Cyberangriffe haben in den letzten Jahren stark zugenommen und gehören heute leider zum Geschäftsalltag. Wir alle nutzen IT-Mittel, sind vernetzt und freuen uns über die grossen Vorteile dieser Vernetzung. Immer mehr Unternehmen sehen sich jedoch mit der Tatsache konfrontiert, dass auch Kriminelle diese Vernetzung und mittlerweile auch die Abhängigkeit von digitalen Mitteln gnadenlos ausnutzen. So sind beispielsweise Ransomware-Angriffe inzwischen ein alltägliches Problem.
Dementsprechend hat auch das Thema IT-Sicherheit an Bedeutung gewonnen und Unternehmen arbeiten daran, sich auf unterschiedlichste Weise zu schützen – Konzepte werden erstellt, Pläne entwickelt, verschiedene Sicherheitswerkzeuge wie Firewalls und «Endpoint Protection & Detection»-Lösungen (EDR) im Unternehmen etabliert und vieles mehr. Ziel ist es, Angriffe so früh wie möglich zu erkennen und zu blockieren, um eine tiefgreifende Kompromittierung der IT-Landschaft zu verhindern.
Doch was passiert, wenn es dennoch zu einem Angriff kommt und die Schutzsysteme versagen? Wie soll das Unternehmen darauf reagieren (Soforthilfe bei Cyberangriffen)? Diese und weitere Fragen werden im Rahmen einer Tabletop-Übung in Zusammenarbeit mit dem Incident Response Team behandelt und durchgespielt.
Inhaltsverzeichnis
Was ist eine Tabletop-Übung?
Eine Tabletop-Übung, auch Planspiel oder Tischübung genannt, ist ein szenariobasiertes Training, das typischerweise in einer kontrollierten Umgebung stattfindet. Das Ziel einer solchen Übung ist es, die Fähigkeiten der Teilnehmenden im Krisenmanagement, in der Notfallplanung und in der Entscheidungsfindung zu testen und zu verbessern, ohne dass ein echtes Risiko besteht.
Während einer Tabletop-Übung wird ein fiktives, aber realistisches Szenario präsentiert, das eine Krise oder einen Notfall simuliert. Die Teilnehmenden, typischerweise Führungskräfte und/oder Schlüsselpersonal eines IT-Teams, müssen dann gemeinsam auf die simulierte Situation reagieren, Entscheidungen treffen und Lösungen erarbeiten. Dies geschieht in der Regel in Form von Diskussionen und Rollenspielen, die von Moderatoren geleitet werden.
Diese Übungen können eine Vielzahl von Themen abdecken, darunter Naturkatastrophen, Ausfälle kritischer Infrastrukturen, Terroranschläge oder andere Bedrohungsszenarien. Im Bereich der Cybersicherheit können auf diese Weise auch komplexe Cyberangriffe, beispielsweise eine Ransomware-Attacke, simuliert werden. Diese interaktiven und praxisnahen Übungen ermöglichen es den Teilnehmenden, ihre Notfallpläne zu testen, Schwachstellen zu identifizieren und die Zusammenarbeit und Kommunikation im Team im Falle eines Cyberangriffs zu verbessern.
Welche Arten von Tabletop-Übungen gibt es?
Eine Tabletop-Übung kann in vielen verschiedenen Varianten durchgeführt werden. Die Auswahl einer geeigneten Übung hängt von den verfügbaren Ressourcen, den Zielen der Übung und der Zielgruppe ab. Eine Übung für technisches Personal unterscheidet sich von einer Krisenmanagementübung für Führungskräfte sowohl in der Art der Durchführung als auch in den Zielen. Nachfolgend werden einige Varianten beschrieben.
Standard-Tabletop-Übung
Dies ist die grundlegende Form der Tabletop-Übung. Die Teilnehmenden werden mit einem fiktiven Szenario und in der Folge mit verschiedenen Aspekten dieses Szenarios konfrontiert. Ziel der Übung ist es, die verschiedenen Aspekte im Kreis der Teilnehmenden zu diskutieren und zu bearbeiten. Ein typischer Aspekt im Szenario eines Ransomware-Angriffs könnte beispielsweise die Wiederherstellung von Systemen aus Backups sein. Mögliche Aufgaben, mit denen die Teilnehmenden konfrontiert werden, sind:
- Wie werden kompromittierte Systeme aus einem Backup wiederhergestellt?
- Wie wird mit der vorliegenden Lösegeldforderung umgegangen?
- Welche Systeme sind für das Unternehmen am wichtigsten?
Diese Art von Übung eignet sich für verschiedene Zielgruppen, von der Führungsebene bis hin zum technischen Analyseteam, da sie sowohl allgemeine und konzeptionelle als auch theoretische technische Aspekte gut beleuchten kann.
Funktionelle Tabletop-Übung
Eine realistischere Art der Tabletop-Übung ist die funktionelle Tabletop-Übung. In der Vorbereitung wird für ein definiertes Szenario ein Drehbuch mit geplanten Einspielungen – sogenannte Injects – erstellt. Diese Injects treiben die Geschichte der Übung beziehungsweise des Szenarios voran, indem sie den Teilnehmenden zu bestimmten Zeitpunkten zugespielt werden. Injects sind einzelne Nachrichten, die beschreiben, was während der Übung passiert. Ein Inject kann jede Information sein, die das Szenario vorantreibt, beispielsweise:
- Eine E-Mail-Nachricht
- Ein Telefonanruf
- Ein Tweet
- Ein Alarm einer Schutzlösung
- Das Resultat aus einer Analyse
- Die Bitte um ein Interview
Diese Art von Tabletop-Übung ist besonders spannend, wenn es darum geht, Incident Management, Krisenkommunikation und die Zusammenarbeit zwischen den Teilnehmenden sowie zwischen verschiedenen Abteilungen zu üben.
Technische Tabletop-Übung
Im Gegensatz zu den vorherigen Varianten werden bei der technischen Tabletop-Übung bewusst verschiedene Aktivitäten im Netzwerk und/oder im Unternehmen simuliert. Ziel ist es, den Incident Response Plan von A bis Z abzuarbeiten, das heisst von der Erkennung über die Beseitigung bis hin zur Kommunikation und Eskalation werden alle Aspekte berücksichtigt und durchgespielt. Damit auch bei dieser Variante die Prozesse geübt und getestet werden können, werden typischerweise nur wenige Schlüsselpersonen über die Übung informiert. Dadurch soll sichergestellt werden, dass sich die Teams bewusst an die definierten Prozesse halten.
Auch in dieser Variante wird ein detailliertes Drehbuch erstellt, das vorgibt, wann und wie die Injects in die Übung eingespeist werden. Auch die Injects selbst sind ähnlich wie bei der funktionellen Übung, werden aber in dieser Variante aktiv durchgeführt, zum Beispiel:
- Ein simulierter Reporter schreibt aktiv eine E-Mail an die Kommunikationsabteilung.
- Eine simulierte Mitarbeiterin ruft aktiv den Service Desk an und schildert ein Problem oder eine Beobachtung.
- Aktivitäten und Befehle werden aktiv auf ausgewählten Systemen ausgeführt, mit dem Ziel, dass diese Aktivitäten Alarme erzeugen.
Diese aktiven Inputs sollen Reaktionen bei den Mitarbeitenden auslösen. Ziel der Übung ist es, diese Reaktionen mit dem definierten Prozess zu vergleichen, um Verbesserungsmöglichkeiten zu identifizieren. Diese Art von Tabletop-Übung kann für verschiedene Zwecke eingesetzt werden: Einerseits ist sie nützlich, um das Erkennen und Reagieren auf der technischen Seite zu trainieren. Andererseits kann eine solche Übung auch gut genutzt werden, um die Eskalationsprozesse und die Kommunikation zwischen verschiedenen Abteilungen zu verbessern.
Typischer Ablauf einer Tabletop-Übung
Eine Tabletop-Übung besteht für gewöhnlich aus mehreren Phasen, die darauf abzielen, die Teilnehmenden durch ein fiktives Szenario zu führen, um dabei ihre Reaktionsfähigkeit auf eine Krise oder Notfallsituation zu testen und zu verbessern. Typischerweise durchläuft eine Tabletop-Übung die folgenden Phasen:
- Vorbereitung und Planung: Die Organisation, in der die Übung durchgeführt werden soll, legt gemeinsam mit der Übungsleitung die Ziele, den Umfang und die Szenarien der Übung fest. Abhängig von den Zielen und dem definierten Szenario werden die Teilnehmenden aus verschiedenen Abteilungen und Funktionen ausgewählt, um eine realistische Reaktion auf den Vorfall widerzuspiegeln.
- Entwicklung des Szenarios: Die Übungsleitung entwickelt ein oder mehrere realistische Szenarien, die potenzielle Sicherheitsvorfälle oder Cyberangriffe simulieren. Die Szenarien werden in Form von detaillierten Drehbüchern mit verschiedenen Inputs entwickelt. Die Szenarien können unterschiedliche Bedrohungsvektoren wie Phishing, Ransomware, Datenlecks oder DDoS-Angriffe (Distributed Denial of Service) umfassen.
- Durchführung der Übung: Die Tabletop-Übung (Standard- und funktionelle Tabletop-Übung) beginnt mit einer Einführung in das Szenario in Form eines Berichts, einer Präsentation oder einer simulierten E-Mail oder Benachrichtigung. Die Teilnehmenden werden über den Angriff informiert und diskutieren gemeinsam, wie sie darauf reagieren würden.
- Diskussion und Entscheidungsfindung: Die Teilnehmenden diskutieren das Szenario und entscheiden über die Reaktion auf den Angriff. Dazu gehören Massnahmen zur Eindämmung des Vorfalls, die Kommunikation mit internen und externen Stakeholdern und die Koordination der Reaktion.
- Rollenspiele: In Tabletop-Übungen schlüpfen die Teilnehmenden in ihre realen Rollen und demonstrieren ihre Reaktionen im Rollenspiel. Dies fördert die Zusammenarbeit und Kommunikation im Team.
- Kritische Reflexion: Nach der Übung findet ein ausführliches Debriefing statt, bei dem die Teilnehmenden Erfahrungen und Herausforderungen austauschen, Verbesserungsmöglichkeiten diskutieren und Lehren ziehen.
- Berichterstattung und Massnahmenplan: Im Anschluss an die Übung wird ein Bericht erstellt, der die Durchführung dokumentiert, Schwachstellen in der Vorfallbewältigung identifiziert und mögliche Lösungen aufzeigt. Auf dieser Grundlage kann ein Massnahmenplan entwickelt werden, um das Incident Response Team und die gesamte Organisation besser auf zukünftige Sicherheitsvorfälle vorzubereiten.
- Wiederholung und Optimierung: Tabletop-Übungen sollten regelmässig durchgeführt werden, um das Training zu wiederholen, neue Teammitglieder auszubilden und die Incident-Response-Strategie kontinuierlich zu verbessern.
Ziele und Vorteile von Tabletop-Übungen
Die Ziele einer Tabletop-Übung im Bereich der Cybersicherheit können vielfältig sein und hängen von den spezifischen Bedürfnissen und Herausforderungen des Unternehmens oder der Organisation ab. Im Allgemeinen umfassen die Ziele:
- Incident Response üben: Die Tabletop-Übung dient dazu, das Incident Response Team und andere relevante Stakeholder auf mögliche Sicherheitsvorfälle vorzubereiten und ihre Reaktionsfähigkeit zu verbessern.
- Verbesserungsmöglichkeiten identifizieren: Durch die Simulation realistischer Angriffsszenarien können potenzielle Sicherheitslücken, Schwachstellen und Verbesserungsmöglichkeiten in den Sicherheitssystemen und Prozessen des Unternehmens aufgedeckt werden.
- Teamarbeit und Kommunikation stärken: Die Übung fördert die Zusammenarbeit und Kommunikation zwischen den Mitgliedern des Incident Response Teams und anderen relevanten Abteilungen, um eine effektive Koordination im Ernstfall zu gewährleisten.
- Incident-Response-Pläne testen und optimieren: Bestehende Notfallpläne und -verfahren können auf ihre Effektivität und Effizienz überprüft und gegebenenfalls verbessert werden.
- Krisenmanagement trainieren: Die Tabletop-Übung ermöglicht es dem Team, den Ablauf und die Eskalationsmechanismen bei einem Sicherheitsvorfall zu üben, um sicherzustellen, dass die richtigen Entscheidungen getroffen werden, wenn es darauf ankommt.
- Neue Teammitglieder schulen: Für neue Mitarbeitende des Incident Response Teams bietet die Übung eine praktische Einführung in die Abläufe und Prozesse des Unternehmens.
- Stakeholder sensibilisieren: Die Übung kann das Bewusstsein für Cybersicherheit und die Bedeutung einer effektiven Incident Response in der gesamten Organisation stärken.
- Incident-Response-Strategie verbessern: Die Erkenntnisse aus der Übung können genutzt werden, um die Incident-Response-Strategie und das Krisenmanagement des Unternehmens zu verbessern und zu präzisieren.
- Vertrauen stärken: Regelmässige Tabletop-Übungen können dazu beitragen, dass sich die Teammitglieder sicherer fühlen und besser auf tatsächliche Sicherheitsvorfälle vorbereitet sind, wodurch das Vertrauen in die gesamte Sicherheitspraxis des Unternehmens gestärkt wird.
- Compliance-Anforderungen erfüllen: In einigen Fällen kann die Teilnahme an Tabletop-Übungen eine Voraussetzung für bestimmte Compliance-Standards oder Zertifizierungen sein.
Der Hauptvorteil einer Tabletop-Übung liegt in der realistischen Simulation von Krisensituationen ohne die damit verbundenen realen Gefahren. Dadurch können die Teilnehmenden ihre Reaktionen und Strategien in einer sicheren Umgebung üben und wertvolle Erfahrungen sammeln, die im Ernstfall entscheidend sein können. Darüber hinaus können durch die Nachbesprechung und Analyse der Übung wertvolle Erkenntnisse gewonnen und Massnahmen zur Verbesserung der Notfallplanung und -reaktion abgeleitet werden.
Zusammenfassung und Ausblick
«Übung macht den Meister» – eine alte Weisheit, die auch im Bereich der Cybersicherheit, insbesondere bei der Reaktion auf Cyberangriffe, nicht unterschätzt werden darf. Unternehmen investieren viel Zeit und Geld in die Absicherung der Organisation gegen Cyberangriffe mit dem Ziel, diese gar nicht erst entstehen zu lassen. Doch gerade hier ist regelmässiges Training für den Fall der Fälle besonders wichtig. Was tun, wenn die Schutzsysteme nicht mehr greifen? Welche Massnahmen sind umzusetzen? Wer muss informiert werden? All dies sind Fragen und Aspekte, die bereits im Vorfeld eines Cyberangriffs thematisiert, definiert und vor allem geübt werden können.
Oneconsult unterstützt Sie auch in diesen Belangen und erstellt für Sie einen Incident Response Plan, der festlegt, welche Schritte im Notfall zu unternehmen sind. Dieser Plan kann dann in Form von Tabletop-Übungen in verschiedenen Varianten geübt und verinnerlicht werden. Basierend auf realen Cyberattacken, die durch unser Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) betreut werden, erhalten Sie die Möglichkeit, Ihre Prozesse anhand realer Szenarien zu testen und Ihr Team zu trainieren.