Incident Response
Incident Response - wenn beim Kunden die IT unkontrolliert herunterbrennt, können Incident Response-Teams in vielen Fällen helfen, die Brandherde zu löschen und die Panik in Momentum verwandeln.
Feuerwehreinsatz ohne Löschschlauch
Feuerwehr-Vergleiche bieten sich bei den meisten Incident Response (IR) Einsätzen an: Man löscht schwelende Feuer in der Infrastruktur, sucht in abgebrannten Servern nach überlebenden Datenfragmenten, zieht noch nicht brennende Systeme aus dem Gefahrenbereich heraus, betreut die betroffenen Mitarbeiter und koordiniert die Zusammenarbeit mit Dienstleistern, Behörden und anderen Rettungsstellen wie der Polizei, dem LKA oder auch mal dem BKA.
Natürlich reist ein IR-Team nicht mit Blaulicht im roten Drehleiterwagen an, auch wenn einige Betroffene sich das alleine wegen der Signalwirkung “jetzt passiert was!” sicher wünschen würden - der psychologische Effekt wäre bestimmt deutlich messbar. In meinem / unseren Fall würden jedoch immerhin mindestens eine Handvoll Menschen, teilweise im Anzug, teilweise in Alltagskleidung, vor der Türe stehen, schwere Koffer mit Ausrüstung im Gepäck, und sich als das angeforderte IR-Team vorstellen. Dann geht es aber ähnlich wie bei Feuerwehr- und Polizeieinsätzen weiter: Lageerfassung, Krisenstabsräume bereitstellen und Krisenstäbe definieren (beides sofern noch nicht durch den Kunden bereits geschehen), Identifizierung von aussage- und weisungsberechtigten Personen. Das technische Team baut die Analyse-Infrastruktur auf und checkt gemeinsam mit den technischen Ansprechpartnern die Lage, während das Krisenmanagement-Team sich Vorstände und Abteilungsleiter greift und sich daran macht, notwendige Maßnahmen zu definieren und umzusetzen, die aus kommunikationstechnischer und rechtlicher Sicht notwendig sind.
Krisenmanagement in a nutshell
Ohne an dieser Stelle zu tief ins Detail zu gehen (immerhin verdienen wir mit diesem Wissen unser Geld), gibt es viele Fallstricke, die ein Unternehmen oft nicht in Gänze auf dem Schirm hat. Informationspflichten und Deadlines in Richtung Kunden, Mitarbeitern, Geschäftspartnern und Behörden, die sich je nach Unternehmen stark unterscheiden können. Außerdem die Erfassung von betroffenen Geschäftsprozessen und deren Abhängigkeiten, von SLAs und anderen Vereinbarungen mit Geschäftspartnern und Kunden, die man aufgrund des Ausfalls möglicherweise nicht einhalten kann und vieles mehr.
Ein weiterer Faktor, den viele beim Begriff “Krisenmanagement” nicht direkt im Kopf haben werden, sind die Mitarbeiter selbst. Ein Vorfall, der einen IR-Einsatz auslöst, ist in den meisten Fällen für alle Beteiligten sehr stressigcitation needed. Eine Freundin sagte mir einmal “Stress macht leistungsfähig - aber dumm” und hätte es damit nicht besser treffen können. Wer sinnvolle Entscheidungen in einer Krisensituation treffen muss, sollte möglichst einen Zustand erreichen, in dem der Stress möglichst niedrig ist. Leicht gesagt, zugegeben. Doch auch das ist Teil des Krisenmanagements. Im Zweifel heißt das auch: Mitarbeiter sinnvoll beschäftigen, damit überhaupt nicht erst das Gefühl aufkommt, im Leerlauf zu sein; Führungskräften und Entscheidern Überblick und eine positive Aussicht zu verschaffen.
Ran an die Server - nur gucken, nicht anfassen!
Okay, die Überschrift ist etwas irreführend. Generell gesprochen werden die meisten IR-Teams heutzutage nicht von einem Systemhaus gestellt, sondern über eigenständige Firmen, die sich mit IT-Sicherheit beschäftigen oder sich gänzlich auf IR spezialisiert haben. Von Zeit zu Zeit hat man sogar die Möglichkeit, Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Haus zu haben, die bei der Wiederherstellung der Betriebsfähigkeit unterstützen - ich würde trotz der durchweg positiven Erfahrungen dazu raten, dennoch möglichst darauf zu verzichten, in entsprechende Situationen zu kommen.
Als IR-Team sind wir in der Regel beratend unterwegs. Wir richten keine Server ein, wir legen keine Netzwerkkabel und wir konfigurieren nicht die Firewall. Das ist Aufgabe der entsprechend fachlich zuständigen Mitarbeiter und Dienstleister, deren Bemühungen wir koordinieren und Hilfestellungen bei der korrekten Umsetzung der Maßnahmen geben. Natürlich kommt es von Zeit zu Zeit trotzdem einmal vor, dass wir Zugänge zu Firewalls oder SIEM-Systemen bekommen, um Logdaten und Auswertungen selbstständig zu ziehen, aber die Regel ist das nicht - und soll es auch nicht sein.
Des Weiteren unterstützen die technischen Experten das Krisenmanagement-Team bei der Erfassung technischer Abhängigkeiten und realistischen Wiederherstellungszeiten für die Planung auf der nächsthöheren Ebene. Die beiden Teams arbeiten Hand in Hand, um Blocker möglichst zeitnah ausfindig zu machen und entsprechend schnell gegensteuern zu können. Oft betreuen Krisenmanager und “Techies” auch separate Krisenstäbe, die sich dann im Nachgang koordinieren. Dabei wird versucht, die entsprechenden Krisenstäbe so klein wie möglich zu halten und von dort aus Aufgaben zu delegieren, denn nichts hemmt eine Entscheidung mehr als zu viele Entscheider, die alle erst einmal alles durchdiskutieren wollen.
Um Geräte zu identifizieren, die kompromittiert oder auf andere Art in den Vorfall eingebunden sind, müssen teilweise viele Daten untersucht werden, Hierfür werden in der Regel mit forensischen Tools Abbilder der entsprechenden Datenträger erstellt, die dann auf unseren eigenen Systemen vor Ort oder remote untersucht werden können. Ab und zu müssen Daten von solchen Abbildern wieder bereitgestellt werden, ab der Prüfung und Übergabe der Daten endet aber auch wieder unsere Zuständigkeit. Generell versuchen wir, eine befallene Infrastruktur als solche nach Möglichkeit offline zu nehmen und mit frischen Systemen den Betrieb wiederherzustellen. Das ist nicht immer vollumfänglich möglich, hier finden sich dann andere Lösungen, um eine weitere Gefährdung von Infrastruktur, Daten und Menschen so weit wie möglich einzudämmen.
Wann sind die endlich wieder weg?
Spätestens mit dem Erreichen eines stabilen Notbetriebs und eines Fahrplanes für die weitere Wiederherstellung oder den Neuaufbau der Infrastruktur ist unser Einsatz als IR-Team meistens vorbei. Andere Firmen haben möglicherweise andere *Exit Points" definiert, und auch wir lassen natürlich einen Kunden, der weiterhin Unterstützung benötigt, nicht im Regen stehen. In so einem Fall besteht immer die Möglichkeit, dass ein reguläres Team die Betreuung übernimmt, das bei BCM- oder Infrastrukturthemen beratend zur Seite steht - dann allerdings mit einem regulären Vertrag. Die IR-Teams sollten natürlich so schnell wie möglich wieder für den nächsten möglichen Vorfall (hoffentlich bei einem anderen Kunden) zur Verfügung stehen! Auch hier wieder der Feuerwehr-Vergleich: Ist das Feuer gelöscht und der Ort des Vorfalls gesichert rücken die Einsatzkräfte wieder ab und die Polizei, die Reinigungskräfte und die zuständigen Planungskräfte für den Wiederaufbau übernehmen.