-Readiness-Checkliste zu beachten ist.
Kunden ein sicheres Gefühl geben
Egal um welches Unternehmen es sich handelt: Sobald private Daten erhoben werden, gibt ein Kunde sensible Daten preis, die es zu schützen gilt. Im gesellschaftlichen Kontext ist es deshalb für eine Einzelperson gut zu wissen, wenn die Daten in sicheren Händen sind und ein Unternehmen alles dafür unternimmt diese zu schützen und Schäden entweder möglichst gering zu halten oder vollständig zu verhindern. Transparenz gegenüber den Verbrauchern ist deshalb an dieser Stelle das A und O. Die Menschen sollten bereits mit einer Registrierung in Kenntnis gesetzt werden, dass Daten erhoben werden und sie der Anmeldung zustimmen. Weiterhin muss in der Incident-Readiness-Planung berücksichtigt werden, Kunden über einen für sie relevanten Sicherheitsvorfall zu informieren. Hierbei gilt als Minimalprinzip Betroffene darum zu bitten, sämtliche Passwörter zu ändern und sie für den Vorfall zu sensibilisieren respektive aufzuklären, welche personenbezogenen Daten abhandengekommen sein könnten. Eine Checkliste kann hier hilfreich sein, welche Sofortmaßnahmen in die Wege geleitet werden müssen.
Aus wirtschaftlicher Sicht vorausschauend denken
IT-Sicherheit für ein Unternehmen zu etablieren kostet nicht nur Geld, sondern auch Zeit. Insbesondere dann, wenn weiche Ziele des Unternehmensnetzwerks ausfindig gemacht werden sollen. Angreifer bedienen sich sehr häufig etablierten Schwachstellen, um Schadcode einzuschleusen. Gut, wenn es IT-Sicherheitsexperten gibt, die ein Unternehmen vor einem IT-Security-Vorfall schützen wollen. Die G DATA Advanced Analytics, die Tochtergesellschaft der G DATA CyberDefense AG mit Sitz in Bochum, ist einer dieser Anbieter, die ein Unternehmen aus IT-Sicht unter die Lupe nehmen. Michael Zimmer, Geschäftsführer der G DATA Advanced Analytics, gibt in einem Interview Einschätzungen zum Thema Incident Readiness für Unternehmen.
Was versteht die G DATA Advanced Analytics unter dem Begriff Incident Readiness?
Incicent Readiness bezeichnet eine vorausschauende Maßnahmenplanung eines Unternehmens für einen bestimmten Vorfall, in unserem Fall für einen IT-Sicherheits-Vorfall. Hierdurch sollen die Auswirkungen und wirtschaftliche Schäden in Form von Betriebsstörungen oder -ausfälle respektive Datenverlust und Datendiebstahl minimiert werden.
Wie sollte unternehmensstrategisch Cybersecurity ausgerichtet sein?
Grundsätzlich steht jede Vorfallsbewältigung im Kontext des Business Continuity Management, kurz BCM. Dazu muss das Unternehmen zunächst einmal in der Lage sein, den Umfang des Vorfalls zu bestimmen und seine Relevanz hinsichtlich straf- und zivilrechtlicher Folgen, beispielsweise im Hinblick auf die europäische Datenschutzgrundverordnung oder der KRITIS-Bestimmungen, des Verstoßes gegen branchenspezifische Compliance-Regeln sowie in Bezug auf den wirtschaftlichen Schaden wie Ertragsausfall abzuschätzen.
Welche Übungen sollten Unternehmen durchführen, um technische und organisatorische Maßnahmen abzuleiten?
Ein Incident Readiness Prozess beginnt in der Regel mit der Aufarbeitung der Ist-Situation. Dazu zählen Fragestellungen wie:
Ist die Dokumentation der IT-Infrastruktur aktuell? Ist sie offline verfügbar? Ist die maximal tolerierbare Ausfallzeit, kurz MTA, für die einzelnen Systeme bekannt? Auf welche Fall-Back-Prozesse kann bei einem Ausfall von Systemen wie E-Mail oder Telefon zurückgegriffen werden? Funktionieren die Benachrichtigungs- und Kommunikationsprozesse und sind sie allen bekannt?
Welche weichen Ziele gibt es in jedem Unternehmen, die noch bevor der Ernstfall eintritt gehärtet respektive genauer betrachtet werden müssen?
Schwachstellen in Bezug auf die IT-Sicherheit sind oftmals die Rechtevergabe, die Passwort-Policy, die Back-up Prozesse, das Patch-Management, Remote-Zugänge von Dienstleistern und Herstellern oder verfehlte Bring Your Own Device Policies. Dennoch sollte jedes Unternehmen seine spezifische IT-Infrastruktur sowie den individuellen Umgang seiner Mitarbeiter damit im Einzelfall prüfen.
Welche Best Practice-Beispiele und Tipps gibt es, um einen IT-Vorfall präventiv und damit gekonnt zu verhindern?
Gänzlich zu verhindern sind IT Sicherheitsvorfälle nicht, jedoch kann deren Eintrittswahrscheinlichkeit ebenso positiv beeinflusst werden wie deren Auswirkungen. Die zu treffenden Maßnahmen leiten sich einerseits aus Fragestellungen ab, andererseits ist für jedes Unternehmen, das eine potentielle Gefährdung erkennt, eine initiales IT Security Assessment durch einen vertrauenswürdigen und kompetenten Berater empfehlenswert.
Wie kann die G DATA Advanced Analytics bei Incident Readiness helfen?
G DATA Advanced Analytics bietet unter anderen „Incident Readiness-Beratung“, „Incident Awareness-Schulungen“ sowie „Security Awareness-Training“ an. Kern unserer produktunabhängigen Beratungsleistungen sind jedoch IT Security Assessments, bei denen wir nach Kundenwunsch einzelne Systeme oder die gesamte IT Infrastruktur auf ihre Sicherheit hin untersuchen. Ergänzend dazu bieten wir individualisierte Penetrationstests an, auf Wunsch mit Social Engineering Attacken oder physisches Eindringen ins Zielunternehmen. Ebenso unterstützen wir bei der Vorfallsbewältigung beziehungsweise der forensischen Aufarbeitung.
Über G DATA Advanced Analytics
Die G DATA Advanced Analytics GmbH ist eine vollständige Tochter der G DATA CyberDefense AG und bedient die diversen und oft sehr individuellen Bedürfnisse von Unternehmen und öffentlichen Einrichtungen in den Feldern Malwareanalyse, Incident Response und IT Infrastruktursicherheit, und liefert kundenspezifische Sicherheitslösungen. Wir kombinieren dabei erfolgreich die Flexibilität eines jungen Unternehmens mit der Schlagkraft unserer Muttergesellschaft, der G DATA CyberDefense AG, aus über 30 Jahren Erfahrung am Markt. Insbesondere bei der Abwehr und Bewältigung von Cyberangriffen gegen den Gesundheitssektor hat sich die G DATA Advanced Analytics seit Gründung des Unternehmens einen Namen gemacht. Hochqualifizierte Experten für Schadsoftware und IT-Infrastruktursicherheit in Verbindung mit einem schlagkräftigen Entwicklerteam ermöglichen es G DATA Advanced Analytics nicht nur hochspezialisierte Dienstleistungen zu erbringen, sondern auch kundenspezifische Sicherheitslösungen effektiv und zeitnah umzusetzen.
