Rückblick zu Security Incident! Response? - Workshop
Workshop der Fachgruppe Management von Informationssicherheit der Gesellschaft für Informatik (GI) in Frankfurt am Main
Jeden Tag können wir in den Medien über neue spektakuläre Sicherheitsvorfälle lesen, die Firmen und Behörden zu bewältigen haben. Schwachstellenbehaftete Systeme, Infrastrukturen und Prozesse werden von außen oder innen angegriffen oder einfach nur durch unbedachtes Verhalten gefährdet.
Im Workshop der GI-Fachgruppe Management von Informationssicherheit (SECMGT) zum Thema „Security Incident! Response?“ wurde am 22.11.2019 der "Security Incident Lifecycle" beleuchtet und die Frage behandelt, wie sich Organisationen rüsten, um Security Incidents vorzubeugen, wie sie mit eingetretenen Vorfällen umgehen und was sie im Nachgang tun.
Jan Stölting von KPMG AG Wirtschaftsprüfungsgesellschaft berichtete über Erfahrungen beim Auf- und Ausbau von 24/7 verfügbaren Security Incident und Event Management Systemen (SIEM) und Security Operations Centers (SOC). Einige wesentliche Aussagen dazu sind, dass die Angreifer heutzutage bereits im internen Netzwerk unterwegs sind. Daher ist neben der klassischen Kontrolle am Perimeter auch die Beobachtung auf verdächtige Verhaltensmuster im internen Netzwerk erforderlich. Auf solche Muster muss dann auch angemessen reagiert werden, was wiederum gute Analysten erfordert. Das SIEM/SOC ist jedenfalls ein kostenintensives Thema und braucht einige spezialisierte Unterstützung, die nicht in allen Unternehmen anzutreffen ist.
Stefan Siefert von Global Communication Services GmbH sprach über den Umgang mit Incidents in der heißen Phase: wie kann man sich als Unternehmen auf den Ernstfall vorbereiten? Was kann man vorbereiten? Wie erkennt und kategorisiert man Sicherheitsvorfälle? Wie verhält man sich, wenn es "brennt"? Eine wesentliche Aussage dazu war, dass die Rollen und Verantwortlichkeiten getrennt werden sollen: Die Bearbeitung von Security Incidents und die Kommunikation dazu liegen bei verschiedenen Personen. Zudem ist für den Notfall viel Training und Übung erforderlich, welches mindestens halbjährlich und besser kontinuierlich stattfinden sollte.
Christopher Ruppricht von paydirekt GmbH referierte über das Thema „Nach dem Knall – Planbarkeit und Flexibilität nach einem Security Incident“: Zur Einleitung wirksamer Gegenmaßnahmen bei einem Security Incident ist es erforderlich, dass die Beteiligten schnell, planvoll und zielgerichtet handeln. Was ist zu tun? Wer muss informiert werden? Am Beispiel eines Vorfalls mit dem Verschlüsselungstrojaner NotPetya wurde erläutert, dass eine offene Kommunikation in alle Richtungen hilfreich ist, z.B. auch über Social Media. Es ist wichtig, für diese Fälle ein Netzwerk aufzubauen, z.B. mit den CISO der Dienstleister und der Kunden.