Wie Cybersicherheit das Gesicht des Incident Management verändert

Cyber-Kriminelle sind überall. Wenn sie erst einmal in Ihr Netzwerk eingedrungen sind, haben sie leider viel Zeit, um ihre schmutzige Arbeit zu verrichten, denn es dauert fast zwei Monate (50 Tage) dauert es im Durchschnitt, bis IT-Teams feststellen, dass eine Sicherheitsverletzung stattgefunden hat.

Und die Kosten summieren sich schnell. Nach Angaben der Ponemon Institute's 2019 Cost of a Data Breach Studydie durchschnittlichen Kosten der Verwertung pro Ereignis beträgt $3,92 Millionen.

Um diese Risiken zu mindern, brauchen Sie einen Reaktionsplan für Cybervorfälle. So können Sie den Schaden und die Kosten minimieren, wenn Sie angegriffen werden - und nicht, wenn Sie angegriffen werden.

Aber wie passen Cybersicherheit und eine schnelle Reaktion auf Vorfälle in Ihr etabliertes (und vermutlich gut geöltes) IT-Vorfallmanagement-System?

Die IT-Infrastruktur-Bibliothek (ITIL®) ist der Standard geworden wie viele Unternehmen ihre IT-Infrastrukturen verwalten. Doch obwohl ITIL - oder Varianten davon - den Unternehmen bei der Organisation und Verwaltung ihrer IT-Dienste gute Dienste leistet, mangelt es ihm an Sicherheit. Wenn Sie sich auf ITIL verlassen, könnten Sie auf dem Trockenen sitzen, wenn die Cyberkriminellen auf Sie zukommen.

In diesem Blog sprechen wir darüber, wie Sicherheit und IT-Vorfallmanagement in vielen Unternehmen derzeit in verschiedenen Silos untergebracht sind. Wir gehen der Frage nach, warum dies ein Problem ist, und machen Vorschläge, wie dieses Problem behoben werden kann, damit jeder Vorfall, der IT-Dienste betrifft - sei es Cybersicherheit, IT-Infrastruktur oder andere Probleme - schnell und effektiv angegangen und gelöst werden kann.

Incident Management und Cybersicherheit: getrennt, aber gleich wichtig

Ihr IT-Vorfallmanagement (IM)-Team ist ein wichtiger Bestandteil des IT-Service-Managements (ITSM). Die Aufgabe des Teams besteht darin, die Dienste nach Unterbrechungen schnell wieder normal laufen zu lassen. Ihr Ziel ist es, die Auswirkungen des Problems auf die Benutzer und das Unternehmen zu minimieren. In betrieblicher Hinsicht bedeutet dies, die Dauer und Schwere von Unterbrechungen durch unerwartete Hardware-, Software- und Netzwerkverlangsamungen oder -ausfälle zu reduzieren.

Das IM-Team tritt in Aktion, wenn jemand oder etwas - ein Benutzer oder IT-Mitarbeiter oder vielleicht ein automatisches Warnsystem - feststellt, dass ein Ereignis eingetreten ist. Vielleicht hat sich das Netzwerk verlangsamt oder eine Anwendung reagiert nicht. Die IM-Mitarbeiter schränken den Vorfall zunächst ein, um zu verhindern, dass er sich auf andere Dienste auswirkt. Anschließend wird in der Regel eine vorübergehende Umgehung gefunden, das System wiederhergestellt und wieder in Betrieb genommen. Die IT-Mitarbeiter führen dann (falls erforderlich) eine Ursachenanalyse durch, um den Grund für das Problem zu ermitteln, protokollieren den Vorfall für spätere Referenzzwecke und binden bei Bedarf die zuständigen Personen ein, um mit der Arbeit an einer dauerhaften Lösung zu beginnen.

Viele Unternehmen haben auch solide Cybersicherheitsteams aufgebaut. Diese Incident-Response-Teams (IR-Teams) verfolgen traditionell einen vergleichbaren, wenn auch parallelen Weg zur Lösung von Problemen wie das IM-Team. Der Unterschied ist, dass ihr Auftrag darin besteht, auf Sicherheitsvorfälle zu reagieren. Zu den Ereignissen, die eine Reaktion des Cybersicherheitsteams auslösen, gehören:

  • Malware
  • Erfolgreicher oder erfolgloser Hackerangriff
  • Ein von einem Einbruchserkennungssystem ausgelöster Alarm
  • Unbefugter Zugang zu sensiblen Informationen
  • Unbefugte Änderung von Informationen
  • Unbefugter Zugang zu geheimen oder anderweitig sensiblen Daten
  • Beeinträchtigung der System-/Serverintegrität
  • Denial of Service (DoS) oder verteilter DoS

Cybersecurity-Teams und IM-Teams haben traditionell unabhängig voneinander gearbeitet. Aber die Welt verändert sich. Die Technologie schreitet schnell voran, und die Unternehmen sind zunehmend von ihr abhängig. Das bedeutet, dass die Systeme immer betriebsbereit sein müssen, da dies sonst negative Auswirkungen auf das Unternehmen hat. Die Komplexität der heutigen IT-Umgebungen und die Gerissenheit von Cyberkriminellen - die den Sicherheitsexperten leider immer einen Schritt voraus zu sein scheinen - bedeuten, dass Unternehmen wie das Ihre eine neue Beziehung zwischen den Teams aufbauen müssen. Das bedeutet, dass die Mitarbeiter, Prozesse und Technologien beider Bereiche analysiert werden müssen, um herauszufinden, wie sie nahtlos zusammenarbeiten können.

Die Herausforderungen der IM-IR-Integration

Unternehmen stehen heute vor Fragen wie: Wann wird ein IT-IM-Problem zu einem Sicherheitsproblem - und umgekehrt? Wer - oder welche automatisierten Systeme - trifft diese Entscheidung? Was geschieht dann? Leider geht ITIL nicht direkt auf diese und andere Fragen ein. Obwohl sie auf hohem Niveau informiert, was zu tun ist, ist sie in der Praxis nicht sehr hilfreich.

"Die alte 'IT'-Methode, bei der man auf Sicherheitsvorfälle reagiert und der CIO einem über die Schulter schaut und fragt: 'Ist das Problem schon behoben?', ist längst überholt. schrieb Robert HerjavecPräsident der Herjavec-Gruppe, einer Beratungsfirma mit Sitz in Los Angeles.

Diese neue Komplexität bringt viele Herausforderungen mit sich. Die wichtigste davon: IM- und IR-Teams werden heute mit Warnmeldungen und Daten aus einem wachsenden Portfolio von isolierten Einzellösungen überschwemmt, um sowohl Infrastruktur- als auch Sicherheitsstörungen zu verwalten. Den Daten zu diesen Vorfällen und Schwachstellen fehlt jedoch oft der geschäftliche Kontext, so dass es schwierig ist, zu erkennen, welche Vorfälle die größte Bedrohung für das Unternehmen darstellen und wer am besten mit der Störung umgehen kann. Manuelle Prozesse und teamübergreifende Übergaben erschweren den Prozess noch weiter.

Ein neuer Ansatz

Wir beobachten bereits einen drastischen Wandel in der Art und Weise, wie Unternehmen heute über Cybersecurity IR sprechen. Die Sprache, die dabei verwendet wird, stammt ursprünglich von Notfalleinsatzkräften wie Ersthelfern und Militärteams: Begriffe wie Entdeckung, Eindämmung, Ausrottungund Wiederherstellung werden häufig im Zusammenhang mit der Cybersicherheitsinformatik genannt.

Führende Organisationen haben sich auch die Organisationsstrukturen von Notfallexperten, indem sie die Hierarchie der Teammitglieder als "Vorfallskommando" mit einem Vorfallskommandanten bezeichnen, der bei den häufig sehr ernsten Cybersicherheitsvorfällen das Sagen hat.

Wenn Sie diese Begriffe beim Versuch, IM und IT-Vorfallmanagement in Einklang zu bringen, noch nicht gehört haben, verfügen Sie wahrscheinlich nicht über das richtige Team, um einen Cybersecurity-Notfall zu bewältigen. Hier ist der übliche Lebenszyklus für das IT-Team für Cybersicherheit:

  1. Vorbereitung: Durchführung einer Risikobewertung der Organisation und Festlegung von Sicherheitsrichtlinien
  2. Entdeckung: Erkennen, wann ein potenzieller Verstoß stattgefunden hat
  3. Eindämmung: Verhinderung der Ausbreitung der Eindringlinge (oder der Infektion)
  4. Ausrottung: Beseitigen Sie das Problem
  5. Erholung: Wiederherstellung der normalen Systeme und Abläufe
  6. Gelernte Lektionen: Führen Sie eine gründliche "Obduktion" durch, um für das nächste Mal gerüstet zu sein.

Erste Schritte

Um diesen Lebenszyklus zu implementieren, müssen Sie zunächst ein Verfahren einrichten, mit dem Sie feststellen können, welche Ereignisse sicherheitsrelevant sind - im Gegensatz zu den Ereignissen, die zum IM-Team gehören. Manchmal ist es offensichtlich. Ihr Intrusions- oder SIEM-System könnte zum Beispiel einen DDOS-Angriff erkennen. In diesem Fall würde es natürlich eine Warnung an das IR-Sicherheitsteam senden. Manchmal kann es jedoch einige Zeit dauern, bis Sie erkennen, dass es sich tatsächlich um ein Sicherheitsproblem handelt.

Ein erster Schritt besteht darin, Ihren Helpdesk und andere IT-Mitarbeiter darin zu schulen, Sicherheitsvorfälle zu erkennen, d. h. jedes IT-Ereignis, das die Verfügbarkeit, den Datenschutz, die Vertraulichkeit oder die Integrität eines IT-Dienstes beeinträchtigt oder zu beeinträchtigen versucht.

Wie bei allen Vorfällen ist die Anwendung spezifischer Fragetechniken gleich zu Beginn eines Vorfalls und die Fähigkeit, die Informationen aufzuschlüsseln, entscheidend für die frühzeitige Aufdeckung von Sicherheitsvorfällen und die Einleitung spezifischer Maßnahmen. Insbesondere der Schritt, den wir "Separate & Clarify" nennen, ist wichtig, um die Symptome und die Auswirkungen auf einer ausreichend granularen Ebene zu beschreiben, um zu sehen, "was dahinter steckt". Dies erhöht die Wahrscheinlichkeit, dass ein IM-Team einen wahrscheinlichen Sicherheitsvorfall identifiziert und das IR-Team so früh wie möglich in den Prozess einbezieht und den Schaden minimiert.

Dies funktioniert nur, wenn Unternehmen die IM zumindest teilweise in die Reaktion auf Cybersecurity-Vorfälle integrieren. Ein Bericht von Enterprise Management Associates' "IT-Service-Management der nächsten Generation: Changing the Future of IT" (Die Zukunft der IT verändern) ergab, dass eine der beiden wichtigsten strategischen Prioritäten für IT-IM-Fachleute - nach der Verbesserung der Benutzerfreundlichkeit - die "integrierte, siloübergreifende Unterstützung der Sicherheit" ist. Diese und andere strategische Prioritäten, die von den Umfrageteilnehmern genannt wurden, bieten starke, anhaltende Anreize für Veränderungen und Wachstum bei den IT-IM-Teams der Unternehmen, um die Cybersicherheit einzubeziehen.

Untersuchungen der RESILIA Richtlinien, die von AXELOS 2019 veröffentlicht werden, ist ein weiterer Ort, an dem Sie Ihre Reise beginnen können. RESILIA ist ein Schulungs-, Lern- und Zertifizierungsportfolio, das durch den RESILIA Cyber Resilience Best Practices Guide untermauert wird. Die Richtlinien zur Cybersicherheit werden an ITIL angeglichen, sodass die Sicherheit in Ihre bestehenden IM-Prozesse integriert werden kann.

Was für schwerwiegende (P1) Vorfälle gilt, gilt natürlich auch für die Bewältigung von Sicherheitsvorfällen, die fast per Definition "schwerwiegend" sind. Sie sollten nach ihrer Entdeckung anders gehandhabt werden als normale Vorfälle. Dazu gehören spezielle Ressourcen und Vorfallmanager, die das technische Fachwissen mit der Fähigkeit kombinieren, Teams für größere Vorfälle zu unterstützen und sie durch hervorragende Fehlerbehebung, Entscheidungsfindung und Risikomanagement zur Lösung zu bringen.

Was ist als nächstes zu tun?

Sicherheitsvorfälle können stressig sein, vor allem, weil sie für viele Ihrer Mitarbeiter außerhalb ihrer gewohnten Umgebung liegen. Dies gilt vor allem bei komplexen Vorfällen, bei denen Fachleute aus anderen Abteilungen wie der Personalabteilung, der Rechtsabteilung, der Compliance-Abteilung oder der Geschäftsleitung einbezogen werden müssen. Diese Fachleute sind es gewohnt, strukturierter zu arbeiten, und haben wahrscheinlich nur wenig Erfahrung mit IR-Prozessen im Bereich der Cybersicherheit. Dies macht die Arbeit des IM-Teams noch wichtiger. Wenn IM-Praktiken und -Richtlinien nicht in die Cybersecurity-IR einbezogen werden, kann der Wiederherstellungsprozess erheblich weniger effizient und effektiv sein, was zu größeren finanziellen und Reputationsschäden führt. Aus diesem Grund ist Ihr IM-Team in Zeiten ständiger, chronischer Cybersecurity-Risiken wichtiger denn je.

Über Kepner-Tregoe

Kepner-Tregoe hat Tausende von Unternehmen bei der Lösung von Millionen von Problemen unterstützt. KT bietet einen datengesteuerten, konsistenten, skalierbaren Ansatz für Kunden in den Bereichen Betrieb, Fertigung, IT-Service-Management, technischer Support sowie Lernen und Entwicklung. Wir befähigen Sie, Probleme zu lösen. KT bietet eine einzigartige Kombination aus Kompetenzentwicklung und Beratungsdiensten, die speziell darauf ausgerichtet sind, die Ursache von Problemen aufzudecken und organisatorische Herausforderungen dauerhaft zu lösen. Unser Ansatz zur Problemlösung liefert messbare Ergebnisse für jedes Unternehmen, das Qualität und Effektivität verbessern und gleichzeitig die Gesamtkosten senken möchte.

Blog Bild 1
Zwischenfälle und Probleme - zwei Seiten einer Münze
Blog Bild 1
Bewährte Praktiken bei der Nachbereitung von Zwischenfällen verbessern die Reaktion auf Zwischenfälle dramatisch
Blog Bild 1
Störungsbehebung oder Problemlösung - wählen Sie Ihr Gift
Blog Bild 1
Wie man ein Superstar im Störungs- und Problemmanagement wird

Wir sind Experten in:

Kontaktieren Sie uns

für Anfragen, Details oder ein Angebot!