Messen Sie Ihre Bereitschaft – Incident-Behandlungsprogramm

In unserer heutigen Bedrohungslandschaft ist es eine echte Herausforderung, ein Unternehmen vor den negativen Auswirkungen des gesamten Spektrums an Angriffsvektoren zu schützen. Dies gilt insbesondere angesichts der gesteigerten Inanspruchnahme von neuen bahnbrechenden Technologien und Services wie Cloud-Computing, Mobilität, BYOD und einer zunehmenden Zusammenarbeit mit Drittanbietern, die Zugriff auf das Unternehmensnetzwerk haben.

Einerseits erfordern neue Geschäftsmodelle und IT-Strategien für Unternehmen Skalierbarkeit, eine schnellere Markteinführung von Waren und Services sowie mehr Effizienz und niedrigere Kosten. Andererseits ergeben sich daraus komplexe Sicherheitskonsequenzen, denn es ist unmöglich, alle Oberflächen und Eintrittspunkte eines Angriffs zu identifizieren, die ein böswilliger Angreifer nutzen könnte, um Zugriff auf das Netzwerk zu erhalten.

Aufgrund der genannten Erwägungen kam ich zu der Überzeugung, dass das herkömmliche Sicherheitsmodell basierend auf „Prüflisten zur Sicherheitscompliance“ oder „perimeterorientierten Lösungen“ ausgedient hat und dass erweiterte Erkennungs- und Reaktionsfähigkeiten bei der Sicherheitsstrategie insgesamt an erster Stelle stehen sollten. Aufgrund der Notwendigkeit eines stabilen Cybersicherheitsstatus spielt ein Incident-Behandlungsprogramm heute eine wichtigere Rolle als je zuvor. Angesichts der zunehmenden Sicherheitsverletzungen in der heutigen Zeit und des Schadens, der aufgrund von Datendiebstahl oder Änderung von Daten durch Kriminelle entsteht, ist es im Grunde nur eine Frage der Zeit, bis ein angriffsbasiertes Incident-Behandlungsprogramm tatsächlich für alle Unternehmen obligatorisch wird.

Von anderen bekannten Reifemodellen inspiriert stelle ich in diesem Artikel ein neues Framework vor, eine Kombination aus analytischen und operativen Fähigkeiten, Prozessen, Governance und Metriken, die es zusammengenommen allen Arten von Organisationen ermöglichen, den Prozess der kontinuierlichen Verbesserung ihrer Incident-Behandlungsprogramme zu prüfen, anzupassen und zu beschleunigen sowie ein Branchenbenchmarking durchzuführen.

Level 1 – Einstieg (Prozesse unvorhersehbar, reaktiv)

 

    • Analysen: Keine technischen Kompetenzen bzw. analytischen/forensischen Technologien sind im Unternehmen vorhanden.

 

  • Governance: Keine formell festgelegten oder dokumentierten SOPs/IRPs (Standardarbeitsanweisungen/Incident-Behandlungspläne) sind vorhanden.

 

 

  • Messung: Keine Metriken bzw. KPIs (Key-Performance-Indikatoren) sind verfügbar oder werden erfasst.

 

 

  • Operativ: Sicherheits-Incidents werden „bei Bedarf“ behandelt und „wenn zeitlich möglich“ bearbeitet.

 

 

  • Organisatorisch: Keine Incident-Behandlungsanalysten sind eingestellt oder formell identifiziert.

 

 

Level 2 – verwaltet (Prozesse entwickelt aber inkonsistent, häufig reaktiv)

 

    • Analysen: Grundlegende technische Kompetenzen und Technologien zur Bestätigung des Auftretens von Incidents sind im Unternehmen vorhanden.

 

  • Governance: Minimum an SOPs/IRPs ist vorhanden, diese werden jedoch nicht kommuniziert, befolgt, getestet oder aktualisiert bzw. sind unbekannt.

 

 

  • Messung: Beschränkte Anzahl an Metriken und KPIs ist auf Anfrage vorhanden und wird manuell generiert.

 

 

  • Operativ: Lösungen einiger Sicherheits-Incidents werden dokumentiert, nachverfolgt und in Angriff genommen.

 

 

  • Organisatorisch: Incident-Behandlungsanalysten wurden identifiziert und Zuständigkeiten zugewiesen.

 

 

Level 3 – definiert (Prozesse konsistent im gesamten Unternehmen, proaktiv)

 

    • Analysen: Technische Kompetenzen, Fähigkeiten und Technologien sind im Unternehmen vorhanden und standardmäßige IR-Korrekturaktivitäten sind automatisiert.

 

  • Governance: SOPs/IRPs sind für die meisten Sicherheits-Incidents formell dokumentiert und werden vom Team befolgt.

 

 

  • Messung: Einige Metriken und KPIs werden regelmäßig erfasst und kommuniziert.

 

 

  • Operativ: Klassen und Schweregrade von Sicherheits-Incidents sind formalisiert und werden je nach Geschäfts- und Risikoauswirkung der involvierten Ressource (und Daten) zueinander in Beziehung gesetzt.

 

 

  • Organisatorisch: Ein dediziertes IR-Team mit Fachwissen zu einigen kritischen IR-Funktionen ist vorhanden und es werden regelmäßig Schulungen durchgeführt.

 

 

Level 4 – quantitativ verwaltet (Prozesse gemessen und kontrolliert)

 

    • Analysen: Fortgeschrittene technische Kompetenzen und analytische/forensische, auf das Unternehmen zugeschnittene Technologien sind im Unternehmen vorhanden; Artefakte und Bedrohungsinformationsdaten werden erfasst.

 

  • Governance: SOPs/IRPs sind vorhanden und kategorisiert und werden gut kommuniziert sowie abteilungsübergreifend in den Geschäftseinheiten befolgt.

 

 

  • Messung: Detaillierte Metriken und KPIs werden kommuniziert, verbreitet und sind verfügbar; theoretische Besprechungen und IR-Übungen werden positions- und abteilungsübergreifend durchgeführt.

 

 

  • Operativ: Sicherheits-Incidents werden konsistent und mithilfe wiederholbarer Methoden gelöst; Ursachenanalyse wird als Ansatz zur Verbesserung des Sicherheitsstatus des Unternehmens insgesamt angewendet.

 

 

  • Organisatorisch: Dediziertes IR-Team mit fundiertem Fachwissen über spezifische angepasste Unternehmenstechnologien ist vorhanden, Mitglieder der höchsten Führungsebene sind einbezogen und formalisiert.

 

 

Level 5 – Optimierung (Fokus auf Prozessverbesserung)

 

    • Analysen: Fortgeschrittene Technologien und technische Kompetenzen und Fähigkeiten auf dem neuesten Stand sind vorhanden und Klassen, Schweregrade und Anzahl an Sicherheits-Incidents werden mit der Zeit systematisch reduziert (und die Einsicht in das Netzwerk und die Systeme gesteigert); Daten zu Bedrohungsinformationen werden intern und extern zum Verhindern, Erkennen und Aufspüren von Bedrohungen verwendet.

 

  • Governance: SOPs/IRPs werden gewichtet und regelmäßig abgestimmt/optimiert, wobei aus dem Prozess der „kontinuierlichen Verbesserung“ gewonnene Erkenntnisse (z. B. OODA-Loop) identifiziert und integriert werden; SOPs/IRPs werden an spezielle Ressourcen und Bedrohungen angepasst.

 

 

  • Messung: Detaillierte und stabile Metriken werden definiert, regelmäßig berichtet und an den Geschäfts- und Riskomanagementzielen sowie den Zielen der höchsten Führungsebene ausgerichtet.

 

 

  • Operativ: Incidents werden nachverfolgt und ihr Lösungsstatus kann zu jeder Zeit überwacht werden, wobei Ressourcenverlust, Ausbreitung der Bedrohung und finanzielle Auswirkungen für jeden einzelnen Incident berücksichtigt werden.

 

 

  • Organisatorisch: Abteilungsübergreifendes IR-Team ist zusammengestellt, die höchste Führungsebene ist aktiv an Simulationen und Besprechungen beteiligt, rechtliche Aspekte sowie Complianceaspekte werden thematisiert.

 

 

Angesichts bestimmter Datenschutzverletzungen ist die Einhaltung des höchsten Levels angemessen und sicherlich ist der Wechsel vom Einstiegslevel zu einem reiferen Status eine komplexe Aufgabe, die – insbesondere in größeren Unternehmen – Monate oder sogar Jahre kontinuierlicher Arbeit, Hingabe und finanzieller Investition in Anspruch nehmen könnte. Sobald es zu einer Infizierung kommt, stellt sich ein bedrohungsbasiertes Incident-Behandlungsprogramm jedoch möglicherweise als eine der kostengünstigsten Sicherheitsmaßnahmen heraus, die ein Unternehmen einführen kann.

Darüber hinaus verleiht die Kommunikation und stetige Abstimmung von Taktiken und Strategien über die Vorgesetztenkette, Geschäftseinheiten und Teammitglieder hinweg den Unternehmen in jedem Fall die Motivation, ihre Haltung zu diesem Thema zu ändern, besser vorbereitet zu sein, um Sicherheitsverletzungen in einem frühen Stadium zu behandeln und kooperativ auf ein gemeinsames Ziel hinzuarbeiten: die Reduzierung der Auswirkungen und die Minimierung von Verlusten, die durch Sicherheitsverletzungen entstehen.

No Comments