Wenn Cyberangriffe oder technische Störungen die kritischen Prozesse eines Unternehmens beeinträchtigen, sind die Folgen vielschichtig und die Schäden oftmals enorm. Betriebe der Lebensmittelindustrie, die zu den regulierten Kritischen Infrastrukturen gehören, sind in Supply Chains weitrechend vernetzt. Security-Vorfälle können sich schnell ausbreiten. Die EU-Richtlinie NIS2 verpflichtet Unternehmen zum Gegensteuern. Krisenmanagement und Business Continuity Management (BCM) zählen zu den Mindestanforderungen, die im Rahmen des Risikomanagements umgesetzt werden müssen.
Bei der Incident Response kommt es entscheidend darauf an, wie gut man sich vorher schon auf einen Ernstfall eingestellt hat. Nur wer gut vorbereitet ist, bleibt handlungsfähig. Zu einem guten Notfallplan gehört auch die Unterstützung von Experten. Incident-Response-Dienstleister helfen Unternehmen dabei, den Betrieb nach einem Vorfall am Laufen zu halten oder, im Worst Case, schnell und gesichert wieder aufnehmen zu können.
Was müssen Unternehmen tun, um einen Vorfall bewältigen zu können? Darüber habe ich mit Uwe Grams und Vincent Rockenfeld von der RapidResponse GmbH gesprochen.
Max Weidele: Erst einmal zur Orientierung – was versteht man konkret unter Incident Response?
Uwe Grams: Bei der Incident Response geht es grundsätzlich um eine angemessene Reaktion auf den Ausfall der IT und davon abhängende kritische Prozesse. Incident Response kümmert sich primär um die Krisenbewältigung, unterstützt also Unternehmen bei Themen wie Krisenmanagement, Krisenkommunikation und IT-Forensik.
Max Weidele: Bei welcher Art von Ausfällen braucht man Incident Response und wie ist das für die OT einzuordnen?
Uwe Grams: Sprechen wir kurz über die Begrifflichkeiten. Der BSI-Standard 200-4 des Bundesamts für Sicherheit in der Informationstechnik beschreibt im Kontext der Business Continuity, was eine Störung ist, was ein Notfall ist und wie eine Krise definiert ist.
Eine Störung betrifft nur einen Bereich, das ist kein großes Problem. In der Regel kann die jeweilige Fachabteilung eine Störung selbst lösen. Anders bei einem Notfall. Ein Notfall betrifft das gesamte Unternehmen und verursacht einen hohen Schaden. Man braucht eine Sonderorganisation, um den Vorfall zu bewältigen, einen Krisenstab, der die zentrale Steuerung und Koordination übernimmt, federführend Normalprozesse außer Kraft setzt und für einen Notbetrieb sorgt. Es gilt, Entstörungsmechanismen anlaufen zu lassen, gleichzeitig muss man sich um den Business-Kontext kümmern, um einen stabilen Notbetrieb. Man muss die interne und die externe Kommunikation steuern. Für einen Notfall kann man noch planen, Szenarien üben. Ein Unternehmen mit mehreren Standorten wird sich Gedanken machen, was passiert, wenn ein gesamter Standort ausfällt. Eine Krise ist dagegen etwas, das nicht planbar ist. Wenn ich keinen Plan habe, kann das daran liegen, dass die Situation unvorhersehbar oder extrem komplex ist oder weil ich schlicht nicht vorbereitet bin.
Vincent Rockenfeld: Cyberangriffe verursachen meistens auch Incidents in der OT. Da gibt es verschiedene Szenarien: Oft wird die OT bei einem Cyberangriff auf ein Unternehmen in Mitleidenschaft gezogen. Produktionsbereiche können aber auch direkt angegriffen werden, weil es dort zahlreiche Sicherheitslücken gibt: Die OT ist vielleicht in einem Bereich, der nicht abgegrenzt, sondern in die IT integriert ist. Es kann nicht so gepatched werden, wie in der IT oder es gibt keine Patches vom Hersteller oder vom Dienstleister, der für das Patchmanagement verantwortlich ist. Auch Fernwartungszugänge können Einfallstore sein, Geräte sind aus dem Internet erreichbar und kommunizieren nach außen. Das alles sind Ursachen, warum Angreifer in das Unternehmensnetzwerk gelangen und sich dann weitreichende Berechtigungen holen können.
Wenn in der OT Anlagen ausfallen, hat das massive Folgen für ein Unternehmen. Wie gravierend die Auswirkungen letztlich sind, hängt, neben der Vorbereitung auf den Notfall, von einer angemessenen Reaktion, also einer professionellen Incident Response ab.
Max Weidele: Was ist im Fokus von Incident Response, wenn Systeme in der OT betroffen sind?
Vincent Rockenfeld: Wir sehen Incident Response immer aus zwei Perspektiven: aus der Business-Sicht, also die organisatorischen Prozesse sowie aus der Sicht der technischen Prozesse. Bei der Technik geht es einmal um die IT-Forensik, den Wiederanlauf der IT und OT und um Security. Innerhalb der Organisation steht das Krisenmanagement, die Kommunikation im Fokus. Gerade im Zusammenspiel zwischen Business und Technik geht es darum, gemeinsam Umwege zu schaffen, um einem Ausfall von Produktionsanlagen entgegenwirken. Dafür können Teilprozesse mit einzelnen Systemen in kleinen isolierten Umgebungen zum Funktionieren gebracht werden. Auf diese Weise kann man Businessprozesse in einen stabilen Notbetrieb überführen und zum Beispiel manuell weiterproduzieren.
Wenn die IT nach einem Incident wieder aufgebaut werden muss, schließt das entsprechende Sicherheitsmaßnahmen ein. Die Gelegenheit der Verbesserung des Sicherheitsniveaus sollte man nutzen, damit das Unternehmen nachher ein Stück weit besser dasteht als vor dem Incident. Bei einem Aufbau kann man nämlich grundsätzliche Sicherheitseinstellungen anpassen.
Uwe Grams: Wenn die Systeme down sind, habe ich beispielsweise auch keine Alarmanlage, die funktioniert nicht, oder die Brandmeldeanlage hat keine Telefonie-Möglichkeit nach außen. Ich muss gucken, dass eben auch mein Gebäude trotzdem adäquat gesichert ist und keine Auflagen verletzt werden.
Innerhalb der Incident Response steht neben den organisatorischen und technischen Prozessen der Faktor Mensch im Mittelpunkt. In Stresssituationen kommt der Kommunikation und der Führung eine besondere Bedeutung zu. Zum einen müssen Mitarbeiter und Kunden mitgenommen werden und zum anderen müssen alle relevanten Informationen ausgetauscht werden.
Wir haben eine Grafik mitgebracht, die zeigt, was alles im Bereich der Incident Response relevant ist:
Incident Response geht weit über die technischen Aspekte hinaus, sie deckt all diese Themenfelder ab. Es gibt auf der einen Seite die Leute mit IT-Know-how, in der Grafik sind das die Zahnräder im mittleren und rechten Bereich: IT-Forensik, IT-Wiederaufbau IT Security, dort unterstützt Vincent. Auf der anderen Seite stehen die Leute, die klassischerweise organisatorisch getrieben sind, die die Kommunikation, das Krisenmanagement und den Notbetrieb übernehmen, das ist mein Part. Die Themen jeweils am Rand der Grafik, Verhandlung, Datenschutz, Versicherungskommunikation, Dienstleister-Steuerung, Lösegeldzahlung und Behördenkommunikation gehören klassischerweise auch zur Incident Response.
Die einzelnen Themen greifen ineinander. Die IT-Ebene und die Business-Ebene müssen miteinander sprechen, die Themen müssen zusammengebracht werden. In der IT gibt es Eskalationsmechanismen für definierte Fälle in der IT, zum Beispiel Incidents oder Major Incidents. Wenn ein IT-Vorfall eine Krise im Unternehmen auslöst, die höchste Eskalationsstufe, dann ist es wichtig, dass die IT im Krisenmanagement entsprechend vertreten ist und mitwirkt.
Incident Response muss man ganzheitlich sehen, alle Zahnrädchen müssen einfach gut miteinander funktionieren.
Max Weidele: Eine koordinierte Zusammenarbeit verschiedener Bereiche in einer Ausnahmesituation – wie gelingt das? Wer ist für Incident Response verantwortlich?
Uwe Grams: Wenn es ein IT-Problem gibt, bei dem das Unternehmen Unterstützung braucht, sind das üblicherweise die klassische IT, Sicherheitsverantwortliche oder die Geschäftsführung, die sich bei uns melden. Wenn wir beim Kunden ankommen, teilen wir uns auf und gehen zum einen ins Management und bauen eine Krisenstabsorganisation sowie Krisenstabsprozesse auf. Im Krisenmanagement identifiziert man kritische Prozesse, um zu sehen, worum man sich konkret kümmern muss. Anschließend arbeitet man an einem stabilen Notbetrieb zum Beispiel für die Produktionsprozesse.
Zum anderen initialisiert Vincent die IT-Forensik und baut mit der IT eine ähnliche Struktur wie im Krisenmanagement auf. Das Ziel ist es, zunächst die Infrastruktur und das aktuelle Lagebild zu verstehen und anschließend eine effiziente Arbeitsweise zur forensischen Analyse, der Unterstützung des Notbetriebs und dem Wiederaufbau zu ermöglichen. Es gibt viele Schnittstellen mit der Produktion, da braucht es einen Workaround mit der IT. Für einen stabilen Notbetrieb nutzen wir manuelle Prozesse und wir versuchen die Wiederherstellung von Daten mit Backups.
Man muss die Mitarbeiter im Unternehmen, die sich ja in einer Ausnahmesituation befinden, befähigen, die richtigen Dinge zu tun. Manchmal kann man das Einspielen von Backups mit einem Dienstleister schneller organisieren, wenn man kreativ ist und kurze Wege nimmt. In der Incident Response ist eine echte Hands-on-Vorgehensweise angesagt.
Max Weidele: Was heißt Incident Response im Kontext KRITIS und Regulierung?
Uwe Grams: Technisch gesehen geht es grundsätzlich darum, sich vorzubereiten, damit kritische Services nicht ausfallen. Die Regularien haben überwiegend die Verfügbarkeit, Vertraulichkeit und Integrität der IT im Blick und folglich die Bereiche, wo die IT angreifbar ist. Wichtig ist aber im Ernstfall auch das reine Krisenmanagement, das ist non-IT. Aktuell sind die regulatorischen Vorgaben für ein gut gemachtes Krisenmanagement gerade im Bereich der OT/IT noch verhältnismäßig dünn und orientieren sich eher an Krisen durch physische Ereignisse. Das Krisenmanagement muss auf nicht vorhersehbare Ereignisse reagieren können. Dafür muss man Strukturen schaffen und sich mit dem Unbekannten beschäftigen. Das betrifft natürlich nicht nur den IT-Kontext.
Vincent Rockenfeld: Pflichten aus der Regulierung, wie zum Beispiel die Einführung eines ISMS, und der IT-Grundschutz schießen auch einzelne Bausteine aus dem BCM, der Sicherheitsvorfallbehandlung und dem Krisenmanagement ein. Und man sollte auch seine kritischen Assets kennen.
Aus unserer Erfahrung gibt es aber immer ein Gap zwischen der Theorie, also dem, was die Regulierung fordert und dem, was konkret in der Praxis hilft. Unternehmen können Papiertiger in der Schublade haben, erfüllen alle Anforderungen einer ISO 27001 oder TISAX-Zertifizierung. Und dann kommt ein Sicherheitsvorfall. Aus dem wird am Ende eine Krise, weil das, was ich mir in der Theorie überlegt habe, fern ab von dem ist, was mir in der Praxis hilft oder überhaupt im Unternehmen gelebt wird. Da haben wir wirklich Nachbesserungsbedarf, auch im KRITIS-Umfeld. Da sollte Awareness dafür geschaffen werden, dass man funktionsfähige Lösungen braucht. Aus welcher Motivation heraus setze ich die Frameworks um? Unternehmen haben ein hohes Eigeninteresse daran, dass ihnen die Erfüllung der regulatorischen Anforderungen in der Praxis, im Notfall, in der Krise auch etwas bringt.
—
Im zweiten Teil des Interviews besprechen wir, was zu einer guten Vorbereitung gehört, damit aus Sicherheitsvorfällen keine Krisen werden.
Checkliste: Angriffserkennung in KRITIS Betrieben
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.