Incident Response: „Wir löschen den Brand“

Incident Response Retainer

Ein Interview mit Philipp Mattes-Draxler. Bei einem Cyberangriff müssen Unternehmen schnell handeln: Incident Response nennt sich die Reaktion auf einen IT-Sicherheitsvorfall.

Philipp Mattes-Draxler, PwC Cybersicherheit, Partner, im Interview

Philipp Mattes-Draxler ist Cybersecurity und Privacy-Experte bei PwC Österreich. Er weiß, vor welchen Herausforderungen Unternehmen im Ernstfall stehen, was dann zu tun ist – und warum es so wichtig ist, schnell zu reagieren.

  • Incident Response: So nennt sich die Reaktion auf einen Sicherheitsvorfall. Welche Unternehmen suchen sich Unterstützung bei der Vorbereitung auf einen Sicherheitsvorfall und bei seiner Bewältigung?

Auf der einen Seite sind das typischerweise Unternehmen, die vom NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) betroffen sind. Das sind Betreiber wesentlicher Dienste, etwa im Bereich Energie oder Verkehr, und Anbieter digitaler Dienste.

Diese kritischen Infrastrukturen müssen hohe Sicherheitsstandards vorweisen. Sie brauchen eine schnelle Einsatztruppe und müssen sich auf Sicherheitsvorfälle professionell vorbereiten. Auf der anderen Seite sind das Unternehmen, die sich mit Cyberversicherungen und dem Thema Cybersicherheit auseinandersetzen. Auch sie brauchen im Ernstfall rasch professionelle Unterstützung.

  • Vor welchen Herausforderungen stehen diese Unternehmen dann?

Diese Unternehmen haben in der Regel eine funktionierende IT und ein IT-Security-Team. Jeder Experte dieses Teams hat eine bestimmte Funktion.

Für Security Incident Response brauchen Unternehmen aber oft spezielle Fachexpertise darüber hinaus, die sie schwer im Unternehmen bereithalten können. Hier braucht es also zusätzliche Experten, die speziell geschult sind, praktische Erfahrung in der Abwehr von Hackerangriffen haben und strukturiert vorgehen.

  • Warum ist der Zeitfaktor bei einem Cyberangriff so wichtig?

Wenn ich den Angriff detektiere, kann ich nicht wissen, in welcher Phase des Angriffs ich mich befinde. Befinde ich mich in einer frühen Phase des Angriffs, kann ich mir einen Vorsprung sichern, wenn ich schnell reagiere. Wenn der Angriff auch schon weiter fortgeschritten ist, sollte ich erst recht keine Zeit verlieren: Ich muss in Erfahrung bringen, was der Angreifer machen möchte und darauf reagieren.

Außerdem gibt es je nach Branche gesetzliche Vorgaben, die vorschreiben, dass man im Falle eines Hackerangriffs, oder wenn personenbezogene Daten betroffen sind, innerhalb eines festgelegten Zeitraums reagieren und die Behörden informieren muss.

Die Datenschutzgrundverordnung (DSGVO) oder das Netz- und Informationssystemsicherheitsgesetz (NIS-Gesetz), aber beispielsweise auch Regularien im Bankenbereich, geben hier einen Zeitrahmen vor.

Schnelle Reaktion direkt beim Kunden
  • Was bringt im Ernstfall eine Cyberversicherung?

Eine Cyberversicherung ist wie die Feuerversicherung, die nach einem Brand aufgrund eines Sachverständigengutachtens den Schaden für das Haus ersetzt. Sie löscht aber keinen Brand.

Das übernehmen wir: Wir sind sozusagen die Feuerwehr vor Ort und begleiten den Kunden beim Bearbeiten des Sicherheitsvorfalls. Wir strukturieren die Ablaufreaktion, unterstützen bei Analysetätigkeiten – etwa indem wir Einzelheiten zu den Angreifern in Erfahrung bringen – und helfen, die richtigen Schritte abzuleiten.

Eine Cyberversicherung ist ein gutes Mittel, um Folgekosten abzudecken, die durch die Aufarbeitung und die unmittelbaren Schäden anfallen. Leider ist ein Cyberangriff aber im Gegensatz zu anderen Risiken nicht einfach zu beziffern. Es kann nur ein IT-System zu Schaden gekommen sein, womöglich wird der Cybervorfall aber publik, dann leidet die Reputation und der Aktienkurs stürzt ab. Vielleicht verliert ein Unternehmen auch einen Wettbewerbsvorteil, weil geheime Informationen beim Mitbewerber landen.

Besser ist es daher sicher, in Präventionsmaßnahmen zu investieren und dann rasch die Feuerwehr zur Hand zu haben, damit sich das Feuer gar nicht erst ausbreitet.

Der Anrufer erreicht die Kollegen im Callcenter in Deutschland, das 24/7 besetzt ist. Die nehmen den Vorfall professionell auf und informieren uns.

Wenn wir zurückrufen, kennen wir bereits wesentliche Eckdaten und unterstützen in der Erstreaktion: Wir führen durch Nachfragen eine Analyse durch und leiten zusammen mit den Betroffenen die weiteren Schritte ab.

In der Zwischenzeit mobilisieren wir bereits unsere Experten und strukturieren unser Team. Danach arbeiten wir remote oder vor Ort beim Unternehmen, das angegriffen worden ist.

  • Wie konntet ihr in einem konkreten Beispiel helfen?

Ein Kunde hat beispielsweise entdeckt, dass eine IT-Schwachstelle bei ihm ausgenutzt worden ist. Er wusste aber nicht, was der Angreifer genau gemacht hat. Das konnten wir gemeinsam relativ rasch eingrenzen. Außerdem haben wir Sofortmaßnahmen empfohlen, die der Kunde implementiert hat. Damit ist es zu keinen weiteren Handlungen gekommen.

In einem anderen Fall war der Kunde Opfer einer Ransomware-Attacke: Seine gesamte IT-Infrastruktur wurde verschlüsselt und er sollte Lösegeld zahlen. Der Kunde hat das Lösegeld nicht bezahlt. Stattdessen haben wir mit ihm gemeinsam seine IT-Infrastruktur auf sichere Weise wiederaufgebaut und eingesetzt. Das war aber wesentlich dramatischer, als es jetzt klingt.

  • Wie lange dauert es im Regelfall, bis sich die Wogen nach einem solchen Sicherheitsvorfall geglättet haben?

Bei manchen Vorfällen geht das relativ rasch, weil nicht viel passiert ist. Bei einem mittelgroßen Angriff wird es etwa einen Monat dauern. Dann hat man sich einen guten Überblick verschafft und die Sofortmaßnahmen soweit durchgeführt, dass man eine gewisse Sicherheit hergestellt hat, auf deren Basis man weiterarbeiten kann. 

Für Security Incident Response brauchen Unternehmen Fachexpertise, die sie schwer im Unternehmen bereithalten können.

Philipp Mattes-DraxlerPartner, Cybersecurity und Privacy-Experte

Kontakt

Georg Beham

Georg Beham

Partner, Cybersecurity & Privacy Leader, PwC Austria

Tel: +43 699 163 054 54

Philipp Mattes-Draxler

Philipp Mattes-Draxler

Partner, Threat und Incident Management Leader, PwC Austria

Tel: +43 699 163 050 22

Folgen Sie uns