10 Minuten Lesezeit 24 August 2018
cyber attack

Mit Simulationen auf Cyberangriffe vorbereiten

Von

Paul van Kessel

EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

10 Minuten Lesezeit 24 August 2018

Weitere Materialien

In einer zunehmend vernetzten Welt sind Übungen zum Umgang mit Cyberangriffen ein zentraler Teil des Risikomanagements.

In einer digitalisierten Welt vernetzen sich Menschen, technologische Geräte und Organisationen immer stärker. Unternehmen wie Privatpersonen sind dadurch völlig neuen Cyberrisiken ausgesetzt. Wir verlassen uns inzwischen in allen Lebensbereichen fast gänzlich auf technische Lösungen. Dadurch verschwimmt auch die Grenze zwischen privater und geschäftlicher Nutzung. Wir alle sind Teil einer allumfassenden Cloud – ob wir wollen oder nicht.

Unternehmen digitalisieren ihre Strategien, um wettbewerbsfähig zu bleiben. Das Internet der Dinge (IoT) verbindet Autos, Medizingeräte, ja ganze Infrastrukturen und Städte (Smart Citys) miteinander.

Dies bringt völlig neue Chancen wie Risiken mit sich. Es vergeht kaum ein Tag ohne Schlagzeilen über Cyberangriffe. Unternehmen schaffen es oft nicht, angemessen zu reagieren, die Situation gerät außer Kontrolle. Dadurch können unabsehbare Folgeschäden entstehen: größer noch als der unmittelbare Schaden durch den Angriff selbst. Die Auswirkungen der Cyberkriminalität sind tiefgreifender denn je. Deshalb ist Cybersecurity inzwischen eines der am intensivsten diskutierten Themen der Wirtschaftswelt. Institutionen, Märkte, Regulierungsbehörden und die Öffentlichkeit stellen in diesem Zusammenhang hohe Erwartungen an Unternehmen. Organisationen wie Kunden sollen unter allen Umständen geschützt werden. Es geht dabei nicht darum, ob oder wann Ihr Unternehmen angegriffen wird, denn dies könnte bereits geschehen sein.

Die Frage ist vielmehr: Sind Sie sich der Gefahr bewusst, und sind Sie vorbereitet, angemessen darauf zu reagieren?

Wer einen Reaktionsplan für Cyberangriffe aufstellt, sollte diesen regelmäßig auf Herz und Nieren prüfen.

Die eigene Denkweise ändern

Der erste Schritt besteht darin, die Situation realistisch einzuschätzen:

  • Es gibt lediglich zwei Arten von Unternehmen: diejenigen, die gehackt wurden, und diejenigen, die gehackt werden.
  • Unternehmen, die nicht bemerken, dass sie angegriffen wurden, und nicht koordiniert darauf reagieren, stehen vor einer echten Herausforderung.

Viele Unternehmen bereiten sich nicht ausreichend auf Cyberangriffe vor. Im Ernstfall unter Zeitdruck die richtigen Entscheidungen zu treffen, will geübt sein.

Wer nicht professionell vorbereitet ist, wird einen Angriff kaum unter Kontrolle bringen und die Auswirkungen deutlich stärker zu spüren bekommen. Ein Reaktionsplan für Cybersecurity-Vorfälle ist ein erster Schritt in die richtige Richtung. Er muss den Umgang mit einem Angriff festlegen. Die grundlegende Abfolge besteht dabei aus den folgenden Schritten: erkennen, eindämmen, beheben und schließlich nachverfolgen.

Den gesamten Prozess nachhaltig einzuüben, ist dabei von größter Bedeutung und der Schlüssel eines jeden Resilienzprogramms. Um diese Kompetenz zu erlangen, sind Trainings anhand simulierter Vorfälle bestens geeignet. Alle Aspekte einer Reaktion auf Cybersecurity-Vorfälle zu testen, kann komplex sein. Denn die unterschiedlichen Aktivitäten, die für eine wirksame Reaktion erforderlich sind, müssen im richtigen Maß zum Einsatz kommen. Wie ein Incident-Response-Team (Notfall-Team) im Unternehmen aufgestellt wird, ist von Fall zu Fall verschieden. Kleinere Unternehmen sind mit einem zentralen Team bereits gut aufgestellt, andere benötigen mehrere Teams mit unterschiedlichen Aufgaben, von der technischen Erkennung und Reaktion über das Management des Reaktions-Prozesses bis hin zur Entscheidungsfindung und Umsetzung.

(Chapter breaker)
1

Kapitel 1

Fest steht: Es ist wichtig, die Reaktion auf einen Cybersecurity-Vorfall zu planen, bevor er eintritt.

Eine wirksame Reaktion beinhaltet alle Aspekte eines Unternehmens.

Cyberrisiken unterscheiden sich von traditionellen IT-Risiken und stellen Unternehmen vor besondere Herausforderungen:

  • So reagieren Sie angemessen und abteilungsübergreifend auf Cyberrisiken
  • Cyberrisiken unterscheiden sich von traditionellen IT-Risiken und stellen Unternehmen vor besondere Herausforderungen:
  • Cyberangriffe geschehen extrem schnell, sind unstrukturiert und vielfältig – das Krisenmanagement für derartige Fälle ist sehr anspruchsvoll.
  • Motivierte Hacker starten keine einmaligen Angriffe, sondern dauerhafte und dynamische Aktionen, wobei Umfang und Komplexität der Bedrohungen wachsen. Die Auswirkungen hinsichtlich Kosten und Imageschaden können gravierend sein.
  • Jedes Unternehmen verfügt über zahlreiche mögliche Eintrittspunkte (zum Beispiel eigene Mitarbeiter und eingebundene Dritte). Ein traditionelles Geschäftskontinuitäts-Management (BCM) konzentriert sich üblicherweise auf Systeme und Daten. Das ist mitunter nutzlos, wenn Datenintegritäts-Probleme automatisch über Notfall-Wiederherstellungssysteme (Disaster Recovery Systems) hinweg nachgebildet werden.
  • Angesichts konkurrierender Prioritäten ist es oft schwierig, auf dem Laufenden zu bleiben, was die Reaktionsfähigkeiten von Personen, Prozessen und Technologien oder Technik-, Projektmanagement- und Umsetzungsteams angeht
  • Wenn die Risiken im Unternehmen nicht bekannt sind, kann es schwierig sein, die Unterstützung von Führungskräften zu gewinnen oder sie in die Planung und Übung von Reaktionen einzubinden.
  • Fehlende Kompetenzen für eine angemessene Reaktion auf eine steigende Anzahl komplexer Angriffe setzt Unternehmen einem großen Gefahrenpotenzial aus.
  • Unternehmen erfahren von einer Cybersecurity-Verletzung häufig erst von externen Parteien, zum Beispiel durch Behörden oder einen Kunden, und haben dann Probleme, die Situation zu beherrschen.
  • Wenn die Information über eine Sicherheitsverletzung sich bereits viral verbreitet hat und von Kunden in den sozialen Medien und auf anderen Kanälen außerhalb Ihres Einflussbereichs diskutiert wird, ist der richtige Umgang mit den jeweiligen Medienkanälen gefragt.
  • Kunden, Regulierungsbehörden, Investoren sowie interessierten Dritten muss zugesichert werden können, dass die Sicherheit wiederhergestellt ist.
  • Gerade gegenüber Regulierungsbehörden ist es ratsam, sich kooperativ zu zeigen und proaktiv die eigene Cyber-Reaktionskompetenz zu demonstrieren (z. B. durch Minimieren der finanziellen Auswirkungen und Sicherstellen des Kundendatenschutzes).

Wirksame Reaktion

Kein Angriff gleicht einem anderen. So wie kein Unternehmen dem anderen gleicht. Der typische Reaktionsplan, der führenden Methoden zugrunde liegt, ist hier dargestellt. Um jedoch die volle Wirkung zu erzielen, muss ein Unternehmen ihn an seine individuellen Gegebenheiten anpassen.

Unternehmensspezifische Aspekte sind dabei: unternehmenskritische Vermögenswerte, Art und Form möglicher Bedrohungen, Identifizierungs- und Erkennungsprozesse, Kriterien der Entscheidungsfindung, Berichtslinien, Teammitglieder sowie die jeweils zugrundliegenden Technologien. Die jeweilige Zusammenarbeit mit Dritten (sowohl mit denjenigen, die in das reguläre Geschäft involviert sind, als auch mit denjenigen, die im Fall einer Sicherheitsverletzung kontaktiert werden, wie Vollzugsbehörden und Anwälte) ist dabei besonders relevant.

Ein Reaktionsplan, der sich nur auf die IT konzentriert und nur von der IT-Abteilung umgesetzt wird, ist zum Scheitern verurteilt. Für eine wirkungsvolle Reaktion müssen alle Bereiche des Unternehmens eingebunden werden, vom CEO über die Personalabteilung, die Beratungsfunktionen, die Öffentlichkeitsarbeit bis hin zur IT selbst.

Fortschrittliche Unternehmen nutzen die Simulation von Cyberbedrohungen nicht nur, um die größten Gefahren zu identifizieren, sondern auch um Reaktionen und Gegenmaßnahmen (Playbooks) vorzubereiten.

Jeder Vorfall ist anders der Reaktionsplan hingegen folgt stets einem bestimmten Ablauf. Er beginnt mit einer detaillierten Planung und Vorbereitung, wozu auch Tests in Form von Simulationsübungen gehören. Ist ein Vorfall identifiziert, wird er eingeordnet, sodass erste Schritte folgen können, um die Auswirkungen einzudämmen. Es folgt eine Analyse der Problemursache und, sobald möglich, werden Maßnahmen eingeleitet, um das Problem zu beseitigen und das Unternehmen wieder in einen stabilen Zustand zu versetzen. Die Nachbereitung ist dabei ein wesentlicher Aspekt, der oft vernachlässigt wird. Sie dient dazu, aus begangenen Fehlern zu lernen und langfristige Verbesserungen zu ermöglichen, sowohl hinsichtlich des Reaktionsplans als auch der Fähigkeit, künftige Bedrohungen abzuschätzen, abzuwehren und ihnen entgegenzuwirken.

Schnell auf Cyberangriffe reagieren zu können, minimiert die Wahrscheinlichkeit langfristiger materieller Auswirkungen. Unternehmen, die ihre Reaktionsfähigkeit optimieren, integrieren und automatisieren, können schneller reagieren, wenn es um das nicht-routinierte Krisenmanagement und die Koordination unternehmensweiter Ressourcen geht.

(Chapter breaker)
2

Kapitel 2

Drei Arten von Simulationsübungen

Vorstand und Führungskräfte können sich durch Übungen auf einen schwerwiegenden Cybersecurity-Vorfall vorbereiten. Dabei sind drei Typen von Simulationsübungen zu unterscheiden.

Typ 1: Simulationsübung für die Geschäftsleitung

  • Ansatz: Diese interaktive und immersive Übung dauert in der Regel einen halben Tag. Sie konzentriert sich auf die spezifische Entscheidungsfindung in der Führungsetage und wesentliche Kommunikationsstrategien, um auf Krisen adäquat reagieren zu können. In einer sicheren Umgebung können die Teilnehmer erleben, wie es ist, auf einen komplexen Cyberangriff reagieren zu müssen. Sie schulen dabei ihr Bewusstsein und schätzen ein, wie gut sie auf einen Cybersecurity-Vorfall vorbereitet sind. Die Teilnehmer diskutieren dabei die Maßnahmen, die sie ergreifen würden, ohne diese konkret anzuwenden.
  • In diesem sehr flexiblen Training erhalten die Teilnehmer eine Reihe von Ausgangsinformationen zur fiktiven Sicherheitsverletzung. Vorbereitend wurden auf Grundlage aktueller Bedrohungsanalysen bereits unternehmensspezifische Szenarien entwickelt. Während der Übung entwickelt sich die Situation weiter, je nachdem, welche Maßnahmen die Teilnehmer ergreifen und wie traditionelle und soziale Medien reagieren.
  • Optionen: Um die Übung an die jeweiligen Ziele des Unternehmens anzupassen, können zahlreiche Optionen ausgewählt und kombiniert werden. Die Übung kann auch als formaler Test gestaltet werden. Dabei werden vordefinierte Szenarien ausgewählt und zur angeleiteten Diskussion und Reflexion angeregt. Die Übung kann außerdem in Form eines dynamischen Spiels ablaufen, wobei Elemente wie Aktionskarten, kundenspezifische Anwendungen (wie Live-Media-Feeds) und Schauspieler zum Einsatz kommen, die in Echtzeit ein Feedback der Medien und Interessenvertreter liefern.
  • Hauptziele: Diese Übung ist besonders effektiv, um auf Führungsebene das Thema Cyberrisiken in den Fokus zu rücken. Die Teilnehmer lernen, wie sie bewerten, entscheiden, zusammenarbeiten und kommunizieren müssen, wenn es zu einem Vorfall kommt. Die Übung kann darauf ausgerichtet werden, das Bewusstsein zu stärken, oder eher formale Ziele umfassen, etwa Regulierungsbehörden die eigene Widerstandsfähigkeit zu demonstrieren. Dabei kann zum Beispiel getestet werden, wie die Geschäftsleitung während einer Krise Entscheidungen trifft oder wie die Vorfallkoordination im Top-Management abläuft.
  • Zielgruppe: Führungskräfte (CEO, COO, CRO, CFO, CTO, CIO, CISO), Vorstandsmitgliede, allgemeine Berater, Kommunikationsabteilung, Personalabteilung, weitere Geschäftsbereiche wie Cyber-Threat-Intelligence, Geschäftskontinuitäts-Management, Incident-Coordinator (jedoch nicht das gesamte Incident-Coordination-Team).

Typ 2: Simulationsübung für das Incident-Coordination-Team

  • Ansatz: Diese Übung dauert üblicherweise einen halben Tag und konzentriert sich auf den Incident-Coordinator und sein Team. Die Teilnehmer diskutieren, welche Maßnahmen sie ergreifen und wie diese umgesetzt werden sollen. Dabei ist die Übung an das Unternehmen und seinen Incident-Management-Plan angepasst. Üblicherweise werden die Teilnehmer mit einer Reihe realitätsnaher Situationen konfrontiert, die sie dazu zwingen, ihre Reaktionen auf strategischer und taktischer Ebene zu koordinieren.
  • Optionen: In diese Übung kann man technische Elemente auf Desktopbasis einbinden. Auch Spielelemente können hinzugefügt werden.
  • Hauptziele: Es wird getestet, wie das Incident-Coordination-Team mit einem Vorfall umgeht, bis dieser behoben ist. Dabei wird auch die Interaktion auf Führungsebene betrachtet.
  • Zielgruppe: CTO, CIO, CISO, Incident-Coordinator, Incident-Response-Lead, Untersuchungsleiter, Cyber-Threat-Intelligence, Geschäftskontinuitäts-Management, Technikerebene.

Typ 3: Simulationsübung für das Response-Team

  • Ansatz: Diese praktische Übung dauert zwischen ein bis zwei Tagen und sechs bis acht Wochen. Sie fördert die technischen Fähigkeiten des Unternehmens, komplexe Angriffe zu erkennen und auf sie zu reagieren. Nachdem eine detaillierte Planung erfolgt ist und Einsatzregeln aufgestellt wurden, führt das Rote Team von EY (in der Rolle von Hackern) gezielt Angriffe auf das Unternehmen aus. Die Security-Monitoring- und Response-Teams müssen diese Angriffe erkennen und auf sie reagieren. Teilnehmer setzen die technischen Maßnahmen um, die sie auch im Ernstfall ergreifen würden, um eine Bedrohung abzuwehren. Die Übung umfasst für gewöhnlich eine Reihe von Angriffsversuchen mittels Social Engineering/Eindringen von außen, gefolgt von internen lateralen Aktionen und einer Ausweitung von Zugriffsrechten, um Zugriff auf sensible Informationen/Werte (Trophäen) zu erlangen. Dabei wird stets versucht, unentdeckt zu bleiben.
  • Optionen: Bei dieser dynamischen Übung verfolgen wir drei typische Ansätze:
  1. Simulation unter Einsatz von Technologie: Es wird im Voraus ein Szenario festgelegt, bei dem mithilfe bereitgestellter interner und externer Systeme Skripts ausgeführt und Angriffsszenarios nachgebildet werden.
  2. Übung im Lila Team: Das Rote Team (EY) und das Blaue Team (Kunde) entwickeln gemeinsam vordefinierte Szenarien und führen sie aus. Das ermöglicht die Zusammenarbeit in Echtzeit und fördert die Kommunikation und Koordination.
  3. Kriegsspiel in Echtzeit: Das Rote Team (EY) entwickelt vordefinierte Szenarien und führt diese aus, ohne dabei mit dem Kunden zusammenzuarbeiten (grundlegende Einsatzregeln und Zieltrophäen werden vereinbart). So kann das Blaue Team des Kunden in Echtzeit reagieren – immer unter den wachsamen Augen von EY.
  • Hauptziele: Es werden die Fähigkeiten des Security Operations Centers (SOC) hinsichtlich Security-Monitoring und Incident-Response getestet.
  • Zielgruppe: CISO, Incident-Coordinator, Incident-Response-Lead, Untersuchungsleitung, Techniker, Cyber-Threat-Intelligence und Security-Operations (die Übung kann je nach Zielen auch auf das ganze Incident-Coordination-Team ausgeweitet werden).

Fazit

Regulierungsbehörden weltweit weisen darauf hin, dass ein grundlegendes Risikomanagement unbedingt notwendig ist, um Cyberangriffe abzuwehren. Dafür sollte man frühzeitig die Cyber-Widerstandskraft eines Unternehmens anhand von Krisenmanagement-Übungen testen. Das bedeutet, dass Vorstand und Geschäftsleitung vorbereitet und geübt sein müssen, was die Reaktion aus Cybersecurity-Vorfällen und deren Auswirkungen betrifft. Simulationsübungen wappnen für den Ernstfall.

Über diesen Artikel

Von

Paul van Kessel

EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.