Incident Response: „Wir löschen den Brand“

12/10/20

Ein Interview mit Philipp Mattes-Draxler. Bei einem Cyberangriff müssen Unternehmen schnell handeln: Incident Response nennt sich die Reaktion auf einen IT-Sicherheitsvorfall. 

Philipp Mattes-Draxler, Cybersecurity und Privacy-Experte bei PwC Österreich, weiß vor welchen Herausforderungen Unternehmen im Ernstfall stehen, was dann zu tun ist und warum es wichtig ist, schnell zu reagieren.

Für Security Incident Response brauchen Unternehmen Fachexpertise, die sie schwer im Unternehmen bereithalten können.

Philipp Mattes-Draxler Cybersecurity und Privacy-Experte
Incident Response nennt sich die Reaktion auf einen Sicherheitsvorfall. Welche Unternehmen suchen sich Unterstützung bei der Vorbereitung auf einen Sicherheitsvorfall und bei seiner Bewältigung?

Auf der einen Seite sind das typischerweise Unternehmen, die vom NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) betroffen sind. Das sind Betreiber wesentlicher Dienste, etwa im Bereich Energie oder Verkehr, und Anbieter digitaler Dienste. Diese kritischen Infrastrukturen müssen hohe Sicherheitsstandards vorweisen. Sie brauchen eine schnelle Einsatztruppe und müssen sich auf Sicherheitsvorfälle professionell vorbereiten. Auf der anderen Seite sind das Unternehmen, die sich mit Cyberversicherungen und dem Thema Cybersicherheit auseinandersetzen. Auch sie brauchen im Ernstfall rasch professionelle Unterstützung.

Vor welchen Herausforderungen stehen diese Unternehmen dann?

Diese Unternehmen haben in der Regel eine funktionierende IT und ein IT-Security-Team. Jeder Experte dieses Teams hat eine Funktion. Für Security Incident Response brauchen Unternehmen aber oft auch darüber hinaus Fachexpertise, die sie schwer im Unternehmen bereithalten können. Hier braucht es also zusätzliche Experten, die speziell geschult sind, praktische Erfahrung in der Abwehr von Hackerangriffen haben und strukturiert vorgehen.

Warum ist der Zeitfaktor bei einem Cyberangriff so wichtig?

Wenn ich den Angriff detektiere, kann ich nicht wissen, in welcher Phase des Angriffs ich mich befinde. Ich kann mir aber einen Vorsprung sichern, wenn ich schnell reagiere. Vielleicht ist der Angriff auch schon weiter fortgeschritten, dann sollte ich erst recht keine Zeit verlieren: Ich muss in Erfahrung bringen, was der Angreifer machen möchte und darauf reagieren. Außerdem gibt es je nach Branche gesetzliche Vorgaben, die vorschreiben, dass man im Falle eines Hackerangriffs oder wenn personenbezogene Daten betroffen sind, innerhalb eines festgelegten Zeitraums reagieren und die Behörden informieren muss. Die Datenschutzgrundverordnung (DSGVO) oder das Netz- und Informationssystemsicherheitsgesetz (NIS-Gesetz), aber beispielsweise auch Regularien im Bankenbereich geben hier also einen Zeitrahmen vor.

Was bringt im Ernstfall eine Cyberversicherung?

Eine Cyberversicherung ist wie die Feuerversicherung, die nach einem Brand aufgrund eines Sachverständigengutachtens den Schaden für das Haus ersetzt. Sie löscht aber keinen Brand. Wir sind sozusagen diese Brandlöscher, die Feuerwehr: Wir sind vor Ort und begleiten den Kunden beim Bearbeiten des Sicherheitsvorfalls. Wir strukturieren die Ablaufreaktion, unterstützen bei Analysetätigkeiten – etwa indem wir Einzelheiten zu den Angreifern in Erfahrung bringen – und helfen, die richtigen Schritte abzuleiten. Eine Cyberversicherung ist ein gutes Mittel, um Folgekosten abzudecken, die durch die Aufarbeitung und die unmittelbaren Schäden anfallen. Leider ist ein Cyberangriff aber im Gegensatz zu anderen Risiken nicht einfach zu beziffern. Es kann nur ein IT-System zu Schaden gekommen sein, womöglich wird der Cybervorfall aber publik, dann leidet die Reputation und der Aktienkurs stürzt ab. Vielleicht verliert ein Unternehmen auch einen Wettbewerbsvorteil, weil geheime Informationen beim Mitbewerber landen. Besser ist es daher sicher, in Präventionsmaßnahmen zu investieren und dann rasch die Feuerwehr zur Hand zu haben, damit sich das Feuer gar nicht erst ausbreitet.

Der PwC Incident Response Retainer beinhaltet ein Callcenter für Cyber-Sicherheitsvorfälle, das täglich rund um die Uhr besetzt ist. Was passiert, wenn ein Unternehmen dort anruft?

Der Anrufer erreicht die Kollegen im Callcenter in Deutschland, das 24/7 besetzt ist. Die nehmen den Vorfall professionell auf und informieren uns. Wenn wir den Anrufer zurückrufen, sind wir bereits informiert und unterstützen in der Erstreaktion: Wir führen durch Nachfragen eine Analyse durch und leiten zusammen mit dem Anrufer die weiteren Schritte ab. In der Zwischenzeit mobilisieren wir unsere Experten und strukturieren unser Team. Danach arbeiten wir remote oder vor Ort beim Unternehmen, das angegriffen worden ist.

Wie konntet ihr in einem konkreten Beispiel helfen?

Ein Kunde hat beispielsweise entdeckt, dass eine IT-Schwachstelle bei ihm ausgenutzt worden ist. Er wusste aber nicht, was der Angreifer genau gemacht hat. Das konnten wir gemeinsam relativ rasch eingrenzen. Außerdem haben wir Sofortmaßnahmen empfohlen, die der Kunde implementiert hat. Damit ist es zu keinen weiteren Handlungen gekommen. In einem anderen Fall war der Kunde Opfer einer Ransomware-Attacke: Seine gesamte IT-Infrastruktur wurde verschlüsselt und er sollte Lösegeld zahlen. Der Kunde hat das Lösegeld nicht bezahlt. Stattdessen haben wir mit ihm gemeinsam seine IT-Infrastruktur auf sichere Weise wiederaufgebaut und eingesetzt. Das war aber wesentlich dramatischer, als es jetzt klingt.

Wie lange dauert es im Regelfall, bis sich die Wogen nach einem solchen Sicherheitsvorfall geglättet haben?

Bei manchen Vorfällen geht das relativ rasch, weil nicht viel passiert ist. Bei einem mittelgroßen Angriff wird es etwa einen Monat dauern. Dann hat man sich einen guten Überblick verschafft und die Sofortmaßnahmen soweit durchgeführt, dass man eine gewisse Sicherheit hergestellt hat, auf deren Basis man weiterarbeiten kann. 

Jetzt mehr Infos anfordern!

Erfahren Sie mehr über den Incident Response Retainer

Required fields are marked with an asterisk(*)

Mit dem Klick auf „Senden“ bestätige ich, die Datenschutzerklärung und die vertrauliche Verwendung meiner Daten zur Kenntnis genommen zu haben. Ich habe jederzeit die Möglichkeit, die zugesandten Informationen durch eine E-Mail über die Kontaktseite abzubestellen.

Kontakt

Georg Beham

Georg Beham

Partner, PwC Austria

Tel: +43 732 611750

Philipp Mattes-Draxler

Philipp Mattes-Draxler

Senior Manager, PwC Austria

Hide