Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Bereit für den Ernstfall: Incident Response Readiness Assessment für Ihr Unternehmen
Alessia-Baumeler-Autor
Alessia Baumeler
|
04.09.2024
(aktualisiert am: 09.09.2024)

Die Bedeutung einer hohen Cyberresilienz nimmt heutzutage exponentiell zu, da Cyberangriffe immer komplexer und häufiger werden. Cyberresilienz bezeichnet die Fähigkeit eines Unternehmens, den Geschäftsbetrieb auch im Falle eines Cyberangriffs aufrechtzuerhalten und möglichst schnell den Normalzustand wiederherzustellen. Dies erfordert sowohl präventive Massnahmen zur Vermeidung von Cyberangriffen als auch Strategien zur schnellen Reaktion und Wiederherstellung im Falle eines erfolgreichen Angriffs.

Eine zentrale Säule der Cyberresilienz ist eine wirksame Incident Response, auch bekannt als Vorfallreaktion. Incident Response umfasst die schnelle und gezielte Reaktion auf Sicherheitsvorfälle, die Ermittlung der Ursachen sowie die Einleitung notwendiger Schritte zur Schadensbegrenzung und Wiederherstellung.

Wenn Sie die Incident-Response-Prozesse in Ihrer Organisation evaluieren und verbessern möchten, bietet sich ein sogenanntes Incident Response Readiness Assessment an. Dieses hilft dabei, bereits umgesetzte Massnahmen zu bewerten, mögliche Schwachstellen zu identifizieren und sicherzustellen, dass Ihr Unternehmen bestmöglich auf Sicherheitsvorfälle vorbereitet ist.

Inhaltsverzeichnis

Was ist Incident Response Readiness?

Incident Response Readiness bezeichnet das Mass der Vorbereitung eines Unternehmens und dessen Fähigkeit, Sicherheitsvorfälle effizient zu erkennen, zu untersuchen und darauf zu reagieren. Dies umfasst die Erkennung von Cyberangriffen anhand von Überwachungssystemen, die detaillierte Analyse und Rekonstruktion von Vorfällen sowie die schnelle und effektive Reaktion zur Schadensbegrenzung. Dazu gehören auch Massnahmen zur Wiederherstellung betroffener Systeme und Daten sowie präventive Massnahmen zur Vermeidung zukünftiger Vorfälle. Wesentlich für eine gute Incident Response Readiness ist eine gründliche prozessuale, strategische und technische Vorbereitung.

Prozessuale Vorbereitung

Die prozessuale Vorbereitung bezieht sich auf die operativen Abläufe und Verfahren, die im Falle eines Sicherheitsvorfalls angewendet werden. So müssen in diesem Schritt Handlungsstrategien für verschiedene Szenarien wie Ransomware-Angriffe, Datenlecks oder Distributed-Denial-of-Service(DDoS)-Attacken erarbeitet und festgelegt werden. Dazu zählen die Erstellung von detaillierten Schritt-für-Schritt-Plänen zur schnellen und effizienten Reaktion auf Vorfälle, z. B. Playbooks oder Checklisten, die Definition von Verantwortlichkeiten, die Zuweisung von Aufgaben sowie das Festhalten der Vorgehensweise bei der Bewältigung eines Vorfalls, der Krisenkommunikation und der Dokumentation von Vorfällen. Hilfreiche Ressourcen zur Kommunikation während eines Cyberangriffs finden sich bei CERT-NZ und BACS.

Strategische Vorbereitung

Die strategische Vorbereitung bezieht sich auf die langfristige Planung und Integration der Incident Response in die gesamte Sicherheitsstrategie des Unternehmens. Dies beinhaltet die Entwicklung umfassender Sicherheitsrichtlinien sowie die kontinuierliche Überprüfung und Anpassung der Sicherheitsstrategie an neue Bedrohungen. Darüber hinaus umfasst die strategische Vorbereitung die Sensibilisierung und Schulung der Mitarbeitenden sowie regelmässige Übungen und Simulationen, um die Wirksamkeit der Incident-Response-Pläne zu testen und sicherzustellen, dass alle Beteiligten im Ernstfall wissen, was zu tun ist.

Technische Vorbereitung

Die technische Vorbereitung konzentriert sich auf die technische Infrastruktur und deren Wartung. Hierzu zählen die Erstellung und Pflege eines Netzwerkplans, ein vollständiges Asset-Inventar, das Management von Patches und Schwachstellen sowie die Implementierung von Überwachungssystemen und regelmässigen Sicherheitsaudits.

Das übergeordnete Ziel der verschiedenen Bereiche der Vorbereitung ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen zu verbessern und sicherzustellen, dass Ihr Unternehmen im Falle eines Vorfalls schnell und effektiv reagieren kann.

Was ist ein Incident Response Readiness Assessment?

Ein Incident Response Readiness Assessment ist ein systematischer Bewertungsprozess, der ermittelt, wie hoch die zuvor beschriebene Incident Response Readiness Ihres Unternehmens ist, d. h. wie gut es auf Cybervorfälle vorbereitet ist. Das Assessment umfasst typischerweise die Überprüfung von Richtlinien, Verfahren, Technologien und Ressourcen, die für das Incident Management, die Analyse und die Wiederherstellung kritischer Systeme und Daten nach einem Sicherheitsvorfall benötigt werden. Das Ziel des Assessments ist es, Lücken in der Sicherheitsstrategie zu identifizieren und Empfehlungen zu geben, wie diese geschlossen werden können, um die Widerstandsfähigkeit und Bereitschaft gegenüber Cyberangriffen zu erhöhen bzw. zu verbessern.

Woran orientiert sich das Incident Response Readiness Assessment?

Dem Assessment liegen die folgenden Normen und Standards zugrunde:

  • NIST SP 800-53 Rev.5: umfassende Sicherheits- und Datenschutzkontrollen
  • ISO/IEC 27001:2022: Anforderungen an ein Informationssicherheits-Managementsystem (ISMS)
  • ISO/IEC 27002:2022: praktische Empfehlungen für Sicherheitskontrollen
  • ISO/IEC 27035-1:2023: Grundsätze des Incident Managements
  • BSI IT-Grundschutz-Kompendium: bewährte Methoden zur Sicherung von IT-Systemen
  • BSI-Standard 200-2: Standard für Informationssicherheits-Management
  • BSI-Standard 200-4: Standard für Business Continuity Management

Diese Normen und Standards bieten bewährte Praktiken und Leitlinien zur Verbesserung der Informationssicherheit, des Risikomanagements und der Reaktionsfähigkeit auf Sicherheitsvorfälle. Sie sind essentiell für das Assessment, da sie dazu beitragen, die Sicherheitspraktiken zu verbessern, Compliance zu gewährleisten und ein solides Sicherheitsmanagement zu etablieren.

Was wird durch das Assessment abgedeckt?

Das Incident Response Readiness Assessment wird mittels eines strukturierten Assessmentrasters (siehe Abbildung 1) durchgeführt.

Assessmentraster_DE-Incident Response Readiness Assessment

Das Raster besteht aus verschiedenen abzufragenden Prüfkriterien, die in sechs Themenbereiche unterteilt sind, die verschiedene Aspekte der Incident Response Readiness abdecken. Diese Themen orientieren sich an den Funktionen des NIST (National Institute of Standards and Technology) Cybersecurity Frameworks (Version 1.1) und werden durch fachspezifische Bereiche ergänzt, die den Erfüllungsgrad der Incident Response Readiness gezielt abfragen. Die sechs Themenbereiche sind im Folgenden aufgeführt, jeweils mit einem Beispiel für ein Prüfkriterium.

  1. Identifizieren (ID): Unter den Bereich „Identifizieren“ fallen die Identifizierung und Dokumentation von Assets und Ressourcen, die für die Informationssicherheit der Organisation wichtig sind. Dazu gehört auch die Definition und Einrichtung einer ausgereiften Notfallorganisation, die bei einem Vorfall bei der Entscheidungsfindung und Eindämmung von Infektionen unterstützt.
    Beispiel für Prüfkriterium: Inventarisierte Ressourcen (Geräte, Systeme, Applikationen) sind hinsichtlich ihrer Kritikalität für den Geschäftsablauf priorisiert beziehungsweise bewertet. Damit existiert eine Priorisierung der Ressourcen (ID.2).
  2. Schützen (PR): Zum Bereich «Schützen» gehört die Implementierung von Sicherheitsmassnahmen, um das Risiko erfolgreicher Cyberangriffe zu minimieren; solche Sicherheitsmassnahmen können Multi-Faktor-Authentifizierung (MFA), «Endpoint Detection and Response»-Lösungen (EDR) und regelmässige Schulungen und Übungen für Mitarbeitende und Entscheidungsträger sein.
    Beispiel für Prüfkriterium: Für alle direkt aus dem Internet erreichbaren Systeme und Anwendungen und die dafür verwendeten Nutzerkonten wird Multi-Faktor-Authentifizierung (MFA) erzwungen (PR.1).
  3. Erkennen (DE): Beim Erkennen geht es um die Identifizierung von Anomalien oder verdächtigen Aktivitäten durch Überwachungs- und Schutzsysteme. Dazu gehören auch die zentrale und manipulationssichere Speicherung von Protokollen sowie regelmässige Vulnerability Scans.
    Beispiel für Prüfkriterium: Es existiert eine Meldestelle, über die Informationssicherheitsvorfälle gemeldet werden können (DE.3).
  4. Reagieren (RS): Die Planung und Umsetzung von Massnahmen zur Bewältigung von Informationssicherheitsvorfällen ist hier ein zentraler Bestandteil. Dazu zählt ein Incident Response Plan, der verschiedene Aspekte wie Rollen, Verantwortlichkeiten, Prozesse und Kommunikationsrichtlinien abdeckt.
    Beispiel für Prüfkriterium: Der Incident Response Plan wird im Falle eines Informationssicherheitsvorfalls angewendet und befolgt (RS.3).
  5. Wiederherstellen (RC): In diesem Bereich geht es um die Wiederherstellung von Systemen und Daten nach einem Informationssicherheitsvorfall, einschliesslich regelmässiger Backups und klar definierter Wiederherstellungsstrategien.
    Beispiel für Prüfkriterium: Die Backups werden in definierten, regelmässigen Zeitabständen durchgeführt und auf Fehler, Vollständigkeit und Korrektheit überprüft (RC.1).
  6. Verbessern (LL): Beim Bereich «Verbessern» geht es um die kontinuierliche Optimierung der Prozesse durch die Erfahrung bzw. Lehren aus vergangenen Vorfällen.
    Beispiel für Prüfkriterium: Die Lehren, die aus Informationssicherheitsvorfällen und den damit verbundenen Schwachstellen und Bedrohungen gezogen wurden, werden ermittelt, dokumentiert und kommuniziert (LL.2).

Dieses umfassende Assessment stellt sicher, dass die Notfallvorsorge der bewerteten Organisation robust und wirksam ist.

Ablauf des Incident Response Readiness Assessments

Das Incident Response Readiness Assessment beginnt mit einer Selbsteinschätzung durch den Kunden, die anhand des zuvor beschriebenen strukturierten Assessmentrasters erstellt wird. Der Kunde definiert für jeden Prüfpunkt, auf welcher Stufe der Reifegrad-Skala (siehe Maturity Rating) sich das Unternehmen aus seiner Sicht befindet. Diese Selbsteinschätzung wird durch die Analyse vorhandener Dokumente und Interviews mit Schlüsselpersonen des Unternehmens durch Oneconsult verifiziert und ergänzt. Auf Basis der gesammelten Informationen erstellt Oneconsult eine Bewertung sowie einen Bericht mit massgeschneiderten Massnahmen und Empfehlungen. Dieser ganzheitliche Ansatz stellt sicher, dass alle relevanten Aspekte berücksichtigt werden und die vorgeschlagenen Massnahmen präzise auf die Bedürfnisse des Unternehmens abgestimmt sind.

Maturity Rating

Die Reifegrade im Assessment werden anhand einer vordefinierten Bewertungsskala angewendet. Diese Skala orientiert sich am Security & Privacy Capability Maturity Model (SP-CMM). Das SP-CMM ist ein Modell, das Organisationen dabei hilft, getroffene Massnahmen in Bezug auf Sicherheit und Datenschutz zu bewerten und zu verbessern. Es wurde als Grundlage für die Skala gewählt, da es ein bewährtes Framework bietet, um den Reifegrad von Sicherheits- und Datenschutzmassnahmen systematisch zu messen und kontinuierlich zu verbessern. Die einzelnen Prüfpunkte werden jeweils auf einer Skala von 0 bis 5 bewertet und die Reifegrade sind wie folgt definiert:

  • 0 – Nicht umgesetzt: Anforderungen werden nicht erfüllt, keine Massnahmen zur Zielerreichung
  • 1 – Informell umgesetzt: Ziele sind bekannt, Massnahmen jedoch reaktiv und informell
  • 2 – Geplant und nachverfolgt: Formelle Massnahmen wurden ergriffen, jedoch bestehen noch Lücken
  • 3 – Gut definiert: Massnahmen sind standardisiert und koordiniert, Ergebnisse werden dokumentiert
  • 4 – Quantitativ kontrolliert: Massnahmen werden kontrolliert und regelmässig bewertet
  • 5 – Kontinuierliche Verbesserung: Massnahmen werden laufend überprüft und optimiert

Ein Beispiel für die Visualisierung der Ergebnisse eines solchen Assessments ist das folgende Spinnendiagramm, das die Reifegrade und verschiedenen Bereiche darstellt:

Spinnendiagramm_DE-Incident Response Readiness Assessment

Mithilfe der Ergebnisse des Incident Response Readiness Assessments können Unternehmen sich mit anderen Organisationen vergleichen, die bereits ein solches Assessment durchgeführt haben. Insbesondere Unternehmen in der gleichen Branche bieten hier wertvolle Vergleichsmöglichkeiten, da branchenspezifische Referenzwerte verwendet werden. So können Unternehmen ihr eigenes Sicherheitsniveau besser einschätzen und Optimierungspotenzial identifizieren.

Das dargestellte Beispiel zeigt, dass die Maturität der Incident Response Readiness des beurteilten Unternehmens in bestimmten Bereichen, z. B. «Schützen (PR)» und «Erkennen (DE)», den branchenübergreifenden Referenzwert (Ref) deutlich übersteigen kann, während in anderen Bereichen, beispielsweise «Reagieren (RS)» und «Identifizieren (ID)», noch Verbesserungsbedarf besteht.

Vorteile des Incident Response Readiness Assessments

Zusammengefasst bietet ein Incident Response Readiness Assessment zahlreiche Vorteile:

  • Das Assessment ermöglicht eine tiefgehende und gründliche Untersuchung der bestehenden Sicherheitsmassnahmen und -lücken in Ihrem Unternehmen, wodurch potenzielle Risiken frühzeitig erkannt werden können.
  • Die Bewertung der Incident Response Readiness Ihres Unternehmens anhand eines strukturierten Reifegradmodells zeigt, wie gut Ihr Unternehmen auf Sicherheitsvorfälle vorbereitet ist, d. h. wie gut es in der Lage ist, solche Vorfälle zu erkennen, zu untersuchen und darauf zu reagieren.
  • Basierend auf den Ergebnissen des Assessments erhalten Sie spezifische und anpassbare Empfehlungen, die auf die individuellen Bedürfnisse und Anforderungen Ihres Unternehmens zugeschnitten sind, um Ihre Sicherheitsstrategie zu verbessern.
  • Die Umsetzung der empfohlenen Massnahmen erhöht die Fähigkeit Ihres Unternehmens, Cyberangriffe abzuwehren, auf Vorfälle zu reagieren und sich schnell davon zu erholen, was die Gesamtsicherheit und Resilienz stärkt.
  • Durch die Verwendung branchenspezifischer Referenzwerte können Sie Ihr Unternehmen mit anderen Organisationen vergleichen, die bereits ein ähnliches Assessment durchgeführt haben. Dies ermöglicht es Ihnen, Ihr eigenes Sicherheitsniveau besser einzuschätzen und Optimierungspotenzial zu identifizieren.

Warum ein Incident Response Readiness Assessment durchführen?

Ein Incident Response Readiness Assessment bietet eine umfassende Bewertung und massgeschneiderte Verbesserungspläne, denen anerkannte Standards und umfangreiche Erfahrung zugrunde liegen. Die aktive Teilnahme wichtiger Schlüsselpersonen Ihres Unternehmens und die Bereitstellung präziser Informationen ermöglichen eine glaubwürdige und effektive Bewertung, die zu umsetzbaren Erkenntnissen und einer besseren Vorbereitung auf Sicherheitsvorfälle führt.

Investieren Sie mit einem Incident Response Readiness Assessment in Ihre Cyberresilienz und stellen Sie sicher, dass Sie für zukünftige Sicherheitsvorfälle bestens gerüstet sind. Kontaktieren Sie einen Experten, um mehr darüber zu erfahren, wie Sie Ihre Cybersicherheitsmassnahmen stärken können.

Kategorien

Alle Kategorien
Active Directory / Entra ID
Attack Simulation / Red Teaming
Cybersecurity
Cybersecurity Awareness
Digital Forensics
Incident Response
IoT/OT-Security
News & Advisories
Penetration Testing

Vulnerability Management

Dies könnte Sie ebenfalls interessieren:

Haben Sie Interesse an einem Incident Response Readiness Assessment?
Kontaktieren Sie uns
Alessia-Baumeler-Autor

Autor

Alessia Baumeler ist seit 2022 als Digital Forensics & Incident Response Specialist bei Oneconsult tätig. Sie absolvierte 2023 ihr Bachelorstudium in Information and Cyber Security mit dem Schwerpunkt Digitale Forensik an der Hochschule Luzern. Sie ist GIAC Certified Forensic Examiner (GCFE) und besitzt ausserdem die Zertifizierung «Blue Team Level 1».

LinkedIn

Nie mehr Aktuelles über Cyber-Security-Themen verpassen?

Dann abonnieren Sie jetzt unseren Newsfeed auf LinkedIn und melden sich für den Newsletter an

Anmeldung Newsletter
Datenschutzerklärung

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

  • Was und wer ist betroffen?
  • Wer hat den Vorfall entdeckt und gemeldet?
  • Wie und wann wurde der Vorfall bemerkt?
  • Was haben Sie beobachtet?
  • Was bereitet Ihnen Sorgen im Zusammenhang mit dem Vorfall?
  • Welche Massnahmen wurden bereits eingeleitet?

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen