Die Zukunft wird einfach

Vorfallreaktionsplan


vorfallreaktionsplan
incident-response-plan
der ablauf der vorfallsbewältigung ist in drei phasen einzuteilen.

phase 1: analyse

◦ identifikation betroffener systeme

◦ analyse der schadprogramme

◦ schadensfeststellung

phase 2: übergangsbetrieb

◦ verhinderung weiterer infektion und verschlüsselung

◦ blockierung der täterzugänge

◦ intensives monitoring des netzes

phase 3: bereinigung

◦ konzeption/umsetzung/neustart

◦ weitere sicherheitsmaßnahmen (aus fehlern bzw. lücken lernen, sicherheitskonzept überarbeiten und erneuern)
checkliste organisatorisches

bewahren sie ruhe und handeln sie nicht übereilt.

wissen alle, die intern davon wissen müssen vom mutmaßlichen it-notfall?

ist der it-sicherheitsverantwortliche, der datenschutzbeauftragte, der it-betrieb informiert?
ist die geschäftsleitung informiert?
müssen weitere interne stellen informiert werden?

organisieren sie sich. richten sie einen krisenstab und ggf. ein notfallteam ein. -> siehe geschäftsfortführungsplan 0.1

wer trifft die relevanten entscheidungen?
wer macht was bis wann?

sammeln sie möglichst schnell und möglichst viele informationen, um fundierte entscheidungen treffen zu können.

was ist eigentlich passiert?
wie ist es aufgefallen? wurde es durch externe gemeldet? dann halten sie den kontakt zu diesen aufrecht, sofern dort gewünscht, um zu verhindern, dass der vorfall aus einem gefühl der vernachlässigung vorzeitig publik gemacht wird
welche auswirkungen kann es direkt auf das unternehmen, seine kerndienstleistungen oder auf wesentliche produktionsprozesse haben?
◦ muss der weiterbetrieb um jeden preis gewährleistet werden? das wirkt sich möglicherweise negativ auf forensische beweissicherung und analyseergebnisse aus
◦ besteht ausreichend zeitlicher spielraum, um das problem umfassender zu analysieren und zu bewältigen?
◦ ist eine strafverfolgung vorgesehen? muss deshalb beweissicher gehandelt werden? das erfordert i.d.r. umsichtigeres und aufwändigeres vorgehen
welche auswirkungen kann es auf kunden, partner oder die öffentlichkeit haben?
◦ ergibt sich daraus zusätzlicher handlungsbedarf?
warum ist es uns passiert? gibt es hinweise auf ein gezieltes vorgehen? sind wir nur eines von vielen potentiellen opfer?

welche kommunikationsaspekte müssen berücksichtigt werden?

falls noch nicht vorhanden, schaffen sie die rolle eines zuständigen kommunikationsexperten, pressesprechers oder ähnliches, um informationen abgestimmt, gezielt und gebündelt zu verteilen, aber auch entgegen zu nehmen. -> geschäftsfortführungsplan
vernachlässigen sie nicht die betriebs-/ unternehmensinternen benachrichtigungen ihrer mitarbeiter, ggf. bereits mit entsprechenden sprachregelungen
prüfen sie, wer informiert werden sollte oder muss
bestehen meldepflichten?
◦ im falle einer damit verbundenen relevanten datenschutzverletzung, ist der it-vorfall an die zuständige datenschutzaufsichtsbehörde zu melden.
gelten für sie im falle von it-vorfällen vertragliche informationspflichten, beispielsweise gegenüber auftraggebern, geschäftspartnern, auftragnehmern oder versicherungen, oder vergleichbare compliance-regeln? -> siehe meldeliste im anhang
beziehen sie auch ihre kunden und die öffentlichkeit in ihre überlegungen mit ein.
wollen sie den it-vorfall freiwillig melden (ggf. anonymisiert/pseudonymisiert), um die warnung potentiell weiterer betroffener zu ermöglichen? dazu steht ihnen das onlineformular der allianz für cyber-sicherheit zur verfügung.
wollen sie strafanzeige stellen?

wird eine externe unterstützung benötigt? wenn ja, wo finde ich sie?

ihre industrie- und handelskammer bietet ansprechpartner vor ort an
das bsi stellt verschiedene übersichten geeigneter dienstleister zur verfügung
in einzelfällen unterstützt sie das bsi beratend oder unterstützend im rahmen freier ressourcen

Nachbereitung

lernen sie aus dem it-vorfall
bereiten sie sich auf den nächsten it-vorfall vor

security melde-adressen von kunden und partnern
amazon 3p-security@amazon.com
Kammerhofer amazon@kammerhofer.at
checkliste technik

keine anmeldung mit privilegierten nutzerkonten auf einem potenziell infizierten systemen.

existieren benutzerkonten mit unnötigen, privilegierten rechten?
sind hinweise zu erkennen, ob diese privilegierten rechte durch unbefugte / angreifer – möglicherweise in jüngster vergangenheit – eingerichtet wurden?

vergewissern sie sich, dass sie vollständige und aktuelle informationen über Ihr netzwerk verwenden.

identifizieren sie das/die betro  ene(n) system(e). beschränken sie sich nicht nur auf das offensichtliche. ziehen sie in betracht, dass weitere systeme ebenfalls betroffen sind und noch auf befehle des angreifers warten.
betroffene systeme vom internen produktiven netzwerk und dem internet trennen
◦ dazu das netzwerkkabel ziehen
◦ gerät nicht herunterfahren oder ausschalten, sofern eine technische analyse beabsichtigt ist
◦ gegebenenfalls forensische sicherung inkl. speicherabbild (selbst, durch dienstleister oder strafverfolgungsbehörden) erstellen, sofern eine strafverfolgung eingeleitet werden soll. (https://www.allianz-fuer-cybersicherheit.de/ACS/ZACs)
◦ erst danach av-programme einsetzen, da diese ggf. änderungen sowohl am flüchtigen als auch persistenten speicher vornehmen könnten
betrachten sie in zierte lokale systeme grundsätzlich als vollständig kompromittiert. eine punktuelle bereinigung ist nur mit umfassendem fachwissen erfolgversprechend. planen sie im regelfall eine komplette neuinstallation ein.
betrachten sie alle auf betroffenen systemen gespeicherten bzw. nach der infektion eingegebenen zugangsdaten ebenfalls als kompromittiert
betrachten sie im fall einer kompromittierung des active directory (ad) auch das gesamte netz als kompromittiert.

sofern bisher noch kein ausreichendes netzwerk-monitoring und logging aktiviert war, stimmen sie sich mit ihrem datenschutzbeauftragten (und ggf. betriebs-/ personalrat) ab und richten ein solches ein, um noch andauernde angriffe oder datenabflüsse feststellen zu können.

als best-practice gilt das auch vom bsi empfohlene full-packet-capturing im netzwerk.
◦ am mirror-port an internen, zentralen netzkoppelelementen können ggf. die kommunikation der infizierten, internen systeme untereinander oder der lokalen command & control server erkannt werden.
◦ am übergang zwischen lan und wan können ggf. die externen c&c-server festgestellt werden.
◦ vielfach werden angriffe zuerst durch externe als unregelmäßigkeiten festgestellt und an betroffene gemeldet. um eine solche meldung nachvollziehen zu können, muss an der firewall geloggt werden.
richten sie dedizierte protokollserver ein. optimalerweise werden diese außerhalb des produktiv-/ büronetzes über eine schnittstelle im “promiscuous”-mode betrieben. beachten sie, dass angreifer i.d.R. eigene defensivmaßnahmen ergreifen können, um ein logging zu
verhindern oder zu erschweren. im einzelfall können ungeschützte logdaten durch den angreifer manipuliert werden.
blockieren sie nun erkennbare täterzugänge.

prüfen sie, ob sie über aktuelle, saubere, integre backups verfügen. optimalerweise bewahren sie diese offline auf. online-sicherungen können ggf. beiläufig oder bewusst kompromittiert worden sein.

ggf. können wichtige daten auch an abgesetzten außenstellen oder auf systemen von mitarbeitern im urlaub befinden.

« Zurück