Photobank - Fotolia

Krisenpläne müssen aufeinander abgestimmt werden

Cybersecurity-Zwischenfälle werden vielerorts anders behandelt als traditionelle Desaster. Eine engere Abstimmung ist dringend nötig.

Business Continuity (BC) und Disaster Recovery (DR) werden oft in einem Atemzug genannt. Dagegen wird Cybersecurity Incident Response (CIR) oft als isoliertes Problem betrachtet. Es ist an der Zeit, dies zu ändern.

Cybersecurity-Zwischenfälle können einem Unternehmen ebenso viel Schaden zufügen wie traditionelle Desaster.

Aber bisher werden die entsprechenden Notfallpläne meist völlig getrennt betrachtet.

Die Abbildung unten zeigt, dass ein Plan zur Reaktion auf Cybersecurity-Zwischenfälle und ein BC-/DR-Plan eine anfänglich ähnliche Reaktion hervorrufen können, danach aber nicht mehr interagieren. BC- und DR-Aktivitäten sind typischerweise verbunden und wirken zusammen.

 Typische DR-, BC- und CIR-Pläne
Abbildung 1: Typische DR-, BC- und CIR-Pläne

Die nächste Abbildung zeigt dagegen, wie ein anderer Ansatz umfassender und effektiver sein kann. Wenn ein Zwischenfall auftritt, wirken alle drei Disziplinen zusammen. Ein einfaches Diagramm reicht aber nicht aus. Sie müssen die Verbindung der drei Disziplinen validieren können.

Umfassend abgestimmte DR-, BC- und CIR-Pläne
Abbildung 2: Umfassend abgestimmte DR-, BC- und CIR-Pläne

Zusammenarbeit rechtfertigen

Eine Cyberattacke kann das ganze Unternehmen lahmlegen, nicht nur die Server, Netzwerke, Firewalls, Daten und so weiter. Wenn auch nur ein Dominostein fällt, kann das gesamte Gebäude einstürzen.

Von der Schwere der Cyberattacke und deren Auswirkungen hängt es ab, welcher Plan zur Wiederherstellung gestartet werden sollte: Die Frage lautet BD, DR oder CIR.

Zunächst müssen die Schäden begutachtet werden und dann angemessene Maßnahmen eingeleitet werden. Nach einiger Zeit stellt sich dann die Frage, welcher Plan zur Schadensvermeidung am besten geeignet ist.

Eine wichtige Entscheidung ist es, abzuklären, wo ein Plan endet und ein anderer beginnt. Nehmen wir an, der CIR-Plan ist angelaufen und es ist festgestellt worden, dass mehrere Server ausgefallen sind. Sollte man dann umschalten und den DR-Plan abrufen? Was passiert dann mit dem CIR-Plan? Wie wird der Übergang festgelegt und wer trifft diese Entscheidung? Sind diese Schritte Bestandteil der Planung?

Wenn jede dieser Disziplinen in Ihrem Unternehmen verankert ist, genießen Sie wahrscheinlich die Unterstützung der Geschäftsführung. Dann sollten Sie auch die Latte höher legen und von den Vorteilen aller drei Disziplinen profitieren. Aus der Perspektive der Buchprüfer mag es erforderlich sein, neue Kontrollen zu implementieren, um Verbindungen zu prüfen und festzulegen, wie und wann welcher Plan jeweils abgerufen werden soll.

Tipps zum Brückenbau

Wenn Sie CIR, BC und DR effektiv verbinden wollen, berücksichtigen Sie folgende Tipps:

  1. Stellen Sie die Kooperation der Pläne und der zugehörigen Teams sicher. Bringen Sie die Leute zusammen, um ein grundlegendes Einverständnis herzustellen. Legen Sie Regeln fest, um die Pläne abzustimmen, wann sie abgerufen werden und wie das Management abläuft.
  2. Legen Sie Abläufe fest, wann ein Zwischenfall beginnt und wann er endet. Jeder Plan muss Richtlinien und Kontaktdetails enthalten, um einen oder mehrere Pläne zu starten und die Kommunikation sicherzustellen. Nach erfolgreicher Krisenbewältigung sollte in einem Meeting geklärt werden, was funktioniert hat und was nicht und wie die Teams zusammengearbeitet haben.
  3. Überprüfen Sie Ihre Pläne daraufhin, wie sich in potentiellen neuartigen Szenarien bewähren. Cybersecurity-Zwischenfälle laufen oft anders ab als traditionelle Katastrophenszenarien, für die DR- und BC-Pläne ausgelegt sind. Sehen Sie sich Szenarien genau an und überprüfen Sie, ob sich Ihre Reaktionspläne überlappen. Führen Sie sich vor Augen, dass ein Cybersecurity-Zwischenfall eskalieren kann und eine Antwort aus den Kategorien BC oder DR erfordern kann. Umgekehrt könnte ein BC-/DR-Zwischenfall die Cybersicherheit beeinträchtigen. Beispielsweise könnte ein katastrophaler Ausfall der Firewalls dazu führen, dass unauthorisierte Daten in die firmeninternen Netzwerke gelangen.
  4. Identifizieren Sie Übergangspunkte, wann der Umstieg auf einen anderen Plan erforderlich werden kann. Wenn ein Zwischenfall auftritt, sollte ein Antwortteam schnell die Ursachen identifizieren. Danach ist entschlossenes Handeln nötig und ein bestimmter Plan sollte abgerufen werden. Schon im Vorfeld sollte geklärt sein, welche Regeln und Prozesse es für Situationen gibt, wo ein einzelner Plan nicht mehr ausreicht. Übergangspunkte sollten in jedem Plan festgelegt sein und zeigen, wann und wie eine Eskalation nötig sein sollte.
  5. Fördern Sie gemeinsame Planung und Management. Die verschiedenen Teams sollten regelmäßig miteinander reden und sich abstimmen. Die Pläne sollten diskutiert und auf den letzten Stand gebracht werden.
  6. Halten Sie gemeinsame Übungen ab. Gemeinsame Übungen können die Übergangsplanung und das Teilen von Informationen fördern und die Chance auf erfolgreiche Krisenbewältigung steigern.          

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Business-Impact-Analyse (BIA) und Risk Assessment (RA) in BC-Pläne einbeziehen

Was Sie über Disaster-Recovery-Planung bisher nie zu fragen wagten

Backup, DR und Hochverfügbarkeit in der Cloud

Artikel wurde zuletzt im August 2017 aktualisiert

Erfahren Sie mehr über Disaster Recovery

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close