Cyber-Krisenmanagement für die Praxis

Transkript

1 Cyber-Krisenmanagement für die Praxis Lösungen für die Erhöhung der Resilienz von Unternehmen gegen Angriffe auf Informationen Robin Kroha, Director Von unseren Kunden ausgezeichnet als TOP CONSULTANT 1

2 Agenda 1 Cyber-Bedrohungen stellen neue Anforderungen an das Krisenmanagement 2 Cyber-Risiken müssen in das Sicherheitsrisiko- und Krisenmanagement von Unternehmen integriert werden 3 Cyber-Krisenmanagement ermöglicht eine angemessene Reaktion auf Cyber-Risiken 4 Ziel sollte die Planung, Umsetzung und kontinuierliche Verbesserung einer Cyber-Sicherheits-Organisation sein 2

3 Unternehmen sind einer zunehmenden Anzahl von Cyber- Risiken und Angriffen mit IT-Bezug ausgesetzt. Bundesgesundheitsministerium, 2014 IT-Administrator leitet vertrauliche Daten gegen Zahlung an Lobbyisten weiter IoT-basierter Cyberangriff, 2014 Haushaltsgeräte verschicken über schadhafte s BITKOM, 2014 Warnung vor zunehmenden Hackerangriffen auf Telekommunikationsanlagen ENISA, 2014 Warnung vor Sicherheitslücken im Online-Banking und Zahlungsdiensten Target, 2013 Hacker greifen über Monate Daten von bis zu 70 Millionen Kunden ab Vodafone, 2013 Cyberkriminelle stehlen Schlüsselinformationen von zwei Millionen Kunden 3

4 Angriffe auf Informations- und Kommunikationstechnologie sind die Herausforderung für das Krisenmanagement Dynamische Bedrohungslage Bekannte kriminelle Tatmuster mutieren unter Nutzung von Cyber-Strukturen zu immer schneller wandelnden Bedrohungen und Sicherheitsrisiken. Zunehmende Eintrittswahrscheinlichkeit durch Kommerzialisierung Angriffe mit hohem Schadensausmaß werden auf einschlägigen Internetseiten und -foren zu geringen Preisen angeboten. Realistische Einschätzung des individuellen Risikos Komplexität und Motivation von digitalen Angriffen wird laut Umfragen unterschätzt während die Wirksamkeit von Standardschutzmaßnahmen überschätzt wird. Cyber-Krisen erfordern höheren Reifegrad Der Druck (Zeit, Entscheidung, Psyche) auf Krisenteams ist bei Cyber-Krisen viel höher als bei altbekannten Krisen (Entführung, Bedrohung). 4

5 Cyber-Krisenmanagement unterscheidet sich grundlegend von herkömmlichem Krisenmanagement. Cyber-Krisen können jedes Unternehmen treffen sind technisch komplex und extrem zeitkritisch erfordern besondere Managementerfahrung Cyber-Krisenmanagement sichert einheitlichen Ausbildungsstand bündelt alle erforderlichen Ressourcen erhöht die Reaktionsgeschwindigkeit im Ernstfall reduziert das Schadenspotential 5

6 Cyber-Krisen zwingen fast alle Unternehmen und Organisationen zur Nutzung externer Unterstützung. Bereits bei dem Verdacht auf eine Cyber-Krise werden benötigt: Forensik-Experten Cyber-Krisenmanager spezialisierte Juristen Unterstützung ist in folgenden Bereichen notwendig: Krisenmanagement / Krisenkommunikation Krisenpläne / Krisenstabsübungen Schulungen, Coachings, Awareness-Maßnahmen Forensik-Schulungen 6

7 Cyberkrisen beschäftigen das Management über Wochen. 7

8 Man kann von Target gutes Cyber- Krisenmanagement lernen. Schnelle, ehrliche, persönliche Kommunikation. Prominent platziert auf der Homepage. Eigene, Problem-spezifische Landing Page. Keine Telefonnummern herausgegeben. Tracking der Besucher der Website, um aus deren Verhalten zu lernen. Verdächtige Absenderdomain (target.bfi0.com). Verdächtige URL 8

9 Enablers Bereiche von Aktivitäten Cyber-Krisenmanagement muss risikoadjustiert sein. Deshalb: Security-Risiken in das ERM einbetten. Aufklärung Prävention Reaktion Wiederherstellung Praxis-Bereiche Physisch Information Security Management Bereiche strategischen Wissens Integriertes SRM Operationsart Verzögerung E liminate S ubstitute I solate Eliminate E ngineer A dministrative Controls P ersonal Protection CAPABILITY IKT ICT People Personell Bereiche operationalen Wissens Regulierung / Policies Training und Ausbildung Operationalisierung Governance und Prüfung Nachhaltigkeit und Resilienz 9

10 Risikoadjustiertes Cyber-Krisenmanagement ermöglicht eine angemessene Reaktion auf Cyber-Szenarien. Organisationsprüfung Krisenplan Krisenübungen Vulnerabilitätsprüfung 10

11 Cyber-Krisenmanagement erfordert dokumentierte Schnittstellen zur Notfallorganisation und anderen Management-Systemen. Schnittstellen Berichtsweg Entscheidungsweg Schnittstellen Risikomanagement Vorstand Krisenstab Unternehmenssicherheit BC*-Manager strategisch taktisch Vorstand, Krisenstabsleiter, ausgewählte Mitarbeiter Personalwesen Kommunikation Händler BC-Coordinator Notfallstab Gebäude- Management Outsourcing / IT Versicherungen Mitarbeiter der OE operativ Notfallteams Change- Management Prävention Reaktion *Business Continuity 11

12 Nur eine Organisationsprüfung ermöglicht den gezielten Aufbau einer Cyber-Krisenorganisation. Die Erhebung des Ist-Zustands, Reifegrads und Entwicklungsbedarfs stellt den Ausgangspunkt dar. Inhalt: Prüfung unterschiedlicher Aspekte: Cyber-Sicherheitsrisikomanagement präventives und reaktives Cyber-Krisenmanagement Krisenkommunikation personelle / physische Sicherheit Querschnittsthemen (z.b. Sicherheitsvorfallbehandlung) Nutzen: Dokumentation des Ist-Zustands systematische Erfassung des Entwicklungsbedarfs Grundlage für eine schnelle und konkrete Entscheidungsfindung schriftlicher Auswertungsbericht mit gewichteten Empfehlungen 12

13 Das Ergebnis der Organisationsprüfung kann unmittelbar in risikominimierende Maßnahmen umgesetzt werden Ein ausführlicher Bericht enthält alle Ergebnisse der kontinuierlichen Verbesserungsmaßnahmen. Inhalt: Management-Zusammenfassung Ausführliche Analyse und Bewertung Gewichtete Maßnahmenempfehlungen technische und organisatorische Optimierungspotentiale Nutzen: Dokumentation der Ergebnisse und ermittelten Schwachstellen Grundlage für eine messbare, kontinuierliche Verbesserung Optimierungsvorschläge 13

14 Krisenpläne ermöglichen die verzugsfreie Reaktion auf Cyber-Krisen. Der IT-Krisenplan beschreibt die spezifischen Verfahrensweisen nach einem Cyber-Krisenereignis. Inhalt: Aufbau der Cyber-Krisenorganisation Eskalations- und Meldewege Checklisten (Beispiel Cyber-Krisenszenarien): Computerkriminalität / Internetkriminalität Verlust vertraulicher Informationen / Datenleck Szenariospezifische Krisenkommunikation: strategische Ausrichtung Stakeholderanalyse / Fragen und Antworten Dark Sites und andere Kommunikationswerkzeuge Nutzen: schnelle, strukturierte Reaktion Minimierung des Schadenpotentials Grundlage für die Entwicklung eines allgemeinen Krisenplans 14

15 Eine effektive Krisenreaktion erfordert ein eingespieltes Team. Cyber-Krisenübungen ermöglichen eine aktive und risikofreie Auseinandersetzung mit Cyber- Szenarien in einer kontrollierten Umgebung. Die Reaktionsfähigkeit und Zusammenarbeit des Krisenstabs kann in Abhängigkeit des individuellen Reifegrads erhöht werden. Nutzen: praktische Erfahrung und Routine im Cyber-Krisenmanagement Abstimmung der Aufgaben und Verantwortlichkeiten Entdeckung von Schwachstellen Inhalt: Meldewesen, Alarmierung und Eskalation Zusammenarbeit im Krisenstab Lagebilderstellung und Entscheidungsfindung Visualisierung 15

16 IT-Vulnerabilitätsprüfungen helfen, das Krisenpotential von Cyber-Risiken zu bewerten. 1. Externer Test (vom Internet aus erreichbare Systeme) 2. Interner Test (netzwerkseitige Angriffsfläche der Systeme eines Standorts) Inhalt: Prüfung von Standardsoftware und -systemen auf bekannte Schwachstellen mit manueller Plausibilitätsprüfung Bericht mit Befunden, möglichen Auswirkungen und gewichteten Maßnahmenempfehlungen Nutzen: Schwachstellen werden sichtbar: in der Verteidigung vor Attacken aus dem Internet im internen Netz bei der Verhinderung von Datenabflüssen Handlungsbedarfe werden schnell und kostengünstig sichtbar die Effizienz der Investitionen in IT- Sicherheit werden sichtbar 16

17 Vielen Dank. HiSolutions AG Bouchéstraße Berlin Von unseren Kunden ausgezeichnet als TOP CONSULTANT 18

18 Backup-Folien 19

19 ÜBER DIE HISOLUTIONS AG HiSolutions ist ein BSI-zertifizierter Sicherheitsdienstleister mit über 15 Jahren operativer Erfahrung. Gegründet 1994 Berater 85 Standorte Beratungsfelder Kernkunden Berlin Frankfurt Köln München Wien Security Management Consulting Governance, Risk & Compliance Unternehmen der Privatwirtschaft Banken und Versicherungen Behörden und Institutionen 20

20 Cyber-Krisenmanagement wird durch die Vielzahl möglicher Angreifer und Angriffsvektoren erschwert. Extern Intern Partner Extern Hacking Diebstahl (Unterlagen, portable Geräte) Schadsoftware Intern Malicious Insider Systemfehler menschliches Versagen Verlust (Unterlagen, portable Geräte) Partner Nichteinhalten von Verträgen mangelhafter Datenschutz Mögliche Ursachen nach den Sphären des Datenverlustes 21

21 Eine Versicherung, die präventive und reaktive Cyber- Krisenberatung enthält, sollte selbstverständlich sein. "There are only two types of companies: Those that have been hacked, and those that will be. (Robert Mueller, FBI-Direktor) Cyber-Risiken lassen sich im Zeitalter von Web 2.0 nicht vermeiden. Es gibt keinen hundertprozentigen Schutz vor Angriffen. Eine Versicherung als Teil der Risikobehandlung bietet: Risikotransfer auf Spezialversicherer umfassende Kompensation des Schadens Risikotransfer Risikoreduktion Risikoübernahme Restrisiko/Restrisiken Anzahl der Risiken Versichern Reduktion Übernahme Vermeiden 22

22 Ein Praxisbeispiel: Passwortdiebstahl bei LinkedIn 23 HiSolutions 2014 Workshop BRZ Wien

23 LinkedIn-Claim: Über 200 Mio. Fach- und Führungskräfte nutzen LinkedIn, um Informationen, Ideen und Karriereund Geschäftschancen auszutauschen. Smartphone-App überträgt Informationen an Server Applikation übermittelt ohne Zustimmung der Nutzer Kalendereinträge, Notizen und -Adressen Passwortdateien auf russischer Website veröffentlicht Auf dem Server liegen 6,5 Millionen Kennwörter, welche nur durch einen Algorithmus unkenntlich gemacht wurden Netzgemeinde und Fachmedien werden aufmerksam Experten raten zum Passwortaustausch und Nutzer beschweren sich über mangelhafte Benachrichtigung 24 HiSolutions 2014 Workshop BRZ Wien

24 Das bedeutet: Über 200 Mio. Fach- und Führungskräfte haben LinkedIn personenbezogene Daten anvertraut. Passwort-Hashes innerhalb kurzer Zeit entschlüsselt Entschlüsselung der Hashing-Algorithmen erfolgte mit modernen Methoden und Techniken innerhalb weniger Stunden Verbrauchermedien berichten Die führenden Nachrichtenseiten berichten Online über die Vorfälle LinkedIn informiert zögerlich und unvollständig Nachdem die meisten Nutzer durch Twitter von dem Vorfall erfahren, verfasst LinkedIn einen Blogeintrag 25 HiSolutions 2014 Workshop BRZ Wien

25 Der Vorfall wird innerhalb von Minuten Nr. 1 bei der Google-Suche nach LinkedIn. 26 HiSolutions 2014 Workshop BRZ Wien

26 Wenige Minuten später bestimmt der Vorfall die Diskussion im Netz. Nachdem Netzgemeinde und Fachmedien auf den Vorfall aufmerksam machen, erfolgt eine kurze Statusmeldung bei Twitter. Stay tuned anstatt we will inform you. 27 HiSolutions 2014 Workshop BRZ Wien

27 LinkedIns unangemessene Reaktion auf den Vorfall wird ebenfalls schnell zum Thema. Meldungen auf Twitter Startseite des Netzwerkes 28 HiSolutions 2014 Workshop BRZ Wien

28 Noch Stunden später hat LinkedIn seine Website nicht überarbeitet. Auf der Startseite führt ein kleiner Link zu den Stellungnahmen des Unternehmens Diese beziehen sich zunächst auf einen vergangenen Sicherheitsvorfall 29 HiSolutions 2014 Workshop BRZ Wien

29 Es geht aber auch völlig anders Zum Vergleich die Startseite eines anderen geschäftlichen Netzwerkes nach einer Störung. Form des Bedauerns Erklärung auf Deutsch Erklärung auf Englisch Verwendung von Twitter und Kanalisierung weiterer Informationen/ Status Stellungnahme/ Kommunikation auf Deutsch Stellungnahme/ Kommunikation auf Englisch 30 HiSolutions 2014 Workshop BRZ Wien

30 Viele Stunden später erteilt LinkedIn belanglose Sicherheitshinweise. LinkedIn verweist im Blog auf die andauernde Untersuchung des Vorfalls Zu diesem Zeitpunkt könne der Datenverlust nicht bestätigt werden Stattdessen informiert das Netzwerk ihre Nutzer, wie sie selbst zu mehr Passwortsicherheit beitragen können Für weitere Updates wird auf Twitter verwiesen Anmerkung: Unterdessen erklären mehrere Nutzer, dass sich ihre Passwörter auf der veröffentlichten Liste befinden. 31 HiSolutions 2014 Workshop BRZ Wien

31 Noch Wochen später ist LinkedIn des Themas nicht ledig geworden. Nach einem Monat erscheint der Hashtag des Unternehmens immer noch im Zusammenhang mit kritischen Meldungen zum Vorfall. 32 HiSolutions 2014 Workshop BRZ Wien

32 Klassische Fehler der Krisenkommunikation sind in einer IT-Krise recht unmittelbar tödlich Zögerliche und unvollständige Information der Betroffenen Die meisten Nutzer erfuhren über Twitter von dem Vorfall Schlechtes Informationsmanagement Überschätzen von Information und unterschätzen von Emotion Vertrauen auf das Gesetz der Größe Missachten grundsätzlicher Regeln im Umgang mit den unterschiedlichen Stakeholdergruppen (Netiquette-Fehler*) Der erste Eindruck: zu spät, zu arrogant, zu technisch, zu unpersönlich 33 HiSolutions 2014 Workshop BRZ Wien