Incident Response mit SEC Consult: Partnerinterview des Monats

Bei Cyber- und Applikationssicherheit kooperieren wir seit September 2020 mit SEC Consult. Geschäftsführer Ulrich FLECK und Stefan PRINZ, Leiter des SEC Defence-Teams, verraten uns heute im Partnerinterview des Monats, wie jedes Unternehmen die eigene IT-Sicherheit durch „Incident Readiness“ optimieren kann und wie sie als „Erste Hilfe“ vor Ort im Einsatz sind.

 

ITSDONE: Cyberangriffe, Sicherheitslücken, Datendiebstahl. Diese Bedrohungen hören sich nicht nur gefährlich an, sondern sind leider realistische Risiken für Unternehmen. Inwieweit unterstützt SEC Consult Organisationen bei der Minimierung, wo liegt hier genau Ihr USP?

U. FLECK: SEC Consult hat das Know-how und ausreichend Kapazität, um Unternehmen im Falle eines Cyber Incidents zu unterstützen. Die Bekämpfung von Cyber Incidents wird immer wichtiger, wir sind mit unseren mehr als 200 ExpertInnen aber auch intensiv damit beschäftigt, Sicherheitslücken bei unseren Kunden aufzudecken, bevor diese Schwachstellen ausgenutzt werden. Dazu gehören Sicherheitsüberprüfungen wie Pentests oder Red Teaming, aber auch die Implementierung von Managementsystemen zur Informationssicherheit und die Beratung zur Entwicklung von sicherer Software. In Zentraleuropa sind wir hier führende Anbieter.

S. PRINZ: Neben diesen grundlegenden Maßnahmen zur Cybersicherheit unterstützen wir unsere Kunden auch ganz konkret beim Thema „Incident Readyness“: In Workshops erarbeiten wir interaktiv mit ihnen Lösungen, wie sie sich besser auf einen Notfall vorbereiten können. Dafür fokussieren wir auf die 80/20-Regel: 80% des Ergebnisses können mit 20% des Aufwandes erreicht werden. Denn eine Absicherung des Unternehmens soll ja auch in einem realistischen Rahmen umsetzbar sein. Natürlich unterstützen wir unsere Kunden dann auch im Ernstfall. Unser Incident Response Team steht rund um die Uhr zur Verfügung, um mit den entsprechenden Erste Hilfe-Maßnahmen einen akuten Angriff unter Kontrolle zu bringen.

 

ITSDONE: Bei einer Cyberattacke ist Schnelligkeit gefragt, ein Krisenplan sicher hilfreich. Wie lautet hier Ihre Empfehlung, kann man sich auf jeden Angriff vorbereiten?

S. PRINZ: Man kann sich auf die wahrscheinlichsten Angriffe vorbereiten, indem man sich zum Beispiel ansieht, welche Threat Actors die jeweilige Branche besonders gerne angreifen und wie sie agieren. Das Erstellen von Playbooks, oder Standardvorgehensweisen, kann helfen, sich während eines Incidents zu orientieren. In der Realität ist aber jeder Incident anders und verlangt zumindest teilweise andere Reaktionen. Einen Standardablauf, mit dem man immer goldrichtig liegt, gibt es nicht.

U. FLECK: Dennoch ist es wichtig, grundsätzlich mit Angriffen zu rechnen und daher im Unternehmen oder der Organisation mit Awareness-Maßnahmen Bewusstsein für die Gefahr zu schaffen und Wissen zur IT-Sicherheit zu vermitteln. Essenziell ist im Ernstfall schnell Hilfe zu bekommen – am besten mit einem Retainer samt Service Level Agreement. Ein Angebot, das natürlich auch Teil des SEC Portfolios ist.

 

ITSDONE: Welche Maßnahmen ergreifen Sie bei Incident Response genau? Und – ebenso wichtig – wie schnell geht das?

U. FLECK: In den genannten Vorbereitungsworkshops wird eine Bestandsanalyse gemacht und festgestellt, welche für das Unternehmen passenden Maßnahmen umgesetzt werden müssen, um bestmöglich auf einen Angriff vorbereitet zu sein.
Das sind neben technischen Themen wie z.B. dem Log Management auch das Festlegen von Verantwortlichkeiten, Entscheidungskompetenzen und Kommunikationswegen. Außerdem müssen alle Beteiligten geschult werden, was konkret im Fall eines Angriffs zu tun ist, damit die definierten Prozesse nicht nur auf dem Papier bestehen.

S. PRINZ: Wenn es dann tatsächlich zu einem Cyber Incident kommt, kann man gar nicht unterschätzen, wie wichtig es ist, sich auch gleich zu Beginn mit dem externen Incident Response Team zusammenzusetzen und sich gemeinsam ein Bild von der Lage zu machen. Wenn es in dem betroffenen Unternehmen keine Incident Readyness-Vorbereitungen gibt, werden spätestens in diesem Kick-off Vorgehensweisen und Verantwortlichkeiten während des Notfallprojektes definiert, wie zum Beispiel die Rolle des Incident Managers.
Sind solche Dinge bereits vorab definiert, kann man sich in der akuten Situation und im weiteren Verlauf des Vorfalls viel Zeit ersparen. Eine saubere Koordination, Kommunikation und Dokumentation sind das A und O in einem Notfall, sowohl auf der Seite unserer Kunden, als auch für unsere ExpertInnen. Technisch kümmern wir uns um die Aufarbeitung des Sachverhalts, indem wir Spuren des Angriffs mittels einer Vielzahl an Vorgehensweisen und Tools forensisch erheben. Dabei sind in der Regel folgende Fragen besonders interessant:

  • Wie kam der Angreifer ins Netzwerk?
  • Welche User wurden übernommen und benutzt?
  • Wie und auf welchen Systemen hat sich der Angreifer bewegt?
  • Wie kommuniziert dieser nach außen?
  • Wie können wir die Systeme wieder säubern?

 

ITSDONE: Können Sie eine generelle Aussage treffen, wie groß die Sorge um die Sicherheit in (österreichischen) Unternehmen ist? Erfolgt die Kontaktaufnahme eher im Rahmen der Krisenvorsorge oder, wie man so schön sagt, wenn es bereits zu spät ist? Welche Branchen sind besonders betroffen?

U. FLECK: Ein allgemeines Branchen-Bild lässt sich nicht erkennen, es wird früher oder später jeden treffen. Die einen gezielt, die anderen möglicherweise als „Beifang“. Viele unserer langjährigen Kunden haben mit uns sogenannte Standby-Verträge, dort erfolgt also die Anfrage eigentlich im Zuge der Vorsorge. Der größte Anteil kommt allerdings über unsere Incident-Hotline mit der Nummer +43 1 890 30 43 7777 zu uns.

 

ITSDONE: ganz kurz: Wie hoch ist die „Dunkelziffer“? Angriffe, die nicht oder sehr spät entdeckt werden?

S. PRINZ: Die Dunkelziffer können auch wir nur schätzen, aber ich bin überzeugt, dass sie außerordentlich hoch ist, vor allem, da Cyberangriffe im Schnitt erst nach sechs Monaten entdeckt werden. Verlässliche Zahlen gibt es allerdings nicht, da die meisten Fälle ja nicht öffentlich gemacht werden. Besonders in der Erkennung gibt es noch ein erhebliches Verbesserungspotenzial.

 

ITSDONE: Was kann man sich genau unter Ihrem Vulnerability Lab vorstellen? In Zeiten von Home Office und Remote Work sind Unternehmen mit flexiblen Strukturen „verletzlicher“ als andere? Wo sehen Sie die größten Schwachstellen?

U. FLECK: In unserem Vulnerability Lab wird an der Security von IT-Produkten gearbeitet, wir forschen aktiv an Schwachstellen dieser Produkte. Einige der Ergebnisse sind auf unserer Website veröffentlicht. Unsere MitarbeiterInnen investieren einen wesentlichen Teil ihrer Zeit in genau diese Forschungstätigkeit – und auf die Ergebnisse sind wir sehr stolz.

Zum Home-Netzwerk: Dieses kann durch das Unternehmen nicht so kontrolliert werden, wie es erforderlich wäre, um das gleiche Sicherheitsniveau wie in einem Firmennetzwerk zu erreichen. Die Wahrscheinlichkeit, dass veraltete, unbekannte und ungepatchte Komponenten eine Angriffsfläche fürs ganze System bieten, ist groß. Deshalb ist eine gute Kommunikation zwischen Home Office und Unternehmen unerlässlich.

Wichtigste Frage: Gibt es bereits eine Heimarbeitsrichtlinie? Wenn nicht, sollte so schnell wie möglich eine ausgearbeitet werden, denn es gibt eine ganze Menge an Dos und vor allem Don’ts für die MitarbeiterInnen zu beachten.

Der Download von Software, die Wahl des Anti-Viren-Schutzes, die Verschlüsselung in der Mailkommunikation oder etwa Updates sollten immer mit der IT-Abteilung abgestimmt werden. Eine sichere Verbindung zum Firmennetzwerk via VPN ist ein Muss, wobei auch hier ein paar Fallen lauern wie die sichere Administration der Daten. Kritische Informationen auf dem Desktop zwischenzuspeichern und dann dort zu vergessen ist keine überragend gute Idee. Auch der physische Aspekt ist wichtig: Wer hat sonst noch Zugriff auf den fürs Home Office verwendeten Rechner im privaten Umfeld?

Allen im Unternehmen muss letztlich klar sein, dass die Firmennetzwerke durch den Ausbau von Remotearbeitsplätzen exponierter und verwundbarer geworden sind. Sie sollten daher vorsorgen.

 

ITSDONE: Vielen Dank für das ausführliche Gespräch.

 

Stefan Fischer ist Ansprechpartner in der ITSDONE für die Leistungen rund um Incident Readiness und Incident Response.

 

 

Bild: Quelle: SEC Consult / links Stefan Prinz, rechts Ulrich Fleck 

23 Sep
Incident Response mit SEC Consult: Partnerinterview des Monats