In der jährlichen Umfrage des Uptime Institute geben 60 Prozent der Befragten an, dass sie in den letzten drei Jahren einen schwerwiegenden Ausfall in ihrem Unternehmen erlebt haben und dass Cyberangriffe und Ransomware eine zunehmende Ursache für die teuren Ausfälle sind. Diese Ergebnisse unterstreicht eine globale Studie von Arcserve: Sie bestätigt, dass Unternehmen geschäftskritische Daten verlieren obwohl 95 Prozent der Befragten über einen Notfallwiederherstellungsplan verfügen. Allerdings haben diesen nur 24 Prozent parat, gut dokumentiert, getestet und aktualisiert. Ein derartiger Plan ist aber zwingend notwendig, um eine schnelle Wiederherstellung und eine kontinuierliche Verbesserung der Reaktion auf Katastrophen zu gewährlisten.Grundvoraussetzung für eine gute Resilienz ist neben dem Plan für ein gezieltes Notfallmanagement ein dediziertes Notfallteam. Dieses Team muss geschult und jederzeit bereit sein, auf Sicherheitsvorfälle zu reagieren. Und es muss über klare Verfahren und die notwendigen Werkzeuge für eine schnelle Reaktion verfügen. Mit vier wesentlichen Aspekten stellt dieses Team die Wirksamkeit eines Notfallwiederherstellungsplans sicher:
1. Vorfallsanalyse
Der erste Schritt besteht aus der Identifizierung des Vorfalls sowie dem Sammeln aller verfügbaren Informationen. Dafür existieren eine Reihe an Tools, wie IDS, SIEM, EDR oder AV-Programme beziehungsweise Network-Scanning- und Mapping-Tools. Zusätzliche Data-Tracking-Tools verfolgen Bewegungen im Netzwerk, um nachzuvollziehen, auf welche Daten zugegriffen wurde. Log-Analyse-Werkzeuge überprüfen Aktivitäten von Servern, Anwendungen und Sicherheitshardware und geben Einblicke in den zeitlichen Ablauf einer Sicherheitsverletzung.
Für die anschließende Folgenabschätzung unterstützen weitere Tools und Rahmenwerke zur Risikobewertung, wie z. B. das National Institute of Standards and Technology (NIST) Cybersecurity-Framework, bei der Bewertung der Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Für die weiterführende Analyse der geschäftlichen Implikationen hilft beispielsweise Ready.gov.
2. Methodisches Vorgehen
Nach einem Vorfall ist ein methodisches Vorgehen essenziell. Die erste umgehende Aktion ist es, kompromittierte Systeme unter Quarantäne stellen, um eine Ausbreitung des Schadens zu verhindern sowie das Aktualisieren aller Systeme, um potenzielle bekannte Schwachstellen zu schließen. Das Anlegen digitaler forensischer Images, einschließlich aller Festplatten und anderer Speichermedien hilft bei der anschließenden Spurensuche nach dem Grund des Vorfalls. Dieser Schritt geht einher mit dem Sammeln und Analysieren digitaler Beweise für böswillige Aktivitäten auf Servern und Sicherheitssystemen. Eventuelle Beweise für physische Sicherheitsverletzungen oder Hardwaremanipulationen sollten mit Hilfe von Fotodokumentation gesammelt werden. Einer der wichtigsten methodischen Schritte ist die Konsultation von Rechtsexperten und standardisierten Verfahren verwenden, um die Einhaltung von Gesetzen und Vorschriften sowie die Zulässigkeit von Beweisen zu gewährleisten.
3. Krisenmanagementplan aktivieren
Entscheidend für das Krisenmanagement ist ein aktueller Plan. Klar definierte Rollen und Zuständigkeiten sowie die Kontaktlisten aller Beteiligten müssen auf dem neuesten Stand sein. Der Plan beinhaltet zudem eine Strategie für die interne und externe Unternehmenskommunikation. Festgelegte Eskalationsverfahren definieren welche Schritte unternommen werden. Eine der wichtigsten Komponenten ist der Backup- und Disaster-Recovery-Plan (BDR) mit einem getesteten „ Schritt-für-Schritt-Leitfaden“, der eine zuverlässige und schnelle Wiederherstellung der betroffenen Systeme sicherstellt.
4. Katastrophenschutzmaßnahmen bewerten
Die Bewertung der Reaktionen und Maßnahmen nach einer Krise ist für die Verbesserung der Katastrophenschutzstrategie unerlässlich. Eine strukturierte, umfassende Nachbesprechungen unter Einbeziehung aller Abteilungen ermöglicht eine ganzheitliche Sicht auf den Vorfall. Hierfür gibt es effektive Bewertungsmethoden wie After-Action-Reports (AAR), Ursachenanalyse (RCA) und Analyse von Leistungskennzahlen (KPI), um die Reaktion, einschließlich Reaktionszeit, Wiederherstellungszeit und Gesamtauswirkungen, zu bewerten.
Vorbereitung und Testen ist das A&O
Die Vorbereitung und vor allem das Testen potenzieller Krisenszenarien ist die beste Versicherung gegen die Auswirkungen einer Katastrophe. Dafür sollten Unternehmen ihre Notfallpläne sowie die Verfahren zur Sammlung von Beweisen klar definieren. Unerlässlich ist das regelmäßige Testen der Szenarien, um potenzielle Änderungen und Schwachstellen vor einem realen Vorfall zu identifizieren. Nur so ist das Krisenmanagementteam in der Lage gezielt und auf Basis sicherer Informationen zu handeln und den größten Schaden abzuwehren. Denn in einer Krise zählen valide Informationen, ein strukturiertes Vorgehen und vor allem jede Minute.
Von Sven Richter, Marketing Manager DACH bei Arcserve
