Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Tabletop-Übungen: Einblick in eine Simulation
Fabian-Murer-Autor
Fabian Murer
|
30.10.2024
(aktualisiert am: 30.10.2024)

Tabletop-Übungen bieten Unternehmen die Möglichkeit, ihre Krisenmanagementfähigkeiten in einer sicheren Umgebung zu testen und zu verbessern. Dabei werden realistische Szenarien durchgespielt, die es den Teilnehmenden ermöglichen, ihre Reaktionsstrategien auf potenzielle Sicherheitsvorfälle zu optimieren und Schwachstellen in ihren bestehenden Prozessen zu identifizieren.

Im Blogbeitrag «Tabletop-Übungen: Ihr Krisenmanagement auf dem Prüfstand» haben wir uns mit verschiedenen Arten von Tabletop-Übungen und ihrem allgemeinen Nutzen beschäftigt. In diesem Folgeartikel wollen wir uns nun auf ein spezifisches Szenario konzentrieren: den Ransomware-Angriff. Ransomware-Angriffe sind mittlerweile eine der grössten Bedrohungen für Unternehmen weltweit, und die Notwendigkeit, gut auf solche Situationen vorbereitet zu sein, ist heute grösser denn je.

In diesem Beitrag wird der Ablauf einer Tabletop-Übung skizziert, die sich speziell auf einen Ransomware-Angriff konzentriert. Dabei legen wir den Fokus auf die Entscheidungsfindung in kritischen Situationen sowie die Kommunikation mit internen und externen Stakeholdern. Diese Aspekte sind wichtig, um einen Ransomware-Vorfall effektiv zu managen und die Auswirkungen auf das Unternehmen zu minimieren.

Ransomware-Angriff auf ein mittelständisches Unternehmen

In unserem Beispiel betrachten wir ein mittelständisches Produktionsunternehmen, das auf die Just-in-Time-Lieferung von Bauteilen an grosse Automobilhersteller spezialisiert ist. Das Unternehmen ist stark digitalisiert und vernetzt, die Produktionsumgebung basiert auf hochautomatisierten Systemen und einer Cloud-basierten IT-Infrastruktur.

Start Inject: An einem Montagmorgen wird seitens der IT-Abteilung festgestellt, dass mehrere kritische Systeme nicht mehr zugänglich sind. Stattdessen wird eine Nachricht angezeigt, in der eine beträchtliche Lösegeldforderung in Kryptowährung gestellt wird. Es muss davon ausgegangen werden, dass es sich um einen umfassenden Ransomware-Angriff handelt.

Entscheidungsfindung und Risikoabschätzung

Nachdem die IT-Abteilung bestätigt hat, dass das Unternehmen Opfer eines Ransomware-Angriffs geworden ist, beginnt der Wettlauf gegen die Zeit. Mehrere kritische Systeme scheinen bereits verschlüsselt zu sein, und es wird klar, dass das Ausmass des Angriffs mit hoher Wahrscheinlichkeit beträchtlich ist. Die IT-Leitung steht nun vor der dringenden Aufgabe, den Schaden durch geeignete Massnahmen einzudämmen und eine weitere Ausbreitung der Ransomware zu verhindern.

In dieser kritischen Phase müssen die Entscheidungsträger aus der IT-Leitung und dem Management schnell wichtige Entscheidungen treffen und Prioritäten setzen, um den Vorfall effizient zu bewältigen und den Schaden zu minimieren. In einer Tabletop-Übung können genau solche Entscheidungsfindungen in einer stressfreien Umgebung diskutiert werden. Dabei ist es wichtig, auch die möglichen Auswirkungen zu bedenken. So werden die Entscheidungsträger in einer Tabletop-Übung typischerweise mit Entscheidungen wie den folgenden konfrontiert (nicht abschliessend):

Produktionseinstellung oder kontrollierte Aufrechterhaltung

Die Entscheidung, die Produktion einzustellen oder kontrolliert fortzuführen, gehört zu den zentralen Herausforderungen nach einem erfolgten Angriff. Teile der Produktion stehen bereits still und es besteht die Gefahr, dass auch noch funktionierende Bereiche infiziert werden und somit die gesamte Produktion zum Stillstand kommt.

Das Unternehmen muss entscheiden, ob die Produktion zur Vermeidung einer weiteren Kompromittierung heruntergefahren oder isoliert werden soll. Dies könnte jedoch zu einer unbestimmten Betriebspause führen. Eine weitere Möglichkeit wäre, auf eine kontrollierte und möglichst sichere Fortführung der Produktion zu setzen, trotz des Risikos, dass auch diese später beeinträchtigt werden könnte.

Die Entscheidung für die Aufrechterhaltung bindet in der Regel zusätzliche Ressourcen zur Überwachung, die dann für die Vorfallbekämpfung und die Wiederherstellung der Infrastruktur fehlen.

Miteinhergehend ist in dieser Entscheidung auch die Risikoabschätzung möglicher Vertragsstrafen aufgrund von Verzögerungen oder Unterbrechungen in der Lieferkette.

Umgang mit der Lösegeldforderung

Eine der wichtigsten Fragen während eines Ransomware-Angriffs ist, wie mit der Lösegeldforderung umgegangen werden sollte. Es wird empfohlen, den Ratschlägen der Behörden und Spezialisten zu folgen. Eine Bezahlung des Lösegelds ist unter keinen Umständen empfehlenswert. Dennoch können unerwartete Diskussionen entstehen, insbesondere wenn die Kosten für den Betriebsausfall, die Aufwendungen für die Wiederherstellung und für externe Spezialisten höher sind als die eigentliche Lösegeldforderung. Vor allem im höheren Management und im Verwaltungsrat ist eine sorgfältige Abwägung der wirtschaftlichen Folgen von grosser Bedeutung.

Oftmals wird auch ohne Zahlungsabsicht Kontakt mit den Angreifern aufgenommen. Dadurch kann unter Umständen Zeit gewonnen oder an weitere Informationen gelangt werden.

Inject: Die Backups konnten glücklicherweise nicht verschlüsselt werden, sodass eine Wiederherstellung der Systeme möglich ist. Zum gegenwärtigen Zeitpunkt lässt sich jedoch noch nicht mit Sicherheit sagen, wie lange sich die Angreifer bereits im Netzwerk befinden. Die entsprechende Analyse ist noch ausstehend und kann noch mehrere Tage andauern.

Reihenfolge und Zeitpunkt der Wiederherstellung

Bei der Wiederherstellung der Systeme aus dem Backup stellt sich schnell die Frage, welche Systeme zuerst wiederhergestellt werden sollen. In einem Unternehmen mit vielen Abteilungen und Produktionssträngen wird die Priorisierung oft unterschiedlich gesehen. Jede Abteilung hält ihre eigenen Systeme für die wichtigsten, was eine einheitliche Vorgehensweise erschwert.

Auch hier muss entschieden werden, welche Systeme und Dienstleistungen aus unternehmensübergreifender Sicht am relevantesten sind. Sind es die Systeme der Produktion, so dass möglichst bald weiterproduziert werden kann, oder sind es die ERM-/CRP-Lösungen, damit die bereits eingegangenen Bestellungen noch abgearbeitet und neu eingehende Bestellungen sichergestellt werden können?

Dies ist ein typisches Thema, das bereits im Vorfeld eines Cyberangriffes geklärt und entschieden werden kann. «Business Continuity Management» ist hier das Stichwort.

Bei der Wiederherstellung stellt sich neben der Reihenfolge auch die Frage, von welchem Zeitpunkt die Backups wiedereingespielt werden sollen. Dabei wird in der Regel das Backup verwendet, das am nächsten zum Zeitpunkt der Verschlüsselung der Daten liegt.

Diese Vorgehensweise birgt jedoch das Risiko, dass auch dieses Backup bereits kompromittiert sein könnte. Es besteht die Möglichkeit, dass sich die Angreifer bereits seit Wochen im Netzwerk befinden und sich in den Systemen eingenistet haben.

Wie viel Zeit möchte man in die Analyse und die Suche nach dem «Initial Access», also dem ersten Zugriffszeitpunkt der Angreifer, investieren? Auch diese Entscheidung erfordert eine sorgfältige Abwägung.

Eskalation und Kommunikation

Nachdem die IT-Abteilung den Cybervorfall bemerkt, verifiziert und das erhebliche Risiko für das Unternehmen identifiziert hat, ist es von entscheidender Bedeutung, dass die nötigen Stellen und Stakeholder möglichst zeitnah informiert werden und die Eskalationskette gestartet wird. Dabei sind unter anderem folgende Themen von besonderer Relevanz (nicht abschliessend):

Eskalationspläne

Eine effektive Reaktion auf einen Ransomware-Angriff steht und fällt mit klar definierten und erprobten Eskalationsprozessen. In einer solchen Krise ist es wichtig, dass alle Beteiligten über die Informationswege im Bilde sind und wissen, wer wann zu informieren ist.

Es muss sichergestellt sein, dass die entsprechenden Personen schnell erreicht werden können. Das kann per Telefon, E-Mail oder anderen Kommunikationsmitteln erfolgen. Die Erstellung eines Incident Response Plans (IRP) im Vorfeld ist daher stark zu empfehlen.

In einer Tabletop-Übung lassen sich solche Fälle gut simulieren. So kann geprüft werden, wie das Team reagiert, wenn eine Schlüsselperson nicht erreichbar ist. Beispielsweise kann der CEO erst zu einem späteren Zeitpunkt in die Übung integriert werden, um zu sehen, ob alternative Kontaktmöglichkeiten oder Stellvertretungen bereitstehen.

Ein weiterer wichtiger Aspekt ist das Kommunikationsmittel, welches für die Eskalation verwendet wird. Was passiert, wenn das typische Kommunikationsmittel, wie beispielsweise Microsoft Teams, plötzlich nicht verfügbar ist? Auch dieser Aspekt kann in einer Tabletop-Übung gut getestet werden.

Einbezug von externen Spezialisten

Im Rahmen der Eskalation stellt sich die wichtige Frage, ob das Unternehmen über die erforderlichen Ressourcen und das notwendige Know-how verfügt, um den Vorfall effizient zu bewältigen. Manchmal ist es erforderlich, externe Spezialisten und Partner hinzuzuziehen. Dabei können sich Herausforderungen ergeben.

Beispielsweise ist zu klären, ob die richtigen Notfallkontakte bei den Partnern bekannt sind und ob sie verfügbar sind. Zudem ist zu prüfen, ob eine sofortige Unterstützung ausserhalb der normalen Geschäftszeiten im «Service Level Agreement» abgedeckt ist. Ein Incident Response Retainer (IRR) mit einem Cybersecurity-Spezialisten kann dabei wichtige Zeit und Geld einsparen.

Wenn das Unternehmen entscheidet, dass externe Unterstützung erforderlich ist, müssen mehrere Überlegungen angestellt werden. Zunächst stellt sich die Frage, wer in dieser Situation kontaktiert werden sollte und welcher Partner für die spezifischen Anforderungen des Vorfalls am besten geeignet ist. Ebenso wichtig ist die Frage, wie dieser Partner am schnellsten erreicht werden kann.

Inject: Erste Kunden und Lieferanten stellen fest, dass in der Lieferkette etwas nicht mehr zu funktionieren scheint. Beispielsweise können Kunden keine Bestellungen mehr aufgeben. Erste Verkäufer werden aktiv von Kunden kontaktiert und um weitere Informationen gebeten.

Koordination der Kommunikation

Bei einem Vorfall wie einem Ransomware-Angriff ist eine geordnete und koordinierte Kommunikation mit den verschiedenen internen und externen Stakeholdern von entscheidender Bedeutung. Dabei ist es von besonderer Wichtigkeit, die absolute Kontrolle über den Inhalt der kommunizierten Informationen zu bewahren, um die Verbreitung von Gerüchten oder die versehentliche Preisgabe interner und sensibler Informationen zu verhindern.

Daher ist es unerlässlich, die Kommunikationsstrategie zu definieren und festzulegen, wie und von wem die Kommunikation erfolgt. Ebenso muss sichergestellt werden, dass die Kommunikation, insbesondere mit der Öffentlichkeit, über eine zentrale Stelle erfolgt, um konsistente und kontrollierte Aussagen zu gewährleisten.

Ein weiterer zentraler Punkt ist die Überlegung, welche Informationen an die Öffentlichkeit gegeben werden und welche bewusst zurückgehalten werden sollten. Hier empfiehlt es sich, bereits entsprechende allgemeine Kommunikationsvorlagen zur Hand zu haben, um auch möglichst proaktiv und schnell kommunizieren zu können. Eine Aufgabe in der Tabletop-Übung kann somit die Erstellung einer Erstinformation innerhalb eines Zeitrahmens von zehn Minuten sein.

Diese und ähnliche Fragen sind von grosser Bedeutung, werden aber in der Vorbereitung oft vernachlässigt. In einer Tabletop-Übung rücken sie wieder in den Vordergrund und erweisen sich als entscheidend für die Krisenbewältigung.

Typische Findings und Learnings

Die Durchführung von verschiedenen Tabletop-Übungen mit unterschiedlichen Szenarien hat etwas Wichtiges gezeigt: Viele Beobachtungen und Empfehlungen wiederholen sich.  Das gilt für alle Branchen und für Unternehmen in verschiedenen Entwicklungsstufen.

Im Folgenden wird eine Auswahl der häufigsten Beobachtungen näher erläutert.

Entscheidungen, die man bereits im Vorfeld klären kann

Bei unseren Tabletop-Übungen und Incident Response Assessments zeigt sich immer wieder ein zentrales Problem: Lange und intensive Diskussionen während eines Vorfalls drehen sich häufig um Fragen, die bereits im Vorfeld hätten geklärt werden können – und sollten. Solche vorbereitenden Entscheidungen sind wichtig, um im Ernstfall wertvolle Zeit zu sparen und die Reaktionsfähigkeit massgeblich zu erhöhen. Zu den wichtigen Entscheidungen, die im Vorfeld getroffen werden sollten, gehören unter anderem:

  • Umgang mit Lösegeldforderungen: Soll das Lösegeld gezahlt werden oder nicht?
  • Krisenstrategie: Liegt der Fokus auf der schnellen Wiederherstellung der Systeme oder auf der Aufrechterhaltung der Produktion?
  • Vorbereitung der Kommunikation: Entwicklung von Kommunikationsstrategien und -vorlagen für eine schnelle und dennoch professionelle Kommunikation im Krisenfall.
  • Kontakte und Verträge: Sicherstellung, dass Kontakte zu Incident-Response-Partnern und Spezialisten bestehen und entsprechende Verträge vorbereitet sind.

Die wesentlichen Erkenntnisse aus diesen Übungen und Assessments sind eindeutig: Entscheidungen, die im Vorfeld eines Vorfalls getroffen werden können, sollten auch tatsächlich vorab getroffen werden. Zumindest aber sollten diese Themen ausführlich diskutiert und eine entsprechende Strategie festgelegt werden. Dies spart im Krisenfall wertvolle Zeit und vermeidet unnötige Verzögerungen bei der Krisenbewältigung.

Umsetzung «offensichtlicher» Massnahmen

Eine häufig identifizierte Verbesserungsmöglichkeit ist die detaillierte Umsetzung von «offensichtlichen» Massnahmen. Sofortmassnahmen wie «Passwörter zurücksetzen» oder «Systeme isolieren» werden in (technischen) Tabletop-Übungen typischerweise sehr früh und prompt genannt. Spannend wird es, wenn der Übungsleiter gezielt nachfragt, wie genau diese Massnahmen im Ernstfall umgesetzt werden können.

  • Passwörter zurücksetzen: Bei einem kompromittierten Benutzerkonto werden üblicherweise die Zugangsdaten zurückgesetzt und aktive Sitzungen beendet. Bei einem Ransomware-Vorfall ist jedoch davon auszugehen, dass die Angreifer höchste Privilegien und somit potenziell auch Zugang zu allen Benutzerkonten im Active Directory hatten. Infolgedessen steht man vor der grossen Herausforderung die Passwörter von potenziell tausenden Benutzerkonten zurücksetzen zu müssen. Um dieser Herausforderung effektiv zu begegnen, ist es empfehlenswert, bereits im Vorfeld über mögliche Vorgehensweisen nachzudenken.
  • Infizierte Systeme isolieren: Analog zum kompromittierten Benutzer ist die typische Sofortmassnahme bei einem kompromittierten System dessen Isolierung. Doch auch hier stellt sich schnell die Frage nach der Vorgehensweise. Wie wird ein System am besten isoliert? Mit modernen «Endpoint Detection and Response» (EDR)-Lösungen ist auch dieser Schritt oftmals sehr schnell umgesetzt. Allerdings stellt sich die Frage, ob dies auch möglich ist, wenn sich das Gerät im Home Office und im VPN befindet. Zudem ist zu klären, wer darüber entscheidet, ob ein Gerät isoliert werden darf. Während die Isolierung von Standard-Clients vermutlich kein grosses Problem darstellt, kann dies bei kritischen Servern anders zu bewerten sein. Beispielsweise stellt sich die Frage, wie und wann der Mailserver oder der Domain Controller isoliert werden sollten. Auch hier ist zu klären, wer dies entscheidet.

Aus anfänglich einfachen Fragestellungen zu Sofortmassnahmen entwickeln sich schnell komplexere Themen. Im Ereignisfall müssen zeitnah passende Lösungen gefunden werden. Es empfiehlt sich daher, sich bereits im Vorfeld Gedanken zu diesen Massnahmen zu machen und auch bereits entsprechende Vorbereitungen zu treffen.

Fazit

Tabletop-Übungen sind eine effektive Methode, um potenzielle Schwachstellen im Krisenmanagement eines Unternehmens zu identifizieren und gezielt zu adressieren. Durch das praxisnahe Durchspielen von Szenarien wie einem Ransomware-Angriff können Unternehmen ihre Entscheidungsprozesse, Eskalationsprotokolle und Kommunikationsstrategien in einer sicheren Umgebung testen und optimieren.

Wichtige Fragen und Herausforderungen können vor einer Krise geklärt werden, wodurch wertvolle Zeit in der Notlage gespart wird. Die gewonnenen Erkenntnisse aus solchen Übungen sind entscheidend, um im Ernstfall schnell, effizient und koordiniert zu handeln. Zudem tragen sie massgeblich zur Stärkung der gesamten Sicherheitskultur bei.

Haben Sie Interesse eine Tabletop-Übung durchzuführen?
Fabian-Murer-Autor

Autor

Fabian Murer leitet das Incident Response und Digital Forensics Team bei der Oneconsult AG. Dabei führt er regelmässig Tabletop-Übungen durch, um Kunden optimal auf einen möglichen Ernstfall vorzubereiten.

LinkedIn

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen