Für Sie als Unternehmer ist es zunächst wichtig, den Terminus „Incident Response Plan“ (IRP) näher zu verstehen, damit Sie sich für die Notwendigkeit eines IRPs sensibilisieren können. Unter einem Incident Response Plan versteht man in der IT einen Maßnahmenplan, der die Reaktion auf IT-Security-Vorfälle beschreibt. Damit einher geht, welche Schritte von welchem Fachmann gesetzt werden müssen, wenn eine Sicherheitsverletzung in Ihrem Unternehmen auftritt oder eine Sicherheitskrise vorherrscht. So soll ein solider Maßnahmenplan Ihrer IT-Abteilung ermöglichen, in Echtzeit Interaktionen vorzunehmen, Angriffe zeitnah abzuwehren und auftretende Schäden nach Möglichkeiten rasch zu beheben und zu beseitigen.
Im Zeitalter der Digitalisierung sind vermehrt Unternehmen ein willkommenes Einfallstor für Internetkriminelle, Viren, Trojaner, Malware, Spyware und Tracking-Software. Natürlich freuen Sie sich als Unternehmer nicht darüber, sich mit solchen Dingen zu beschäftigen, da diese das Tagesgeschäft ausbremsen und Zeit und Ressourcen kosten. Im Worst Case ist es jedoch gut, vorbereitet zu sein. Ein infiltriertes Netzwerk aufgrund eines Hackerangriffs ist eine ernstzunehmende Situation, in welcher jede Minute zählt. Wenn Sie im Eifer des Gefechts erst alle notwendigen Maßnahmen identifizieren lassen müssen, führt dies zu vehementen Verzögerungen bei der Reaktion auf den Angriff selbst. Als Kollateraleffekte müssen Sie mit Umsatzeinbußen, Erpressungsversuchen, Ausfällen und exorbitanten Wiederherstellungskosten rechnen. Dies sind jedoch nur einige der möglichen Folgen.
Um diese Szenarien zu verhindern und proaktiv auf den Hackerangriff reagieren zu können, ist es ratsam, dass Ihr Incident-Response-Team einen sorgfältigen und aktualisierten Maßnahmenplan in der Hinterhand hat. Dieser Maßnahmenplan sollte, nach Möglichkeiten, für eine große Anzahl möglicher Szenarien erprobt sein. Hierbei ist es fundamental, dass alle Stakeholder mit unterschiedlichen Funktionen miteinbezogen werden. Bei einem Sicherheitsvorfall müssen alle Abteilungen Ihres Unternehmens involviert werden – so auch beispielsweise Ihre Rechts- und Beratungsabteilung oder der Bereich HR.
Wenn man von Incident Response spricht, spricht man immer von „schneller Reaktion“. Im Falle, dass Sie nicht über das erforderliche interne Fachwissen oder eine entsprechend geschulte IT-Security-Abteilung in Ihrem Unternehmen verfügen oder Ihnen Ihr Team die benötigten Informationen nicht schnell genug zur Verfügung stellen kann, wie Sie diese benötigen würden, haben Sie die Möglichkeit, externe Incident-Response-Dienstleistungen in Betracht zu ziehen. Auf diese Weise können Sie wichtige Sicherheitslücken in Ihrer Unternehmens-IT schließen und Ihre Vorfall-Reaktion optimieren. Wenn Sie einen externen Incident-Response-Dienstleister wählen, lassen Sie sich jedoch in alle Übungen miteinbeziehen und entsprechend schulen.
Für einen erfolgreichen Incident Response Plan sollten die folgenden 6 Schritte verbindlich berücksichtigt werden:
In Phase 1 sollten Sie organisatorische, verbindliche Sicherheitsrichtlinien erstellen und kodifizieren. In weiterer Folge führen Sie eine Risikobewertung durch. Dem einher geht auch die Identifizierung sensibler Anlagen und die Aufstellung eines Incident Response Teams aus allen Abteilungen Ihres Unternehmens.
In dieser Phase geht es darum, dass Sie oder Ihre IT-Abteilung sämtliche IT-Systeme auf Abweichung vom Normbetrieb überwacht und prüft, ob tatsächliche Sicherheitsvorfälle vorliegen.
Wenn Sie oder Ihr Team bemerken, dass ein Sicherheitsvorfall zugrunde liegt, kann eine vorläufige Eindämmung eine entsprechende Isolation der angegriffenen Systeme, der Cloud oder des Netzwerkes nach sich ziehen. Wenn dieser Schritt erledigt ist, ist es anzuraten, dass Sie sich auf die langfristige Quarantäne der betroffenen Segmente konzentrieren. Dieser Schritt kann unter Umständen auch temporäre Korrekturmaßnahmen erforderlich machen, um die Produktivität Ihres Betriebs während der nötigen Maßnahmen aufrecht zu erhalten.
In dieser Phase wird sämtliche Schadsoftware aus allen betroffenen Systemen entfernt. Der nächste Schritt sieht die Ermittlung des Angriffsursprungs vor. Ferner werden alle notwendigen Vorkehrungen getroffen, um zukünftig solche oder ähnliche Angriffe abzuwehren.
Alle betroffenen Produktionssysteme können in diesem Schritt wieder vollauf in Betrieb gesetzt werden. Dies jedoch mit einem umfassenden Sicherheitsbewusstsein, damit weitere Angriffe verhindert werden können. Es ist hierbei nötig, dass Sie und / oder Ihre IT-Abteilung die betroffenen Betriebssysteme testen, überwachen und kontrollieren. So stellen Sie sicher, dass sie wieder vollauf funktionieren.
Aus Expertensicht ist anzuraten, spätestens zwei Wochen nach Beendigung des Vorfalls ein Fazit zu ziehen. Es soll beleuchtet werden, wie es zu einem derartigen Vorfall kommen konnte und wie Sie darauf reagiert haben. Der Schritt Nr. 6 hat zum Ziel, dass Sie daraus lernen, wie Sie sich vor dem nächsten Angriff noch besser schützen können.
Durch Remote-Arbeitsplätze steigt zwar die Flexibilität von Seiten der Mitarbeiter, aber gleichzeitig erhöht sich auch das Risiko für Unternehmen und Großkonzerne, da die Mitarbeiter mit ihren privaten Endgeräten auf Firmensoftware zugreifen. Wenn kein adäquates Sicherheitsbewusstsein vorliegt, kann dies schnell zu einem Problem für die Sicherheit eines Unternehmens werden. In der Folge finden Sie die 5 häufigsten Sicherheitslücken in Unternehmen und werden demnach verstehen, warum ein Incident Response Plan von enormer Wichtigkeit für Ihr Unternehmen sein könnte.
Mitarbeiter sind ein potenzieller Risikofaktor für Sicherheitslecks in Unternehmen, speziell dann, wenn die Arbeit teilweise oder ganz im Homeoffice ausgeführt wird. Viele Unternehmen und noch mehr Mitarbeiter unterschätzen die Gefahren, die von Hackern ausgehen. Einerseits treten Fehlerquellen durch Unachtsamkeit, unzureichende IT-Sicherheitsschulung oder Unwissenheit auf und andererseits herrscht immer noch eine gewisse Abwehrhaltung bezüglich der „lästigen“ Sicherheitsmaßnahmen oder der neuen Technologien. Zu sagen ist auch, dass beinahe 40 Prozent aller Mitarbeiter ihre privaten Endgeräte für berufliche und private Zwecke einsetzen. Dabei speichert ein Großteil davon sensible Daten und Informationen in betrieblichen Cloud-Anwendungen, die vom Arbeitgeber dafür nicht freigegeben wurden. Bei knapp 20 Prozent der Mitarbeiter haben Familienmitglieder Zugriff auf die Firmengeräte wie Laptop oder Smartphone. Resultierend aus diesen Erkenntnissen besteht ein vermehrtes Risiko von – meist unbeabsichtigtem – Datenverlust. Sie als Unternehmer können diesen Risiken entgegenwirken, indem Sie im Zuge eines fundierten Schulungsprogramms Ihre Mitarbeiter bezüglich IT-Sicherheit sensibilisieren und auf die Gefahren und Risiken verweisen.
Bei Hackern und Internetkriminellen ist der Versand von Phishing-Mails sehr beliebt. In früheren Zeiten konnten Unternehmen derartige Phishing-Mails anhand ihrer dilettantischen Aufmachung mit Tippfehlern und zwielichtigen Absendern schnell identifizieren. Mittlerweile haben Hacker ihre Taktik perfektioniert. Diese Schadmails wirken inzwischen sehr authentisch und sind von echten E-Mails beinahe kaum zu unterscheiden. Bei Phishing-Mails handelt es sich demnach um E-Mails, die den Zweck verfolgen, an sensible Bankdaten oder personenbezogene Daten zu gelangen. Auch Firmenspionage wird anhand von Phishing-Mails betrieben. Deshalb sollten Mitarbeiter und Führungskräfte niemals E-Mails mit Anhängen öffnen, die in irgendeiner Weise verdächtig erscheinen. Besser ist es, die E-Mail ungeöffnet zu löschen oder in die „Sand-Box“ zu verschieben.
In den vergangenen Jahren wurde ein Inkrementieren an Ransomware-Angriffen festgestellt, Tendenz steigend. Laut einer Umfrage der State of Ransomware 2020“-Report von Sophos waren im Wirtschaftsjahr 2017 rund 54 Prozent der befragten Unternehmen von erpresserischer Ransomware betroffen. Im Wirtschaftsjahr 2020 lang der Anteil der betroffenen Unternehmen mit 51 Prozent nur marginal unter diesem Erhebungswert.
Ist das Firmennetzwerk erstmal von einer Ransomware befallen, kann diese ganze Rechenzentren in einem Unternehmen lahmlegen, schwärzen oder außer Gefecht setzen. Der Zugriff auf alle firmeninternen Applikationen wird verschlüsselt und nur gegen ein empfindliches Lösegeld wieder freigegeben. Mittlerweile gehen Internetkriminelle so weit, dass sie ihren Opfern drohen, mit den erhaltenen sensiblen Unternehmensdaten an die Öffentlichkeit zu gehen.
Im Zeitalter der Digitalisierung ist es nicht abwegig, dass auch Unternehmen ihre Arbeit und alle, damit einhergehenden Prozesse digitalisieren. Dies birgt ein hohes Risiko für etwaige IT-Schwachstellen. Die meisten Unternehmen arbeiten mit zumindest einem Antiviren-Programm auf allen Firmen PCs, die sich im Firmennetzwerk befinden. Dieser Schutz reicht jedoch in den allermeisten Fällen nicht aus, um sich adäquat vor Hackern und Viren zu schützen. Die Angriffe richten sich bevorzugter Weise gegen Serverplattformen und gegen die Benutzer in einem Unternehmen. Im Zuge des Incident Response Plans sollten Sie als Unternehmer auch an eine umfassende Endpoint Security denken, um alle Endgeräte in Ihrem Unternehmensnetzwerk vor Angriffen und Bedrohungen präventiv zu schützen. Dies gilt speziell dann, wenn Ihre Mitarbeiter Endgeräte im Homeoffice verwenden oder ihre privaten Geräte für die Arbeit einsetzen und auf die Cloud Ihres Unternehmens Zugriff haben. Schützen können Sie Ihre Endgeräte vor allem mit:
- Malware Schutz
- Firewalls
- Schulungen zur Sensibilisierung und dem richtigen Umgang mit Firmengeräten
Cloud Security ist ein großes Thema bei Unternehmen. Kaum ein Unternehmen arbeitet zum gegenwärtigen Zeitpunkt ohne eine cloudbasierte Anwendung. Knapp 80 Prozent der deutschen Unternehmen nutzen eine Cloud seit mehreren Jahren. Die restlichen 20 Prozent planen immerhin, in naher Zukunft, mit einer Cloud zu arbeiten, um ihre Unternehmensprozesse zu optimieren. Eine Cloud bietet ein hohes Maß an Flexibilität, Ortsunabhängigkeit und Schnelligkeit. Die Daten können bequem in einer global agierenden Cloud gespeichert werden und anderen Usern zur Verfügung gestellt werden. Diese Vorzüge haben jedoch auch Hacker für sich entdeckt. Risiken wie Ausfälle, Cyber-Angriffe und Datenklau sind die Folge.
Zusammenfassend kann gesagt werden, dass der ideale Zeitpunkt, um sich mit einem Incident Response Plan zu befassen, immer vor einem Worst-Case-Szenario ist. Wenn Sie warten, bis Sie gehackt wurden oder ein Hacker Ihr Unternehmen erpresst hat, ist es in aller Regel zu spät, um Vorkehrungen zu treffen. Mit einem frühzeitig aufgestellten Incident Response Plan sind Sie in jedem Fall auf der sicheren Seite.