Vorteil Cyber Incident SimulationDatum: 16.08.2024
Autor: Florian Walther
Dieser Beitrag erläutert warum es für Organisationen sinnvoll ist Incident Simulationen durchzuführen.
Was ist eine Cyber Incident Simulation?
Als Cyber Incident Simulation bezeichnet man die Simulation eines sicherheitsrelevanten IT-Vorfalls, der als Übung durchgespielt wird. Oft als sogenannte Table-Top Übung, also rein theoretisch, als Planspiel.
Man kann Incident Simulationen aber auch als hybride Übung anlegen. Bei einer hybriden Übung werden vorab Spuren in der IT-Infrastruktur gelegt, die dann während der Übung gesucht, gefunden, analysiert und behandelt werden müssen.
Ebenso ist es möglich eine Cyber Incident Simulation als Purple-Teaming aufzusetzten. Dabei wird von einem Red-Team ein Angriff durchgeführt den die Teilnehmer, als Blue-Team, erkennen, analysieren und eindämmen müssen. Das ist sozusagen die Königsklasse der Cyber Incident Simulation. Derartige Simulationen sind nur dann sinnvoll, wenn die Teilnehmer einen hohen Reifegrad vorweisen können. Die Kosten einer solchen Simulation sind auch entsprechend mindestens doppelt so hoch wie bei den anderen Varianten (Table-Top und hybrid).
Wie läuft sowas ab?
Der erste Schritt ist die Vorbereitung der Simulation. CERTAINITY bietet ausschließlich maßgeschneiderte Lösungen an, die auf die Gegebenheiten und die IT-Infrastruktur des Kunden zugeschnitten sind. Dafür ist es notwendig vorab eine Vielzahl von Informationen einzuholen. Wir analysieren vorhandene Unterlagen wie Netzwerkpläne, Notfall-Handbücher, das Backup-Konzept, das Home-Office-Konzept,…usw. Zusätzlich machen wir Interviews mit den relevanten Mitarbeitern auf Kundenseite, lassen uns z.B. bestimmte Prozesse erklären, fragen nach eingesetzter Software und nach üblichen Abläufen.
Der zweite Schritt besteht darin, mit den gesammelten Informationen ein Szenario zu entwickeln, welches durchgespielt werden soll.
Der dritte Schritt ist das Durchspielen der Simulation mit den Teilnehmern. Das geschieht üblicherweise vor Ort beim Kunden und dauert mit Pausen und Nachbesprechung 6-8 Stunden.
Die Incident Simulation funktioniert ähnlich wie ein EXIT-Game. Es gibt ein Einstieg in das vorbereitete Szenario, mit einigen wenigen Informationen. Danach übernehmen die Teilnehmer die Initative und müssen entscheiden was sie tun, bzw. wie sie reagieren wollen. So erarbeiten sich die Teilnehmer Schritt für Schritt weitere Informationen mit denen die Fragestellungen des Szenarios im Idealfall am Ende gelöst werden können.
Den Abschluß der Incident Simulation bildet eine Nachbesprechung mit den Teilnhmern. Die Übung wird Schritt für Schritt besprochen. Fragen wie: “Was hätten wir besser machen können” oder “Welche alternative Vorgehensweisen hätte es an dieser Stelle noch gegeben” und ähnliches wird besprochen. Abgerundet wird die Nachbesprechung durch eine gegenseitige Feedback Runde. Die Teilnehmer geben Rückmeldung wie sie die Simulation fanden, was man hätte besser oder anders machen können. Die Übungsleiter von CERTAINITY geben den Teilnehmern einzeln und als Team Rückmeldung was gut war und wo es Verbesserungspotential gibt.
Der vierte und letzte Schritt besteht darin eine Dokumentation zu erstellen welche den Ablauf und die wesentlichen Erkenntnisse nochmal schriftlich zusammenfasst. Diese Zusammenfassung erhält der Kunde als PDF Dokument. Die meisten Kunden nutzen dieses Dokument als Grundlage zur Ableitung von konkreten Verbessungsmaßnahmen.
Warum ist eine Cyber Incident Simulation eine sinnvolle Maßnahme?
Viele Dienstleistungen im Bereich IT-Sicherheit wie z.B. Code-Audits, Penetrationstests, Applikationstests u.ä. sind sehr auf die technischen Aspekte fokussiert. Eine gut gemachte Cyber Incident Simulation erweitert den Blick auf alle Aspekte die während eines Vorfalls zum tragen kommen.
So werden organisatorische Themen genauso behandelt wie operative oder technische Themen.
Eine Cyber Incident Simulation kann mitunter helfen Fragen wie folgende zu beantworten:
- Klappt die Zusammenarbeit im Team?
- Sind allen Teilnehmern die vorgesehenen Prozesse bekannt?
- Sind diese Prozesse in der Praxis umsetzbar?
- Werden diese Prozesse auch gelebt?
- Sind den Teilnehmern Zuständigkeiten klar und werden diese auch akzeptiert?
- Wie geht das Team Herausforderungen an?
- Ziehen die Teilnehmer die richtigen Schlüsse aus den bekannten Fakten?
- Wie sicher sind die Teilnehmer bei der Einleitung geeigneter Gegenmaßnahmen?
- Gab es Belange welche die praktische Vorfallsbehandlung verzögert oder anders negativ beeinflußt haben?
- Welche Belange waren das?
Bei hybriden Übungen können zusätzlich auch weitere Fragestellungen in Betracht gezogen werden, wie z.B.:
- Ist das Team mit den vorhandenen Mitteln in der Lage bestimmte Sachverhalte zu ermitteln?
- Können bestimmte Angriffstechniken erkannt und/oder detektiert werden?
- Erlauben die Gegebenheiten bestimmte Gegenmaßnahmen umzusetzten?
Eine Cyber Incident Simulation ist daher grundsätzlich in der Lage den Blick einer Organisation zu erweitern, um eine realistischere Sichtweise auf alle relevanten Aspekte der Vorfallsbehandlung zu legen, sowie das Zusammenspiel der Teilnehmer und der einzelnen Teilbereiche besser beurteilen zu können. Gleichzeitig trainieren die Teilnehmer effektives und effizientes Behandeln von Cyber Incidents. Weniger erfahrene Teilnehmer werden sicherer in der Behandlung von Vorfällen während erfahrene Teilnehmer ihre Arbeitsweisen erproben und verbessern lernen.
Wie sieht es mit dem Return on Investment aus?
Durch die Tatsache, dass eine Cyber Incident Simulation auf der einen Seite die Fähigkeiten der Teilnehmer verbessert sowie andererseits Verbesserungspotential aufdeckt und den Blick auf die momentanen Fähigkeiten des Teams verbessert, ist der ROI (return on investment) bei Cyber Incident Simulationen relativ hoch.
Was unsere Kunden sagen
Die überwiegende Mehrheit der Kunden die einmal eine Cyber Incident Simulation mit CERTAINITY durchgeführt haben sind sehr zufrieden und entscheiden sich dazu weitere Simulationen durchzuführen.
Die für uns maßgeschneiderte und sehr wichtige Simulation hat auch die OT-Sicherheit adressiert und uns bestens gegen aktuelle Bedrohungen gerüstet.
CISO eines großen Energieversorgungsunternehmen
Auch die Teilnehmer sehen den Nutzen unsere Cyber-Incident-Simulationen und bewerten die Übung als positive Bereicherung.
Insbesondere die Hands-On Übungen in hybriden Übungen kommen bei den Teilnehmern gut an. Die meisten Kunden wünschen sich mehr solcher Hands-On Elemente.
Ich fand es sehr cool, dass wir zusammen einen "Fall“ aufklären konnten. Gerne nächstes Mal vielleicht mit ein paar Übungen zum selbst durchsuchen und lösen. Die Erklärungen waren gut und verständlich.
Teilnehmer einer hybriden CERTAINITY Cyber-Incident-Simulation
Durch das maßgeschneiderte, realistische Szenario der Übung werden Teilnehmer im Idealfall an ihre Grenzen gebracht und Verbesserungspotenzial sichtbar.
Vereinbaren Sie einen individuellen Termin, um Ihre Fragen und Zielsetzungen mit den Experten von CERTAINITY zu besprechen. Gerne beraten wir Sie bei der Wahl der individuellen Parameter, um das optimale Vorgehen zur Erreichung Ihrer Ziele zu finden.
Kontaktieren sie uns per E-Mail unter: sales@certainity.com