Vorbereiten auf den Cybervorfall

Jedes Unternehmen kann früher oder später von einem Katastrophenszenario wie einem Cybervorfall betroffen sein. Neuste Zahlen des Sicherheitsanbieters Check Point zeigen, dass Schweizer Firmen in den letzten 10 Monaten durchschnittlich 675 Mal pro Woche (!) angegriffen wurden. Es ist also unabdingbar, dass man sich auf den Worst Case vorbereitet.

«Tabletop» bezeichnet eine Übung auf dem «Tisch», ohne Einsatz von IT-Komponenten, also ausschliesslich auf ­Basis dokumentierter Informationen, wie beispielsweise Reglemente, Checklisten, Notfall-Prozesse, um nur einige zu nennen. In einem Rollenspiel wird das Szenario eines Cybervorfalls durchgespielt und die Reaktionsfähigkeit des Unternehmens bewertet.

In der Regel führt ein externer Security-Spezialist die Übung ganztägig vor Ort beim Kunden durch. Beteiligt sind Personen aus verschiedenen Organisationseinheiten, die auch bei einem echten Vorfall involviert wären. Abhängig vom gewählten Szenario haben die Stakeholder einen technischen oder fachlichen Hintergrund, beispielsweise Vertreter der Kommunikationsabteilung, des Krisenstabs (Management) oder der IT-Organisation.

Die Übung hilft, die Resilienz-Fähigkeiten des Unter­nehmens zu verbessern, indem das Bewusstsein für ­aktuelle Risiken geschärft wird, Abläufe durch­gespielt und Schwachstellen in den Prozessen identi­fiziert ­werden, um diese nach der Übung zu beheben.

So kann die Cyber Defense eines Unternehmens ­nach­haltig verbessert und gestärkt werden. Gleichzeitig werden alle Beteiligten hinsichtlich Relevanz des Themas sensibi­lisiert.

Der Anbieter einer solchen Tabletop-Übung, ein auf Cyber Security spezialisiertes Unternehmen, übernimmt die Rolle der Spielleitung und schildert das vorgefertigte Szenario, beispielsweise, weil hochaktuell, einen Ransomware-Angriff. Der Spielleiter stellt Fragen zur Situation und zum Vorgehen des Kunden. Die Teilnehmer übernehmen jeweils eine Rolle und einen Verantwortungsbereich und reagieren mit unternehmensspezifischen Lösungen und Vorschlägen auf das Ereignis.

Es gibt kein Richtig oder Falsch, der Security-Anbieter beobachtet und notiert nur. Argumentieren ist erwünscht, da Probleme oder Unklarheiten am besten sofort gelöst werden. Insbesondere wird darauf geachtet, ob etwas fehlt, wo Optimierungen möglich sind und wie auf kurzfristige Veränderungen unter Berücksichtigung des Stressfaktors reagiert wird.

Wichtig ist, dass immer jemand aus dem Security Operations Center verfügbar ist, sei es aus dem eigenen SOC des Kunden oder von dem externen Dienstleister, von welchem SOC-Services bezogen werden. So erleben die Akteure zwar ein fiktives, aber äusserts realistisches Szenario, interagieren miteinander, suchen nach Lö­sungen und lernen aus Fehlern. Je wirklichkeitsnaher das Szenario, desto besser werden die Teilnehmer auf den Ernstfall vorbereitet. Ein realistisches Custo­mizing erfordert schon in der Vorbereitungsphase eine enge Zusammenarbeit zwischen dem Kunden und dem Spielleiter.

Auf Wunsch des Kunden führt der Spielleiter während der Tabletop-Übung ein Protokoll und übergibt anschliessend einen Bericht mit Erkenntnissen sowie Empfehlungen. Die Übung dauert von einigen Stunden bis zu einem ganzen Tag. Dabei werden die individuellen Anforderungen und Möglichkeiten des Kunden berücksichtigt.

Unternehmen, die sich für den Probelauf eines Krisenfalles entschieden, taten dies meist aus den folgenden Gründen:

● Lücken und Mängel werden erkannt, Schwachstellen in der Reaktionsfähigkeit bewusst gemacht
● Übung bringt Routine und damit weniger Stress im Ernstfall
● Rollen, Verantwortlichkeiten und Aufgaben innerhalb der Organisation werden geklärt
● Ein Reaktionsplan oder ein «Runbook» werden durchgearbeitet und dabei Dokumente, Prozesse und Kommunikationswege überprüft auf:

Bei allen Vorteilen, die eine Tabletop-Übung mit sich bringt, ist es für die IT oder einen CISO auch wichtig, die Abgrenzung zu verstehen: Es handelt sich um eine konzeptionelle Übung – und nicht um ein technisches Audit.

Bei einem Ransomware-Angriff muss das Incident Response Center zuerst reagieren. Eine Tabletop-Übung hilft dem IRC-Team folgende Fragen zu beantworten:

Im Falle einer Cyberattacke ist nicht nur das Incident-Response-Team betroffen, sondern auch Vertreter anderer Organisationseinheiten. Diese beschäftigen sich mit folgenden Fragen:

Das Angebot richtet sich an Unternehmen, die bereits über eine IT-Sicherheitsstruktur und über Prozesse für das Krisenmanagement verfügen. Voraussetzung dafür ist, dass das Unternehmen eine IT-Notfallorganisation etabliert hat, oder es muss ein internes bzw. externes SOC vorhanden sein. Sollten die genannten Punkte (noch) nicht erfüllt sein, aber das Unternehmen möchte trotzdem seine Cyber Security verbessern, empfiehlt es sich, mit einem «Readiness-Audit» zu starten. Dabei kann z. B. in einem ersten Schritt überprüft werden, ob der empfohlene IKT-Minimalstandard des Bundesamts für Wirtschaftliche Landesversorgung (BWL) erfüllt wird.

Als Fazit der Tabletop-Übung lässt sich festhalten: Agieren ist immer besser als Reagieren!