notfallmanagement

vorfallreaktionsplan

incident-response-plan
der ablauf der vorfallsbewältigung ist in drei phasen einzuteilen.

phase 1: analyse

◦ identifikation betroffener systeme

◦ analyse der schadprogramme

◦ schadensfeststellung

phase 2: übergangsbetrieb

◦ verhinderung weiterer infektion und verschlüsselung

◦ blockierung der täterzugänge

◦ intensives monitoring des netzes

phase 3: bereinigung

◦ konzeption/umsetzung/neustart

◦ weitere sicherheitsmaßnahmen (aus fehlern bzw. lücken lernen, sicherheitskonzept überarbeiten und erneuern)

checkliste organisatorisches

bewahren sie ruhe und handeln sie nicht übereilt.

wissen alle, die intern davon wissen müssen vom mutmaßlichen it-notfall?

    1. ist der it-sicherheitsverantwortliche, der datenschutzbeauftragte, der it-betrieb informiert?
    2. ist die geschäftsleitung informiert?
    3. müssen weitere interne stellen informiert werden?

organisieren sie sich. richten sie einen krisenstab und ggf. ein notfallteam ein. -> siehe geschäftsfortführungsplan 0.1

    1. wer trifft die relevanten entscheidungen?
    2. wer macht was bis wann?

sammeln sie möglichst schnell und möglichst viele informationen, um fundierte entscheidungen treffen zu können.

    1. was ist eigentlich passiert?
    2. wie ist es aufgefallen? wurde es durch externe gemeldet? dann halten sie den kontakt zu diesen aufrecht, sofern dort gewünscht, um zu verhindern, dass der vorfall aus einem gefühl der vernachlässigung vorzeitig publik gemacht wird
    3. welche auswirkungen kann es direkt auf das unternehmen, seine kerndienstleistungen oder auf wesentliche produktionsprozesse haben?
      ◦ muss der weiterbetrieb um jeden preis gewährleistet werden? das wirkt sich möglicherweise negativ auf forensische beweissicherung und analyseergebnisse aus
      ◦ besteht ausreichend zeitlicher spielraum, um das problem umfassender zu analysieren und zu bewältigen?
      ◦ ist eine strafverfolgung vorgesehen? muss deshalb beweissicher gehandelt werden? das erfordert i.d.r. umsichtigeres und aufwändigeres vorgehen
    4. welche auswirkungen kann es auf kunden, partner oder die öffentlichkeit haben?
      ◦ ergibt sich daraus zusätzlicher handlungsbedarf?
    5. warum ist es uns passiert? gibt es hinweise auf ein gezieltes vorgehen? sind wir nur eines von vielen potentiellen opfer?

welche kommunikationsaspekte müssen berücksichtigt werden?

    1. falls noch nicht vorhanden, schaffen sie die rolle eines zuständigen kommunikationsexperten, pressesprechers oder ähnliches, um informationen abgestimmt, gezielt und gebündelt zu verteilen, aber auch entgegen zu nehmen. -> geschäftsfortführungsplan
    2. vernachlässigen sie nicht die betriebs-/ unternehmensinternen benachrichtigungen ihrer mitarbeiter, ggf. bereits mit entsprechenden sprachregelungen
    3. prüfen sie, wer informiert werden sollte oder muss
    4. bestehen meldepflichten?
      ◦ im falle einer damit verbundenen relevanten datenschutzverletzung, ist der it-vorfall an die zuständige datenschutzaufsichtsbehörde zu melden.
    5. gelten für sie im falle von it-vorfällen vertragliche informationspflichten, beispielsweise gegenüber auftraggebern, geschäftspartnern, auftragnehmern oder versicherungen, oder vergleichbare compliance-regeln?
    6. beziehen sie auch ihre kunden und die öffentlichkeit in ihre überlegungen mit ein.
    7. wollen sie den it-vorfall freiwillig melden (ggf. anonymisiert/pseudonymisiert), um die warnung potentiell weiterer betroffener zu ermöglichen? dazu steht ihnen das onlineformular der allianz für cyber-sicherheit zur verfügung.
    8. wollen sie strafanzeige stellen?

wird eine externe unterstützung benötigt? wenn ja, wo finde ich sie?

    1. ihre industrie- und handelskammer bietet ansprechpartner vor ort an
    2. das bsi stellt verschiedene übersichten geeigneter dienstleister zur verfügung
    3. in einzelfällen unterstützt sie das bsi beratend oder unterstützend im rahmen freier ressourcen

Nachbereitung

    1. lernen sie aus dem it-vorfall
    2. bereiten sie sich auf den nächsten it-vorfall vor
security melde-adressen von kunden und partnern
amazon3p-security@amazon.com
hetznerinfo@hetzner.de
checkliste technik

keine anmeldung mit privilegierten nutzerkonten auf einem potenziell infizierten systemen.

    1. existieren benutzerkonten mit unnötigen, privilegierten rechten?
    2. sind hinweise zu erkennen, ob diese privilegierten rechte durch unbefugte / angreifer – möglicherweise in jüngster vergangenheit – eingerichtet wurden?

vergewissern sie sich, dass sie vollständige und aktuelle informationen über Ihr netzwerk verwenden.

    1. identifizieren sie das/die betro  ene(n) system(e). beschränken sie sich nicht nur auf das offensichtliche. ziehen sie in betracht, dass weitere systeme ebenfalls betroffen sind und noch auf befehle des angreifers warten.
    2. betroffene systeme vom internen produktiven netzwerk und dem internet trennen
      ◦ dazu das netzwerkkabel ziehen
      ◦ gerät nicht herunterfahren oder ausschalten, sofern eine technische analyse beabsichtigt ist
      ◦ gegebenenfalls forensische sicherung inkl. speicherabbild (selbst, durch dienstleister oder strafverfolgungsbehörden) erstellen, sofern eine strafverfolgung eingeleitet werden soll. (https://www.allianz-fuer-cybersicherheit.de/acs/zacs)
      ◦ erst danach av-programme einsetzen, da diese ggf. änderungen sowohl am flüchtigen als auch persistenten speicher vornehmen könnten
    3. betrachten sie in zierte lokale systeme grundsätzlich als vollständig kompromittiert. eine punktuelle bereinigung ist nur mit umfassendem fachwissen erfolgversprechend. planen sie im regelfall eine komplette neuinstallation ein.
    4. betrachten sie alle auf betroffenen systemen gespeicherten bzw. nach der infektion eingegebenen zugangsdaten ebenfalls als kompromittiert
    5. betrachten sie im fall einer kompromittierung des active directory (ad) auch das gesamte netz als kompromittiert.

sofern bisher noch kein ausreichendes netzwerk-monitoring und logging aktiviert war, stimmen sie sich mit ihrem datenschutzbeauftragten (und ggf. betriebs-/ personalrat) ab und richten ein solches ein, um noch andauernde angriffe oder datenabflüsse feststellen zu können.

    1. als best-practice gilt das auch vom bsi empfohlene full-packet-capturing im netzwerk.
      ◦ am mirror-port an internen, zentralen netzkoppelelementen können ggf. die kommunikation der infizierten, internen systeme untereinander oder der lokalen command & control server erkannt werden.
      ◦ am übergang zwischen lan und wan können ggf. die externen c&c-server festgestellt werden.
      ◦ vielfach werden angriffe zuerst durch externe als unregelmäßigkeiten festgestellt und an betroffene gemeldet. um eine solche meldung nachvollziehen zu können, muss an der firewall geloggt werden.
    2. richten sie dedizierte protokollserver ein. optimalerweise werden diese außerhalb des produktiv-/ büronetzes über eine schnittstelle im „promiscuous“-mode betrieben. beachten sie, dass angreifer i.d.r. eigene defensivmaßnahmen ergreifen können, um ein logging zu verhindern oder zu erschweren. im einzelfall können ungeschützte logdaten durch den angreifer manipuliert werden.
    3. blockieren sie nun erkennbare täterzugänge.

prüfen sie, ob sie über aktuelle, saubere, integre backups verfügen. optimalerweise bewahren sie diese offline auf. online-sicherungen können ggf. beiläufig oder bewusst kompromittiert worden sein.

ggf. können wichtige daten auch an abgesetzten außenstellen oder auf systemen von mitarbeitern im urlaub befinden.

top 12 massnahmen & checkliste bei cyberangriffen

  • wurden erste bewertungen des vorfalls durchgeführt, um festzustellen, ob es sich um einen cyber-angriff oder lediglich um einen technischen defekt handelt?
  • haben sie kontinuierlich ihre maßnahmen abgestimmt, dokumentiert und an alle relevanten personen und verantwortlichen kommuniziert?
  • wurden system-protokolle, log-dateien, notizen, fotos von bildschirminhalten, datenträger und andere digitale informationen forensisch gesichert?
  • haben sie stets die besonders zeitkritischen und damit vorrangig zu schützenden geschäfts-prozesse im fokus gehabt?
  • wurden betroffene systeme vom netzwerk getrennt? wurden internetverbindungen zu den betroffenen systemen getrennt? wurden alle unautorisierten zugriffe unterbunden?
  • wurden backups gestoppt und vor möglichen weiteren einwirkungen geschützt?
  • wurden maßnahmen unternommen, um das gesamte maß der ausbreitung festzustellen?wurden alle angegriffenen systeme identifiziert?
  • wurden die beim cyber-angriff ausgenutzten schwachstellen in systemen oder (geschäfts-)prozessen durch relevante maßnahmen adressiert und behoben?
  • wurden, nach abstimmung, die polizei oder relevante behörden (datenschutz, meldepflichten, etc.) benachrichtigt?
  • wurden die zugangsberechtigungen und authentisierungsmethoden für betroffene (geschäftliche und ggf. private) accounts überprüft (z.b. neue passwörter, 2fa)?
  • wird das netzwerk nach dem vorfall weiter überwacht, um mögliche erneute anomalien festzustellen?
  • wurden die betroffenen daten und systeme wiederhergestellt oder neu aufgebaut?
impressum datenschutz bildnachweis

© 2020 evorhei