Cyberkriminelle sind überall. Leider haben sie, sobald sie in Ihr Netzwerk eingedrungen sind, reichlich Zeit für ihr schmutziges Geschäft, da IT-Teams im Durchschnitt fast zwei Monate benötigen (50 Tage), um zu erkennen, dass es zu einem Sicherheitsvorfall gekommen ist.
Und die Kosten summieren sich schnell. Laut der Studie „2019 Cost of a Data Breach“ des Ponemon Institute liegen die durchschnittlichen Wiederherstellungskosten pro Vorfall bei 3,92 Millionen $.
Um diese Risiken zu mindern, benötigen Sie einen Plan zur Reaktion auf Cybervorfälle. So können Sie Schäden und Kosten minimieren, wenn – nicht falls – Sie angegriffen werden.
Doch wie fügen sich Cybersicherheit – und eine schnelle Reaktion auf Vorfälle – in Ihre etablierten (und vermutlich gut geölten) Abläufe des IT-Incident-Managements ein?
Die IT Infrastructure Library (ITIL®) ist zum Standard geworden, wie viele Organisationen ihre IT-Infrastrukturen managen. Doch auch wenn sie – oder Varianten davon – Unternehmen gut dabei unterstützen, ihre IT-Services zu organisieren und zu steuern, kommt die Sicherheit zu kurz. Sich auf ITIL zu verlassen, kann Sie im Stich lassen, wenn Cyberkriminelle es auf Sie abgesehen haben.
In diesem Blog erläutern wir, wie Sicherheit und IT-Incident-Management in vielen Organisationen derzeit in unterschiedlichen Silos verankert sind. Wir zeigen, warum das ein Problem ist, und schlagen Wege vor, dies zu beheben, damit jeder Vorfall, der IT-Services beeinträchtigt – ob Cybersicherheit, IT-Infrastruktur oder andere Themen – schnell und effektiv adressiert und gelöst wird.
Incident Management und Cybersicherheit: getrennt, aber gleichermaßen wichtig
Ihr IT-Incident-Management-Team (IM) ist ein zentraler Bestandteil des IT Service Managements (ITSM). Sein Auftrag ist es, Services nach Unterbrechungen schnell wieder in den Normalbetrieb zu bringen. Ziel ist es, die Auswirkungen auf Nutzer – und das Unternehmen – zu minimieren. Operativ bedeutet das, Dauer und Schwere von Störungen durch unerwartete Hardware-, Software- und Netzwerkverlangsamungen oder -ausfälle zu reduzieren.
Das IM-Team wird aktiv, wenn jemand oder etwas – ein Nutzer oder ein IT-Mitarbeiter oder vielleicht ein automatisiertes Alarmsystem – feststellt, dass ein Ereignis eingetreten ist. Vielleicht ist das Netzwerk langsamer geworden oder eine Anwendung reagiert nicht. Das IM-Personal grenzt den Vorfall zunächst ein, um zu verhindern, dass er andere Services beeinträchtigt. Anschließend wird in der Regel ein temporärer Workaround gefunden, die Korrektur ausgerollt, das System wiederhergestellt und zurück in die Produktion überführt. Danach führt die IT (falls erforderlich) eine Ursachenanalyse durch, um den Grund des Problems zu ermitteln, dokumentiert den Vorfall für spätere Referenz und bindet bei Bedarf die richtigen Personen ein, um an einer dauerhaften Lösung zu arbeiten.
Viele Unternehmen haben zudem starke Cybersicherheits-Teams aufgebaut. Diese Incident-Response-Teams (IR) sind traditionell einem vergleichbaren, wenn auch parallelen Vorgehen gefolgt, um Probleme zu lösen wie das IM-Team. Der Unterschied: Ihr Auftrag ist auf die Reaktion auf Sicherheitsvorfälle ausgerichtet. Zu den Ereignissen, die das Cybersicherheits-Team typischerweise zur Reaktion veranlassen, gehören:
- Malware
- Erfolgreicher oder erfolgloser Hackerangriff
- Alarm durch ein Intrusion-Detection-System
- Unbefugter Zugriff auf sensible Informationen
- Unbefugte Veränderung von Informationen
- Unbefugter Zugriff auf klassifizierte oder anderweitig sensible Daten
- Kompromittierung der System-/Serverintegrität
- Denial of Service (DoS) oder verteiltes DoS
Cybersicherheits-Teams und IM-Teams haben traditionell unabhängig voneinander gearbeitet. Doch die Welt verändert sich. Die Technologie entwickelt sich rasant weiter, und Organisationen sind zunehmend von ihr abhängig. Das bedeutet: Systeme müssen jederzeit verfügbar sein – sonst hat das negative Auswirkungen auf das Geschäft. Die Komplexität heutiger IT-Umgebungen und die Raffinesse von Cyberkriminellen – die Sicherheitsprofis leider immer einen Schritt voraus zu sein scheinen – bedeuten, dass Unternehmen wie Ihres eine neue Beziehung zwischen den Teams schaffen müssen. Das heißt, die Menschen, Prozesse und Technologien beider Bereiche zu analysieren und zu prüfen, wie sie nahtloser zusammenarbeiten können.
Die Herausforderungen der IM-IR-Integration
Heute stehen Unternehmen vor Fragen wie: Wann wird ein IT-IM-Thema zu einem Sicherheitsthema – und umgekehrt? Wer – oder welche automatisierten Systeme – trifft diese Entscheidung? Und was passiert dann? Leider adressiert ITIL diese und andere Fragen nicht direkt. Zwar gibt es auf hoher Ebene Orientierung, operativ ist es jedoch wenig hilfreich.
„Die alte ‚IT‘-Art, auf Sicherheitsvorfälle zu reagieren, während der CIO Ihnen über die Schulter schaut und fragt: ‚Ist es schon behoben?‘, ist längst vorbei“, schrieb Robert Herjavec, Präsident der Herjavec Group, einer in Los Angeles ansässigen Beratung.
Diese neue Komplexität bringt viele Herausforderungen mit sich. Ganz oben: IM- und IR-Teams werden heute mit Warnmeldungen und Daten aus einem wachsenden Portfolio isolierter Einzellösungen überflutet – zur Verwaltung sowohl von Infrastruktur- als auch von Sicherheitsstörungen. Doch den Daten zu diesen Vorfällen und Schwachstellen fehlt häufig der Geschäftskontext. Dadurch ist es schwierig zu erkennen, welche davon die größte Bedrohung für die Organisation darstellen und wer am besten geeignet ist, die Störung zu bewältigen. Manuelle Prozesse und Übergaben zwischen Teams behindern den Ablauf zusätzlich.
Ein neuer Ansatz
Wir beobachten bereits einen drastischen Wandel darin, wie Unternehmen heute über Cybersecurity-IR sprechen. Die verwendete Sprache stammt aus dem Bereich der Notfallreaktion – etwa von Ersthelfern und militärischen Teams: Begriffe wie Erkennung, Eindämmung, Beseitigung und Wiederherstellung werden häufig im Zusammenhang mit Cybersecurity-IR verwendet.
Führende Organisationen haben zudem die Organisationsstrukturen von Notfallprofis übernommen, indem sie die Hierarchie der Teammitglieder als „Incident Command“-Einheit bezeichnen – inklusive eines Incident Commanders, also der Führungskraft, die bei oft sehr ernsthaften Cybersecurity-Vorfällen die Entscheidungen trifft.
Wenn Sie diese Begriffe bei dem Versuch, IM und IT-Incident-Management aufeinander abzustimmen, noch nicht gehört haben, haben Sie vermutlich nicht das richtige Team zur Hand, um einen Cybersicherheits-Notfall zu bewältigen. Hier ist der übliche Lebenszyklus für das Cybersecurity-IT-Team:
- Vorbereitung: Führen Sie eine Risikobewertung der Organisation durch und etablieren Sie Sicherheitsrichtlinien
- Erkennung: Identifizieren Sie, wann ein potenzieller Sicherheitsvorfall stattgefunden hat
- Eindämmung: Verhindern Sie, dass sich Eindringlinge (oder eine Infektion) ausbreiten
- Beseitigung: Entfernen Sie das Problem
- Wiederherstellung: Bringen Sie Systeme und Betrieb wieder in den Normalzustand
- Lessons Learned: Führen Sie eine gründliche „Post-Mortem“-Analyse durch, um für das nächste Mal vorbereitet zu sein
Erste Schritte
Um diesen Lebenszyklus umzusetzen, müssen Sie zunächst einen Prozess etablieren, um zu identifizieren, welche Ereignisse sicherheitsrelevant sind – im Gegensatz zu Ereignissen, die in den Zuständigkeitsbereich des IM-Teams fallen. Manchmal ist das offensichtlich. Beispielsweise kann Ihr Intrusion- oder SIEM-System einen DDoS-Angriff erkennen. Dann würde es selbstverständlich eine Warnung an das Security-IR-Team senden. Mitunter kann es jedoch einige Zeit dauern, ein Ereignis zu untersuchen, bevor Sie erkennen, dass es sich tatsächlich um ein Sicherheitsthema handelt.
Ein erster Schritt ist, Ihren Helpdesk und anderes IT-IM-Personal darin zu schulen, Sicherheitsvorfälle zu erkennen – definiert als jedes IT-Ereignis, das die Verfügbarkeit, Privatsphäre, Vertraulichkeit oder Integrität eines IT-Services beeinträchtigt oder zu beeinträchtigen versucht.
Wie bei allen Vorfällen ist der Einsatz spezifischer Fragetechniken gleich zu Beginn eines Vorfalls sowie die Fähigkeit, Informationen zu strukturieren, entscheidend, um Sicherheitsvorfälle frühzeitig aufzudecken und gezielte Maßnahmen einzuleiten. Insbesondere der Schritt, den wir „Separate & Clarify“ nennen, ist wesentlich, um Symptome und Auswirkungen ausreichend granular zu beschreiben, um zu erkennen, „was darunter wirklich passiert“. Das erhöht die Wahrscheinlichkeit, dass ein IM-Team einen wahrscheinlichen Sicherheitsvorfall identifiziert, das IR-Team so früh wie möglich in den Prozess einbindet und Schäden minimiert.
Das funktioniert nur, wenn Organisationen IM zumindest teilweise mit der Cybersecurity-Incident-Response integrieren. Ein Bericht von Enterprise Management Associates („Next-Generation IT Service Management: Changing the Future of IT“) stellte fest, dass eine der beiden wichtigsten strategischen Prioritäten für IT-IM-Fachleute – an zweiter Stelle nach der Verbesserung der User Experience – „integrierte, siloübergreifende Unterstützung für Sicherheit“ ist. Sowohl diese als auch andere von den Befragten genannten strategischen Prioritäten bieten starke, anhaltende Anreize für Veränderung und Wachstum in Enterprise-IT-IM-Teams, um Cybersicherheit mit abzudecken.
Die 2019 von AXELOS veröffentlichten RESILIA-Richtlinien sind ein weiterer guter Einstieg. RESILIA ist ein Portfolio aus Training, Lernen und Zertifizierung, das auf dem RESILIA Cyber Resilience Best Practices Guide basiert. Es richtet Cybersicherheitsrichtlinien an ITIL aus und ermöglicht so, Sicherheit in Ihre bestehenden IM-Prozesse zu integrieren.
Natürlich gilt, was für Major Incidents (P1) gilt, auch für das Management von Sicherheitsvorfällen, die per Definition meist „major“ sind. Nach der Erkennung sollten sie anders als reguläre Vorfälle gemanagt werden. Dazu gehören dedizierte Ressourcen und Incident Manager, die technische Expertise mit der Fähigkeit verbinden, Major-Incident-Teams zu moderieren und sie durch exzellentes Troubleshooting, Entscheidungsfindung und Risikomanagement zur Lösung zu führen.
Was als Nächstes zu tun ist
Sicherheitsereignisse können belastend sein – insbesondere, weil sie für viele Ihrer IM-Mitarbeitenden außerhalb ihrer Komfortzone liegen. Das gilt besonders bei komplexen Vorfällen, bei denen Fachleute aus anderen Bereichen wie HR, Recht, Compliance oder der Unternehmensleitung eingebunden werden müssen. Diese Fachleute sind es gewohnt, strukturierter zu arbeiten, und hatten vermutlich nur wenig Berührung mit Cybersecurity-IR-Prozessen. Dadurch wird die Arbeit des IM-Teams noch wichtiger. Denn wenn IM-Praktiken und -Leitlinien in der Cybersecurity-IR fehlen, kann der Wiederherstellungsprozess deutlich weniger effizient und effektiv sein – mit mehr finanziellen Schäden und Reputationsverlusten. Deshalb ist Ihr IM-Team in Zeiten kontinuierlicher, chronischer Cybersicherheitsrisiken wichtiger denn je.
Über Kepner-Tregoe
Kepner-Tregoe hat Tausende von Unternehmen befähigt, Millionen von Problemen zu lösen. KT bietet Kunden in den Bereichen Operations, Fertigung, IT-Service-Management, technischer Support sowie Personalentwicklung einen datengesteuerten, konsistenten und skalierbaren Ansatz. Wir befähigen Sie, Probleme zu lösen. KT bietet eine einzigartige Kombination aus Kompetenzentwicklung und Beratungsleistungen, die speziell darauf ausgerichtet sind, die Ursachen von Problemen aufzudecken und organisatorische Herausforderungen dauerhaft anzugehen. Unser Problemlösungsansatz liefert messbare Ergebnisse für jedes Unternehmen, das Qualität und Effektivität verbessern und gleichzeitig die Gesamtkosten senken möchte.
