Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 7 Min.

Wenn's brennt!


IT Administrator - epaper ⋅ Ausgabe 3/2020 vom 28.02.2020

Die beim IT-Betrieb angestrebte Verfügbarkeit wird durch technische Maßnahmen beeinflusst, aber auch durch Notfälle. Daher gilt es, entsprechende Notfallpläne zu erarbeiten. Entscheidend ist jedoch, die Maßnahmen dieses Plans regelmäßig zu üben. Denn die Realität zeigt, dass niemand alle Aspekte eines Notfalls voraussehen kann, und zudem sorgt regelmäßiges Üben für zielgerichtetes Handeln.


IT-Notfälle planen und üben

Artikelbild für den Artikel "Wenn's brennt!" aus der Ausgabe 3/2020 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 3/2020

Selbstverständlich stellen IT-Verantwortliche sicher, dass die genutzte Kommunikationssoftware und die installierten -systeme geschützt sind. Dazu wurden entsprechende Schutzvorrichtungen wie ...

Weiterlesen
epaper-Einzelheft 8,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 3/2020 von News: Kritische Azure-Schwachstellen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
News: Kritische Azure-Schwachstellen
Titelbild der Ausgabe 3/2020 von Zwiebelprinzip. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zwiebelprinzip
Titelbild der Ausgabe 3/2020 von Filter für den Webverkehr. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Filter für den Webverkehr
Titelbild der Ausgabe 3/2020 von Red Hat Forum 2020, Darmstadt, 14. Januar Offene Wege. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Red Hat Forum 2020, Darmstadt, 14. Januar Offene Wege
Titelbild der Ausgabe 3/2020 von Interview: »Im Leben ist Vertrauen unabdingbar, im digitalen Umfeld Risiko Nummer eins«. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Interview: »Im Leben ist Vertrauen unabdingbar, im digitalen Umfeld Risiko Nummer eins«
Titelbild der Ausgabe 3/2020 von McAfee Total Protection for Data Loss Prevention Kontrollierter Datenfluss. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
McAfee Total Protection for Data Loss Prevention Kontrollierter Datenfluss
Vorheriger Artikel
Messbarer Erfolg
aus dieser Ausgabe
Nächster Artikel Sicherheitsanker
aus dieser Ausgabe

... Firewall oder Session Border Controller beschafft, eine Reihe von Richtlinien und Verfahren erstellt und die Personalausstattung entsprechend aufgestockt. Gleichzeitig gibt es täglich neue Cyberangriffe, Datenschutzverletzungen oder Ransomware-Attacken und letztendlich wissen IT-Verantwortliche nicht, ob das Unternehmen auf solche Ereignisse vorbereitet ist.

Eines ist jedoch sicher: Kein Unternehmen ist vor Angriffen gefeit, die Sicherheitsverletzungen oder Datenverluste zur Folge haben. Das Ponemon Institute zeigte in mehreren Studien auf, dass 52 Prozent der befragten Unternehmen im vergangenen Jahr angegriffen wurden. Dies ist jedoch nur die Spitze des Eisbergs, denn viele Unternehmen wissen nicht, dass sie attackiert wurden oder vermeiden die Bekanntgabe solcher Vorfälle. Darüber hinaus gaben 66 Prozent der Befragten an, dass ihr Unternehmen mehrere erfolgreiche Angriffs- beziehungsweise Einbruchsversuche im vergangenen Jahr erkannt hat.

Das grundsätzliche Problem von Notfallplänen

Angriffe auf die IT-Ressourcen wie auch Einbrüche in die Netze und die daran angeschlossenen Rechner können überall und zu jedem Zeitpunkt erfolgen. Ein solches Angriffsszenario ist nur schwer in den Griff zu bekommen und die Sicherheitsfragen, die sich daraus ergeben, sind schwer zu beantworten. Der IT-Verantwortliche weiß nie, wo und wann ein solcher Angriff stattfindet, welche Auswirkungen dieser hat und welche Ressourcen die IT-Organisation benötigt, um das Problem zu lösen. Darüber hinaus kostet der Schutz Geld, das dann für die Prävention und Reaktion auf Angriffe fehlt.

Ein zentrales Problem ist, wie IT-Verantwortliche für den "schlimmsten Fall" planen sollen, wenn sie gar nicht genau sagen können, was der schlimmste Fall ist. Wäre dies bekannt, ließe sich leicht Vorsorge treffen. Darin liegt das Problem von Angriffen auf die Sicherheit. Jeder bessere Hacker weiß, dass alle Versuche einer Angriffsvorhersage zum Scheitern verurteilt sind. Da die für die IT-Sicherheit bereitgestellten Budgets und Personalressourcen in den Unternehmen endlich sind, sollten Sie nicht für den Tag X planen, an dem ein Großangriff erfolgt. Stattdessen besteht eine bessere Verteidigung darin, die Nutzer fortzubilden und routinemäßig für Notfälle zu planen. Viele Unternehmen verfügen bereits über Abwehrpläne gegen die negativen Auswirkungen von Angriffen. Wie effektiv diese Pläne tatsächlich sind, stellt sich aber erst heraus, wenn tatsächlich ein Sicherheitsereignis eintritt.

Da es jedoch keine standardisierten Reaktions- beziehungsweise Abwehrpläne gibt, sind diese von subjektiven Kriterien geprägt und daher sehr unterschiedlich aufgebaut. Allerdings vertrauen weniger als die Hälfte (42 Prozent) der Befragten der Ponemon-Umfrage in die Reaktionspläne und viele Nutzer haben Zweifel an deren Effektivität. Die Studie stellt auch fest, dass nur 41 Prozent der Befragten der Meinung sind, dass ihr Unternehmen in der Lage ist, auf einen Angriff angemessen zu reagieren und das geistige Eigentum und die vertraulichen Informationen des Unternehmens schützen zu können. Nur 27 Prozent sind zuversichtlich, dass ihre Maßnahmen und Prozesse ausreichen, um die Auswirkungen von Datenverletzung zu minimieren.

Alle ungeplanten Unterbrechungen sollten Teil des Notfallplans sein.


Erfolgreiche Angriffe und dadurch bedingte Abflüsse von Daten können dem Ruf von Unternehmen ernsthaft schaden. Datenverletzungen führen oft zum Bruch des Kundenvertrauens. Die Praxis zeigt, dass die größten Probleme im Bereich der Reputation eines Unternehmens liegen. Selbst der Rückruf von fehlerhaften Produkten und deren öffentliche Bekanntmachung schaden der Studie nach viel weniger als Datenschutzverletzungen.

Unternehmen verantworten das Fehlverhalten der Anwender

Neue Mitarbeiter sollten Sie daher als festen Bestandteil ihres Einarbeitungsplans auch in den Bereichen Sicherheit und Datenschutz sensibilisieren. Wie bereits andere Studien bewiesen, sind bis zu 55 Prozent der Angriffe auf Unternehmen auf Phishing oder ähnliche Betrugsvorgänge - also auf ein fahrlässiges Benutzerverhalten - zurückzuführen. In der Praxis achten die Nutzer nicht auf die Informationen, die ihnen auf ihren Geräten präsentiert werden. Die Nutzer klicken in der Regel auf alles, was sich bewegt: laden unsichere Anwendungen herunter, surfen auf Websites, auf die sie nicht zugreifen sollten, und klicken auf Links, die nicht geklickt werden müssen.

Die immer wieder in der Presse veröffentlichten Meldungen über das "Sicherheitsloch Mitarbeiter" führen zwangsläufig zur Frage, wie es generell um das Sicherheitsbewusstsein in den Unternehmen bestellt ist. Nur eine kleine Anzahl der Befragten gab in der Ponemon-Studie an, dass diese alle sechs Monate ein internes Sensibilisierungstraining im Bereich der Sicherheit durchführen. Dies widerspricht jedoch der Erkenntnis, dass sich nur durch ein regelmäßiges Training die Gewohnheiten und das Verhalten der Benutzer ändern lassen. Ein jährliches Training ist besser als gar nichts, aber dessen langfristige Wirkung sollte angezweifelt werden.

Zudem ist Sicherheit in der Regel unbequem und wird von den Nutzern daher vermieden. Daher hat jedes Unternehmen die Pflicht zur Überprüfung des Nutzerverhaltens. Anhand der Kontrollen und Analysen lässt sich abschätzen, wie sich die Benutzer in der Praxis verhalten. Die IT-Abteilung könnte beispielsweise EMails mit Phishing-Inhalten senden und beobachten, wie die Benutzer reagieren. Die Praxis hat jedoch gezeigt, dass Prüfungen ohne Konsequenzen keinen Sinn ergeben. Ein fortgesetztes Fehlverhalten einzelner Nutzer sollte zur Information der jeweiligen Vorgesetzten führen. Dies hat nichts mit Denunziantentum zu tun, denn die Sicherheit dient dem gesamten Unternehmen.

Notfallplan etablieren

Ein Notfallplan ist ein Werkzeug, mit dem ein Unternehmen auf plötzlich eintretende Notfälle, verursacht durch Feuer, Unglücksfälle, Betriebsstörungen und so weiter, schnell und angemessen reagieren kann. Ein IT-Notfallplan dient als Leitfaden für den akuten Schadensfall (beispielsweise Datenverlust, nicht autorisierter Zugriff, physische Zerstörung) und trägt dazu bei, den Überblick im Notfall zu behalten. Der Notfallplan enthält in einer komprimierten Form Kontaktinformationen, Verfahren und Anweisungen, Übergangsprozesse sowie Definitionen für die Erstmaßnahmen für den Übergang in den operativen Betrieb.

Dabei muss es sich bei einem kritischen Vorfall nicht gleich um eine Katastrophe handeln. Es reicht schon, wenn in der Nachbarschaft bei routinemäßigen Straßenarbeiten eine alte Fliegerbombe entdeckt wird oder wenn der Baggerfahrer aus Versehen die Anbindung ins öffentliche Netz durchtrennt. Auch für solche Szenarien sind Notfallpläne notwendig, um den Betrieb aufrechterhalten oder so schnell wie möglich wiederherstellen zu können. Unabhängig von der Ursache eines eingetretenen Krisenfalls lassen sich zwei grundsätzliche kritische Szenarien unterscheiden, die im Notfallplan berücksichtigt werden müssen:

- Das Gebäude ist nicht zugänglich, aber die IT-Infrastruktur funktioniert. - Weder Gebäude noch IT-Infrastruktur sind verfügbar.

Das erste Szenario beschreibt ein sogenanntes Personenproblem, bei dem Sie sich fragen müssen, wohin Sie die Mitarbeiter schicken, damit sie wieder arbeiten können, und wie diese dorthin gelangen. Bei diesem Szenario ist die IT-Infrastruktur nicht betroffen, was bedeutet, dass hier schon einfache Remote-Desktop-Applikationen ausreichen, um den Arbeitsplatz des Mitarbeiters wieder verfügbar zu machen.

Das zweite Szenario birgt durch den Ausfall der IT-Infrastruktur größere Hürden. Für das Wiederherstellen des Betriebs gibt es drei Konzepte, die Sie im Notfallplan entsprechend definieren müssen

- Active/Active-Setup: Zwei Maschinen werden im Cluster betrieben, aber befinden sich in verschiedenen Standorten. - Active/Passive-Setup: Eine Maschine befindet sich im Produktionsbetrieb. Bei deren Ausfall wird eine baugleiche Maschine, auf der sich ein Spiegelbild der Software befindet, gestartet. - Active/New-Setup: Eine Maschine befindet sich im Produktionsbetrieb. Bei deren Ausfall wird eine neue Maschine von Grund auf neu aufgesetzt.

Aktualisieren nicht vergessen

Da sich die Bedrohungsparameter ständig ändern, sind die einmal verabschiedeten Schutzpläne eigentlich bereits am Tag der Veröffentlichung veraltet und hinken der Realität der Angreifer bereits hinterher. Doch in der Realität aktualisieren laut Ponemon Institute 29 Prozent der Befragten einmal verabschiedete Sicherheitspläne nie mehr. Nur 24 Prozent der Befragten erneuern ihren Maßnahmen einmal pro Jahr, vier Prozent alle zwei Jahre und lediglich fünf Prozent überarbeiten ihre Sicherheitspläne jedes Quartal.

Ein Sicherheitskonzept, das den Anforderungen entspricht, adressiert alle Probleme und wirkt allen Bedrohungen entgegen. Dieser Traum wird sich in der Realität jedoch nie erfüllen. Das Problem besteht darin, dass Menschen für die Unternehmenssicherheit verantwortlich sind und die Sicherheit innerhalb eines vorgegebenen Budgets realisiert werden muss. Auch der klügste Sicherheitsspezialist verfügt nicht über die notwendigen Phantasien, um alle Angriffsvarianten vorauszusehen. Überheblichkeit kommt meist vor dem Fall. Aus diesem Grund ist es besser davon auszugehen, nie alles zu wissen.

Übung macht den Meister

Sie sollten nicht so lange warten, bis tatsächlich ein Angriff erfolgt oder eine Krise eintritt, um die Vorsorgepläne in die Tat umzusetzen. Vielmehr sollte das gesamte Notfallteam entsprechende Angriffsabwehrübungen durchführen. Diese ermöglichen es den Mitarbeitern, sich dynamisch an die jeweilige Situation anzupassen und bei Bedarf neue Lösungen zu finden.

Bei der Planung für eine solche Angriffsübung müssen Sie sich zunächst die volle Rückendeckung durch das Unternehmensmanagement sichern, da eine Angriffsübung den Geschäftsbetrieb unterbrechen kann. Auch muss die IT wissen, welche Rollen einzelne Mitarbeiter bei der Sicherheitsübung aktiv übernehmen. Zudem benötigen Sie für die Sicherheitsübungen zwei unabhängige Planungsteams: Das eine Team plant die Angriffe und Angriffsvarianten, das andere ist für die möglichen Abwehrmaßnahmen und -szenarien zuständig. Es muss vermieden werden, dass diese unabhängig arbeitenden Teams miteinander kommunizieren, da sonst die geplanten Aktionen im Voraus bekannt werden können. Alle Abteilungen im Unternehmen müssen an einer solchen Sicherheitsübung teilnehmen. Auch sollten die jeweiligen Abteilungen, Geschäftszweige und das Personalwesen im Sicherheitsdesignteam vertreten sein

Der simulierte Angriff - egal ob er auf wenige PCs/Server oder das gesamte Kommunikationssystem abzielt - muss von einem separaten Team vorbereitet werden und realitätsnahe Sicherheitsprobleme verursachen. Die größte Herausforderung einer solchen Sicherheitsübung besteht darin, dass sie sich auf den IT-Betrieb und damit zwangsläufig auf die Kunden auswirken kann, etwa wenn das Unternehmen durch einen simulierten Angriff auf VoIP nicht von außen erreichbar ist.

Gleichzeitig ist es während einer solchen Übung jedoch wichtig, dass die Kommunikationsfähigkeit erhalten bleibt. Dabei sollten Sie nicht von den eventuell nicht mehr verfügbaren VoIP-Diensten abhängig sein. Der Kommunikationsfluss zwischen den agierenden Personen lässt sich durch die Nutzung mobiler Dienste (Mobilfunk) und die mögliche Auslagerung einiger wichtiger Kommunikationsfunktionen aufrechterhalten.

Hierbei - wie selbstverständlich in sämtlichen Bereichen des Angriffs - zeigen die simulierten Attacken unerwartete Lücken in der aktuellen Sicherheitsplanung auf und Sie stellen möglicherweise fest, dass einige Ressourcen, die genutzt werden sollen, gar nicht verfügbar sind und von einer anderen Seite bereitgestellt werden müssen.

Fazit

Egal wie weit Sie vorausdenken, egal wie gut das Unternehmen für mögliche Angriffe gerüstet ist, der IT-Verantwortliche weiß nie genau, ob sich eine Krise effektiv bewältigen lässt. Die Übung eines Angriffes wird es die für die Unternehmenssicherheit verantwortlichen Personen wissen lassen.

Vorgehensweise zur Erstellung eines Notfallplans

Folgende Schritte sollten Sie beim Erstellen eines Notfallplans berücksichtigen:

1. Definieren Sie, welche IT-Dienste und -Richtlinien wichtig für den Betrieb sind, und priorisieren Sie diese - beispielsweise Schutz der Buchhaltungs- und Kunden/Lieferantendaten ist wichtiger als der VPNRemote- Zugriff.

2. Definieren Sie mögliche Notfallzustände wie etwa Serverabsturz, Datenverlust, physische Zerstörung oder Stromausfall.

3. Schätzen Sie das Gefährdungspotential und die Wahrscheinlichkeit ein und priorisieren Sie die jeweiligen Notfallzustände.

4. Erstellen Sie eine Matrix für jeden IT-Dienst in Zusammenhang mit dem Eintritt eines möglichen Notfalls.

5. Definieren Sie, woran ein Notfall erkannt wird. Ein kurzfristiger Serverausfall ist in der Regel kein Notfall. Prüfen Sie interne Serivce Level Agreements und orientieren Sie sich an den Schwellenwerten.

6. Definieren Sie einen festen Ansprechpartner für jeden Notfall sowie eine weitere Person als Vertretung.

7. Legen Sie die Kommunikationsreihenfolge fest: Wer informiert wen in welcher Reihenfolge.

8. Definieren Sie, wie der Wiedereintritt in den Normalbetrieb erfolgt - beispielsweise Aktivierung des Ausfallservers und Wiederherstellung der letzten Datensicherung, danach Kommunikation über einen definierten Kanal.

9. Halten Sie fest, wie die Protokollierung während eines Notfalls aussehen soll.


Quelle: rudall30 - 123RF