"Recover" – den Normalbetrieb erfolgreich wiederherstellen

Meine letzten Kolumnen zum NIST Cybersecurity Framework haben sich mit den Funktionen "Identify", "Protect", "Detect" und "Respond" befasst. Dabei haben wir gesehen, wie wichtig es ist, dass Unternehmen die eigenen Risiken kennen, Schutz- und Kontrollmechanismen einführen, Angriffe frühzeitig erkennen und adäquat darauf reagieren. Doch selbst mit optimalen Vorbereitungen kann ein Angriff Systeme oder Daten beeinträchtigen – und damit auch potenziell kritische operative Prozesse im Unternehmen. In solchen Fällen ist die letzte Funktion des Frameworks - "Recover" - entscheidend.

Bei "Recover" soll der Normalbetrieb nach einem Cybersicherheitsvorfall so schnell und effizient wie möglich wiederhergestellt werden. Dazu entwickeln Unternehmen Massnahmen und Pläne, die im Ernstfall greifen - und testen diese auch regelmässig. Dabei ist wichtig zu verstehen, dass "Recover" eng mit "Respond" verknüpft ist und die Übergänge fliessend sind. So werden oft bereits während der Eindämmung eines Vorfalls erste Schritte zur Wiederherstellung der Systeme eingeleitet.

Da im Ernstfall jede Minute zählt, sollten Unternehmen Wiederherstellungspläne für alle kritischen Systeme erstellen. Dazu zählen neben kritischen Infrastrukturkomponenten wie Verzeichnis- und Netzwerkdienste oder Authentisierungs- und Zugriffskontrollsysteme auch alle Systeme, deren Ausfall zu finanziellen Einbussen, operativen Engpässen oder grossen Folgen für die Kunden führen würde. Diese Pläne müssen regelmässig und manche auch unter Einbezug des Managements getestet und optimiert werden, wobei auch komplexe Entscheidungen durchgespielt werden sollten - beispielsweise der richtige Zeitpunkt für die Kommunikation gegen aussen. Die Erfahrung zeigt: Wer den Ernstfall einmal geübt hat, meistert die reale Situation deutlich souveräner. Schliesslich lohnt es sich zu überlegen, ob ein Servicevertrag mit einem externen Anbieter abgeschlossen werden soll, der bei einem Vorfall rasch hinzugezogen werden und je nach Bedarf die nötigen Massnahmen koordinieren kann (sogenannte "Incident Response Retainer"-Services).

Ein weiterer wichtiger Aspekt ist die Kommunikation. Eine schlecht gemanagte Kommunikationsstrategie kann zu Reputationsschäden und Vertrauensverlust führen. Unternehmen sollten daher transparent mit ihren unterschiedlichen Interessengruppen kommunizieren. Als Beispiel: Nach einem Ransomware-Angriff 2023 informierte die NZZ transparent über den Vorfall und dessen Auswirkungen, wodurch die Leserschaft nachvollziehen konnte, weshalb bestimmte Angebote vorübergehend nicht optimal funktionierten.

Das NIST Cybersecurity Framework mit seinen fünf Funktionen ist kein starres Regelwerk, sondern versteht sich als Werkzeugkasten, der Unternehmen dabei unterstützt, ein umfassendes Verständnis für Cybersicherheit zu entwickeln sowie die eigenen Fähigkeiten im Umgang mit Cyberrisiken stetig zu verbessern und dem eigenen Risikoappetit und industriespezifischen Anforderungen anzupassen. Es geht darum - ähnlich wie beim Erlernen einer Sprache - eine neue Kompetenz aufzubauen und diese immer weiter zu verfeinern. Denn nur wer holistisch denkt, die Komplexität der heutigen Bedrohungslandschaft sowie die eigenen Systeme und "Kronjuwelen" versteht und sich proaktiv auf den Ernstfall vorbereitet, kann im Falle eines Angriffs angemessen reagieren und den Schaden minimieren.

Dies war die letzte Kolumne zum NIST Cybersecurity Framework. In meiner nächsten Kolumne geht es mit einem anderen - aber nicht weniger spannenden - Thema weiter.

Alle bisher auf SwissCybersecurity.net erschienenen Kolumnen von Thomas Holderegger finden Sie hier.

Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.