von Gregor Wegberg

Wenn sich die ersten IT-Systeme nicht wie erwartet verhalten, ist es bei den diversen Formen von IT-Betriebsvorfällen unabdingbar, die richtigen Personen und Partner zu kennen und diese zeitnah kontaktieren zu können. Regelmässig erleben wir, welch positiven Einfluss eine einfache, aber bereits vor dem Vorfall vorbereitete Kontaktliste zentraler Personen und Partner auf den Ablauf von Informationssicherheitsvorfällen hat.

Zu Beginn eines Vorfalls ist oft noch nicht klar, aus welchem Grund sich die IT-Systemlandschaft nicht wie gewohnt verhält. Zu diesem Zeitpunkt ist es von zentraler Bedeutung, die Wissensträger im Unternehmen oder beim (IT-)Dienstleister kontaktieren zu können. Im Besonderen Personen, die das Zusammenspiel der unterschiedlichen IT-Systeme kennen und basierend auf dem beobachteten Verhalten wohlbegründete Hypothesen ableiten können, müssen schnell kontaktiert werden. Solche Personen gehören als erste Gruppe auf Ihre Kontaktliste. Sie erlauben Ihnen eine zeitnahe Einschätzung des Geschehens und die Wahl der notwendigen Folgeaktivitäten.

Bei den allerersten Anzeichen auf einen Informationssicherheitsvorfall sollten Sie Ihre eigenen oder externe IT-Sicherheitsspezialisten kontaktieren. Computersysteme sammeln und beinhalten eine Vielzahl an Informationen, die sehr wertvolle Hinweise zum Vorfall geben können. In vielen Unternehmen oder aus technischen Gründen sind diese Informationen flüchtig und ihre schnelle Sicherung ist entsprechend wichtig. Die IT-Sicherheitsspezialisten können Ihnen bereits am Telefon mit Ratschlägen und Sofortmassnahmen helfen, allem voran, wie Sie die flüchtigen Daten sichern können. Dies kann anschliessend die IT-forensische Untersuchung beschleunigen oder unterstützen, was wiederum die Dauer und Auswirkung eines Informationssicherheitsvorfalls senken kann. Deshalb gehören Ihre IT-Sicherheitsexperten ebenfalls auf die Kontaktliste.

In den ersten Stunden wird zur Einschätzung der Situation vor allem technisches Personal aktiv sein und kontaktiert werden müssen. Sobald Sie eine bessere Übersicht über den Vorfall erhalten haben, werden Sie weitere Interessensgruppen involvieren, ganz abhängig von dem, was Sie bereits herausgefunden haben. Sie sollten wissen, wie Sie die notwendigen Personen dieser Personengruppen erreichen können und diese auf Ihrer Kontaktliste festhalten. Übliche Personengruppen, die Sie hier einschliessen sollten:

  • Das höhere Management und die Geschäftsleitung müssen bei einer signifikanten negativen Auswirkung auf die Geschäftstätigkeit informiert werden.
  • Gerade bei grösseren Vorfällen werden Sie zur Bewältigung des Vorfalls diverse IT-Systeme und -Dienste ausschalten bzw. deaktivieren müssen. Dies kann bis zu einem kompletten Herunterfahren der gesamten IT-Landschaft reichen. Solche Aktivitäten haben einen signifikant negativen Einfluss auf die Geschäftstätigkeit Ihrer Organisation. Wenn möglich sollten Sie solche Massnahmen mit den relevanten Repräsentanten besprechen und planen. Zumindest sollten Sie diese aber zeitnah über die Massnahmen und deren Effekt informieren. Erstellen Sie also eine Kontaktliste der wichtigsten Interessensvertreter, relevanten Führungspersonen und weiteren Entscheidungsträgern.
  • Falls Sie einer stärker regulierten Branche angehören (z. B. kritische Infrastruktur, börsennotiertes Unternehmen oder Finanzunternehmen) haben Sie möglicherweise die rechtliche Pflicht, den Vorfall den zuständigen Behörden zu melden. Falls eine solche Meldepflicht vorliegt oder Sie sich hierbei nicht sicher sind, sollten Sie oder Ihre Geschäftsleitung mit der Rechtsabteilung bzw. einer Anwaltskanzlei Kontakt aufnehmen. Diese kann Sie bei der Einschätzung der Meldepflicht und der Meldung unterstützen. In vielen Situationen sind Meldepflichten mit einer Meldefrist versehen, die Sie einzuhalten haben. Daher ist es sehr wichtig, die Rechtsunterstützung frühzeitig zu involvieren. Somit gehört diese ebenfalls unbedingt auf Ihre Kontaktliste.

Jetzt bleibt noch die eigentliche Bewältigung des Vorfalls und der Rückführung der gesamten IT-Systemlandschaft in den Normalbetrieb. Mit hoher Wahrscheinlichkeit werden Sie grössere Vorfälle nicht eigenständig mit den eigenen internen Ressourcen bewältigen können. Machen Sie sich bereits im Vorfeld Gedanken, wo Sie externe Unterstützung benötigen könnten und von wem Sie diese bereits erhalten oder bei Bedarf einholen könnten. Diese Personen oder Drittunternehmen gehören ebenfalls auf Ihre Kontaktliste und umfassen üblicherweise:

  • Ihre Personalabteilung zur Regelung der ausserordentlichen Arbeitszeiten Ihrer Mitarbeitenden während des Sicherheitsvorfalls.
  • Dienstleister Ihrer IT-Infrastruktur, zum Beispiel Ihr Internet Service Provider (ISP) oder Betreiber des von Ihnen mitgenutzten Rechenzentrums oder Betreiber Ihrer Cloud-Infrastruktur.
  • Dienstleister, die Sie beim Neuaufbau Ihrer IT-Infrastruktur unterstützen könnten, beispielsweise für die kurzfristige Bereitstellung nicht infizierter Endnutzergeräte sowie den Wiederaufbau der Serverinfrastruktur oder Ihrer Kernapplikationen.
  • Ihre Kommunikations- sowie Personalabteilung kann Sie bei der professionellen Kommunikation nach innen und aussen unterstützen.
  • Aufgrund von Datenschutzgesetzen werden Sie mit hoher Wahrscheinlichkeit prüfen müssen, ob Sie den Vorfall den zuständigen Behörden melden müssen. In Art. 33 Absatz 1 der DSGVO wird bei «einer Verletzung des Schutzes personenbezogener Daten» die Meldung «binnen 72 Stunden» an die zuständigen Behörden verlangt. [1] Auch gemäss dem revidierten Schweizer Datenschutzgesetz, das voraussichtlich im Jahr 2022 in Kraft tritt, sind Sie verpflichtet «dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt» zu melden. [2] Falls Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten im Unternehmen haben, sollten Sie diese oder diesen frühzeitig involvieren und damit kontaktieren können. Alternativ empfiehlt es sich, juristische Unterstützung für solche Fälle bereitzuhalten.

Inhalt der Kontaktliste

Die Kontaktliste soll Ihnen dabei helfen in einer potenziellen Krisensituation die richtigen Personen und Organisationen kontaktieren zu können. Hierzu sollten Sie zu jedem Kontakt mindestens folgende Informationen aufnehmen:

  • Name des Kontakts und in welcher Beziehung Ihre Organisation mit dem Kontakt steht (z. B. Mitarbeiterin/Mitarbeiter, bestehender IT-Dienstleister, keine bestehende Beziehung etc.)
  • Funktion des Kontakts und, falls dies für Sie hilfreich ist, welche Kompetenzen diese Person innehat.
  • Telefonnummern für die Kontaktaufnahme. Soweit möglich sollte hier auch eine Telefonnummer stehen, die es Ihnen erlaubt, den Kontakt ausserhalb der üblichen Bürozeiten zu kontaktieren. Eine signifikante Zahl der von uns betreuten Cybervorfälle beginnt am Freitagabend oder am Wochenende.
  • Falls es sich um eine einzelne Kontaktperson handelt, versuchen Sie die Stellvertretung ebenfalls als Kontakt in Erfahrung zu bringen und festzuhalten.
  • Informationen zur Erreichbarkeit des Kontakts: Wann ist dieser Kontakt üblicherweise erreichbar?
  • Datum, wann Sie zuletzt geprüft haben, ob dieser Kontakt noch korrekt und relevant ist.

Für einen besseren Überblick fassen wir für Sie die üblichen Kontakte nachfolgend in kompakter Form zusammen:

  • Wissensträgerinnen und -träger im IT-Betrieb
    • Endnutzergeräte
    • Serversysteme
    • Netzwerk
    • Softwareentwicklung
  • IT-Sicherheitsexpertinnen und -experten
    • Incident Responder
    • IT-Forensikerinnen und -Forensiker
  • Interne Interessensvertreterinnen und -vertreter
    • Geschäftsleitung
    • Höheres Management
    • Datenschutzbeauftragte oder Datenschutzbeauftragter
    • Rechtsdienst
    • Zentrale Interessensvertreterinnen und -vertreter für Ihre Geschäftstätigkeiten (z. B. pro Geschäftsbereich)
  • IT-Partner
    • Internet Service Provider (ISP)
    • Betreiber der Rechenzentren
    • Cloud-Infrastruktur-Betreiber
    • IT-Betriebspartner
    • Hardware-Lieferanten
    • Integratoren, die beim Wiederaufbau unterstützen können: Endnutzergeräte, Server, Netzwerk, Kernapplikationen
  • Juristische Unterstützung / Anwaltskanzlei
  • Marketing / Kommunikation

Achten Sie beim Erstellen einer solchen Kontaktliste auf ein schrittweises Vorgehen! Es handelt sich dabei um eine relativ einfach umsetzbare Massnahme mit grossem Mehrwert, die aber trotzdem schnell zu einigem Aufwand führen kann. Wir empfehlen Ihnen, der in diesem Artikel angewandten Reihenfolge – also entlang eines Vorfalls – zu folgen. Bei Drittunternehmen lohnt es sich, bereits vor dem ersten Vorfall in Kontakt zu treten und herauszufinden, ob und inwieweit diese Sie bei einem Vorfall kurzfristig und ausserhalb der Bürozeiten unterstützen können.

Aufbewahrung der Liste

Vergessen Sie nicht, dass Sie Ihre Kontaktliste für den Ernstfall vorbereitet haben. Aus diesem Grund müssen Sie sich unbedingt Gedanken machen, wo und wie Sie diese Liste aufbewahren. Im Krisenfall könnten all Ihre üblichen IT-Dienste und Kommunikationswege im Unternehmen nicht zur Verfügung stehen. Daher sollte diese Liste nicht alleinig in digitaler Form auf einem vom Unternehmen verwalteten Computersystem oder vom Unternehmen genutzten IT-Dienst liegen. Wir empfehlen Ihnen, die Liste auch in gedruckter Form und/oder auf Datenträgern bereitzuhalten. Abhängig von Ihren Risikokalkulationen ist es empfehlenswert, mehrere Kopien auf unterschiedlichen Medien und an verschiedenen geographischen Orten bereit zu halten. Vergessen Sie dabei nicht, dass all diese Kopien der Liste regelmässig aktuell gehalten werden müssen, um den Mehrwert der Kontaktliste nicht zu verlieren.

DFIR, einfach

Ganz unabhängig, ob Sie als IT-Mitarbeiterin oder -Mitarbeiter tagtäglich IT-Systeme gegen Cyber-Angriffe und deren Nutzer verteidigen oder einfach neugierig sind, wie digitale Forensik funktioniert und Informationssicherheitsvorfälle bewältigt werden: Hier sind Sie richtig! Unter dem Titel «DFIR, einfach» veröffentlichen unsere Expertinnen und Experten des Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) Beiträge, die Sie als freiwillige IT-Security-Feuerwehr in Ihrem Unternehmen weiterbilden. Jeder Beitrag bringt Ihnen ein Werkzeug, einen Prozess oder Erkenntnisse aus den Informationssicherheitsvorfällen anderer Unternehmen näher. Mit grundlegendem IT-Verständnis und einer guten Prise Neugier sind Sie hier richtig. Übrigens, «DFIR» steht für «Digital Forensics & Incident Response» und unsere Beiträge fokussieren sich auf pragmatische, im Alltag anwendbare und kostengünstige Ansätze – ganz im Sinne der Blog-Reihe: DFIR, einfach.

Über den Autor

Nach Abschluss seiner Informatiklehre mit Schwerpunkt Applikationsentwicklung bei einem Schweizer Finanzdienstleister entschloss sich Gregor Wegberg für ein Informatikstudium an der ETH Zürich. Während seines Studiums spezialisierte er sich auf Informationssicherheit und betreute die Vorlesung «Applied Security Lab». Zudem arbeitete Gregor Wegberg Teilzeit als Software Engineer, wobei er unter anderem für die Requirements-Analyse und Implementierung einer Lösung für eine grosse Privatbank verantwortlich war. Nach seinem Masterabschluss in Informatik (MSc ETH CS) nahm er im Januar 2017 seine Tätigkeit als Penetration Tester und Security Consultant bei der Oneconsult auf, wo er im Dezember 2017 zum Senior Security Consultant & Penetration Tester befördert wurde. Seit Februar 2020 ist er Head of Digital Forensics & Incident Response. Gregor Wegberg hat ein Certificate of Advanced Studies in Leadership vom IAP der ZHAW, ist zertifizierter ISO 27001 Senior Lead Auditor, ISO 27035 Lead Incident Manager, Offensive Security Certified Professional (OSCP), OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), eLearnSecurity Certified Digital Forensics Professional (eCDFP), Professional Scrum Master I (PSM I), Professional Scrum Product Owner I (PSPO I), Oracle Certified Associate sowie Java SE 8 Programmer (OCAJP8) und besitzt ausserdem ein Microsoft Certified Azure Fundamentals-Zertifikat.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cyber Security Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cyber Security-Spezialisten mit 40+ hochqualifizierten Cyber Security Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com