Cyberincident Response ist eines der aktuellen Top-Themen im Kontext von IT-Geschäftsprozessen und deren Sicherung. Die zahlreichen Sicherheitsvorfälle haben uns erkennen lassen: Es reicht nicht aus, Schutzmaßnahmen zu ergreifen, wir müssen uns auch intensiv mit Themen wie Eindämmung und Wiederherstellung befassen. Doch zu einer vollständigen und wohl organisierten Cyberincident Response gehört mehr als „nur Technik“. Deshalb greift der folgende Beitrag diese Dimensionen auf und geht besonders auf jene Aspekte ein, bei denen unsere ganzheitlich organisierte, interdisziplinäre Incident- und Krisenmanagement Software PREVISEC helfen kann. Eine vollständige Übersicht zu unserer Plattform finden Sie hier: https://previsec.de
Wie kann PREVISEC eine funktionierende Cyberincident Response unterstützen?
Cyberincident Response schnellsten einleiten
Sobald ein Cyberincident identifiziert wurde gilt es, keine Zeit zu verlieren. Idealerweise haben Sie geregelte Abläufe für die Cyberincident Response vorgesehen, um den Einfluss auf den Geschäftsbetrieb minimal zu halten und betroffene Bereiche wiederherzustellen. Denn egal wo oder wie ein Vorfall ausgemacht wurde: Ihre Maßnahmen sollten schnellstmöglich über sichere Kanäle eingeleitet werden! Dabei können Alarmierungen ein hilfreiches Werkzeug sein, um jetzt die richtigen Verantwortlichen und Experten zu involvieren. Unter Umständen entscheidet eine erste Bewertung der Faktenlage darüber, welche Maßnahmen getroffen werden sollen und wen dies betrifft. Dabei sollte auch die Kommunikation mit potentiellen Partnern außerhalb des eigenen Unternehmens möglich sein.
Planbare Aufgaben und Abläufe der Cyberincident Response automatisch organisieren
Die Cyberincident Response profitiert davon, wenn bestimmte Abfolgen von Schritten und Maßnahmen standardisiert festgehalten und geplant werden. Damit sparen Sie in entscheidenden Momenten Zeit und sorgen für Zuverlässigkeit. Solche Abfolgen und die Vergabe von Verantwortlichkeiten für Standardmaßnahmen können mit PREVISEC automatisiert werden. Somit passieren weniger Fehler, es gehen keine Punkte vergessen und der Prozess wird beschleunigt.
Benötigte Informationen redundant hinterlegen
Im Rahmen der Cyberincident Response kann es notwendig sein, auf bestimmte Informationen zur eigenen Architektur, Services, o.Ä. zuzugreifen. Der Zugriff kann allerdings durch einen Cybervorfall selbst beeinflusst sein, indem z.B. entsprechende Ressourcen vorsichtshalber abgeschaltet oder vom Netz genommen werden mussten. PREVISEC bietet hierfür die Möglichkeit, Informationen in einer sicheren, von der eigenen Infrastruktur unabhängigen Umgebung abzulegen. So Sie die Daten Ihren Teams zuverlässig zur Verfügung stellen.
Stakeholder informiert halten
Bei Cybervorfällen besteht oft die Notwendigkeit, bestimmte Stakeholder informiert zu halten. Das können je nach Impact des Vorfalls beispielsweise Bereichsleiter, Teamleiter, Standortleiter, Manager oder Geschäftsführung/Vorstand sein. Um dabei Nachfragen zu vermeiden und Zeit zu sparen sowie Briefings kurz und zielführend zu gestalten, hilft PREVISEC. Hierzu werden alle Informationen und Updates aus der Cyberincident Response zentral zusammengetragen und bereitgestellt. Dadurch können Informationen schnell und einfach transparent geteilt werden. Der ideale Überblick in der Single Source of Truth unterstützt insbesondere auch dabei, die Kommunikationsabteilung des Unternehmens mit wichtigen Infos und Updates zu versorgen. Diese kann die Kommunikationsstrategie auf Basis fundierter Erkenntnisse verfolgen.
Vorgänge der Cyberincident Response sauber dokumentieren
Die Vorfallsansicht in PRVEISEC nutzen Verantwortliche auch, um alle Aktivitäten im Rahmen der Cyberincident Response zu dokumentieren. Erledigte Aufgaben, erfolgte Maßnahmen, ergänzende Informationen und vieles mehr kann übersichtlich und revisionssicher festgehalten werden. Das ist aus gleich mehreren Gründen hilfreich: Hier spielen Haftungsfragen sowie die Retroperspektive („Lessons learned“, zukünftige Trainings, Weiterentwicklung der Prozesse) eine Rolle.