Stärken Sie Ihre Incident Response Strategie.
- Überprüfen Sie jetzt Ihre Sicherheitsmaßnahmen anhand der Checkliste.
- Verschaffen Sie sich rechtzeitig einen Überblick und handeln Sie proaktiv.
- Stellen Sie sicher, dass Ihr Unternehmen optimal geschützt ist.
- Minimieren Sie die Auswirkungen von Cyberangriffen.
- Erhalten Sie Ihre Geschäftsfähigkeit.
Skill-Plan Incident-Response:
Empowering Resilience, Ensuring Security
Anhand dieser Checkliste können Sie feststellen, ob und wie Ihr Unternehmen aktuell abgesichert ist:
| Erläuterung | Incident Management Maßnahme | Erledigt? |
| Ein Hackerangriff wie Ransomware Attacke hat weitgehende Konsequenzen für die Geschäftsfähigkeit eines Unternehmens und ein nicht adäquates Vorfallmanagement gefährdet u.U. den Fortbestand des Unternehmens. Es ist daher unerlässlich, dass ein Team von kompetenten Mitarbeitern und Verantwortlichen die Geschäftsführung unterstützt. Dieses Team sollte im Vorfeld definiert, die Aufgaben für jeden einzelnen eindeutig beschrieben sein und die Einberufung bekannt sein. | Für einen solchen Fall ist eine Notfallorganisation definiert und kann einberufen werden. | Ja / Nein |
| Der Lenkungsausschuß sollte aus der Geschäftsführung inkl. Finanzvorstand, Rechtsabteilung, IT-Verantwortlichen ggf. Personal und Datenschutzbeauftragten bestehen. Idealerweise gibt es einen „Projektleiter“, der den Lenkungsausschuß befragt und informiert. Somit wird ein aktives Eingreifen des Gremiums vermieden, was zu Belastung bei der Abwehr und Wiederherstellung führen könnte. | Ein „Steering Committee“ wurde definiert und ist einsatzbereit. | Ja / Nein |
| Da im Notfall die üblichen Beschaffungsregeln und –Prozesse zu lange dauern würden, muss im Vorfeld geklärt sein, in welcher Größenordnung Bestellungen / Käufe von dem IT-Verantwortlichen ohne Nutzung des üblichen Beschaffungs- und Genehmigungsprozesses getätigt werden können. Primäres Ziel in dieser Phase ist es die Funktionen für Produktion und Finance wiederherstellen zu können, und so zu verhindern, dass das Unternehmen “Force Majeur” gegenüber Vertragspartnern erklären muss. | Ein Ausnahme-Budget steht für die dringlichsten Maßnahmen (Kauf von Servern, Arbeitsplatz-Rechner, etc.) zur Verfügung. | Ja / Nein |
| Systeme abzuschalten, Netzwerke zu segmentieren und andere Maßnahmen, haben unmittelbare Auswirkungen auf die Geschäftsprozesse. Dies sollte vorab eindeutig definiert und dokumentiert sein. | Die IT-Administratoren und Spezialisten haben ausreichend Vollmachten, direkte Maßnahmen einzuleiten, ohne die Geschäftsführung einbinden zu müssen | Ja / Nein |
| Die kompromittierte Umgebung wird isoliert und die Zahl der aktiven internen Anwendungen und Geräte wird reduziert, welche die Angreifer besetzen könnten. Die Auswirkungen auf die Geschäftsfähigkeit muss im Vorfeld bereits bestimmt werden und geeignete Alternativen müssen festgelegt und bereitgehalten werden. | Die Auswirkungen auf die Geschäftsfähigkeit wurde im Vorfeld bestimmt, geeignete Alternativen wurden definiert und implementiert. | Ja / Nein |
| Ihre geschäftlichen Notwendigkeiten (Zahlungen gegenüber Dritten, Rechnungsauslösung, Auslieferungen, Wareneingang, Produktion etc.) müssen weiterhin möglich bleiben oder möglichst schnell wieder aufgenommen werden können.In den meisten Fällen sind dazu Notsysteme bereitzustellen. | Es wurden Notsysteme bereitgestellt, um die notwendigen Geschäftstätigkeiten aufrechterhalten zu können. | Ja / Nein |
| Ein Cyber-Einbruch kann erhebliche rechtliche Auswirkungen auf die Einhaltung Ihrer Compliance-Vorgaben (z.B. in Deutschland BSIG und BSI-Kritisverordnung, Telekommunikationsdienstegesetz (TKG)) bedeuten. Die Meldepflicht ist je nach den gesetzlichen Vorgaben, die für ein Unternehmen gelten, zwingend einzuhalten. | Es wurde definiert, wer die Ermittlungs-Behörden zeitnah informiert. | Ja / Nein |
| Um später drohende Regress-Zahlungen und Strafen zu vermeiden, müssen die zuständigen Aufsichtsbehörden gemäß Infoblatt „Meldung von Datenschutzverstößen“ Des BfDI informiert werden. Dies bedeutet, dass – sobald feststeht, dass man betroffen ist und dass personenbezogene Daten im Spiel sind – die DS-Behörden benachrichtigt werden müssen. Dies sollte jedoch nur nach Abstimmung mit dem Steering Board und rechtlichem Beistand erfolgen, da u.U. strafrechtliche Konsequenzen drohen. | Der Datenschutzbeauftragte informiert – in Abstimmung mit der Rechtabteilung / Rechtsanwaltskanzlei – die Aufsichtsbehörde. | Ja / Nein |
| Hat Ihr Unternehmen eine Cyberversicherung abgeschlossen, kann dies Auswirkungen auf den Reaktionsplan und weitere Schritte haben. Die gesamte Kommunikation muss daher immer in Abstimmung mit der GF und Rechtsabteilung erfolgen. | Ein entscheidungs-befugter Ansprechpartner wurde definiert und intern kommuniziert. | Ja / Nein |
| Beachten Sie, dass im Falle einer Kompromittierung des Active Directorys auch alle Systeme betroffen sind, auf denen sich privilegierte User oder Administratoren über SSO mit einem AD-Account auf dem System oder in der Applikation anmelden. Beispiele sind NAS-System mit AD integrierter Anmeldung, SAP-Systeme mit Single Sign on. Ferner alle Systeme, auf denen man sich mit Kerberos oder LDAP Credentials anmelden kann. | Alle gefährdeten Systeme wurden identifiziert. | Ja / Nein |
| Um das Ausbreiten der Schadsoftware und die Einfallstore zu minimieren, sollten IT-Administratoren und Nutzer mit privilegierten Rechten sich nicht mehr an potenziell infizierten Systemen anmelden können. Insbesondere für Arbeitsplatzrechner ist dies dringend angeraten. Zugriff auf infizierte Server-Systeme dürfen nur noch über – gegen Angriffe abgesicherte Systeme – erfolgen. | Administratoren und User mit Administrations-rechten können sich nicht an Systemen / PCs anmelden, da sie potenziell infiziert sein könnten. | Ja / Nein |
| Betrachten Sie infizierte lokale Systeme grundsätzlich als vollständig kompromittiert. Eine punktuelle Bereinigung ist nur mit umfassendem Fachwissen erfolgversprechend. | Eine komplette Neuinstallation durch einen Experten ist jederzeit möglich. | Ja / Nein |
| Eine erfolgte Attacke auf Ihr Unternehmen ist per Definition ein kriminelles Vorgehen. Sowohl für die Strafverfolgungsbehörden als auch für Ihre Versicherung ist es unabdingbar, dass alle verfügbaren Beweise vor dem Verschwinden gesichert werden. | Sämtliche Audit-Logs sind vollständig aktiviert und an einem gesicherten (in einer gehärteten Umgebung) ausgelagert. | Ja / Nein |
| Die Überprüfung sollte hinsichtlich Vollständigkeit, Korrektheit und Integrität (Daten nicht verschlüsselt) überprüft werden. Im Zusammenhang mit einer Wiederanlauffähigkeit und Wiederherstellung kompletter Umgebungen, können dazu Ersatzsysteme genutzt werden, die vom genutzten Netzwerk getrennt sind. Sobald die Überprüfung erfolgreich war, sind die Backups an vom Netzwerk getrennten Orten (oder durch eine Firewall mit Zero Trust Ansatz) aufzubewahren. | Die Daten- und System-Backups werden regelmäßig überprüft und werden an einem gesicherten Ort aufbewahrt. | Ja / Nein |
Vorbereitet sein. Handeln. Überwinden.
Bei Wunsch nach kompetenter Beratung und Begleitung freuen wir uns jederzeit über Ihre Nachricht.
Zur Vereinbarung eines kostenlosen 10-minütigen Kennenlern- und Abstimmungsgespräches erreichen Sie uns zu den üblichen Geschäftszeiten unter +41 (0)41 828246-0.
Alternativ erreichen Sie uns auch gerne unter info@skill-plan.com.
Wir freuen uns über Ihre Nachricht.
Ihr Skill-Plan Team
Skill-Plan Incident Response and Management:
Empowering Resilience, Ensuring Security
[yikes-mailchimp form=“1″]
