In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen schwerwiegenden Ausfall erlebt haben und dass Cyberangriffe und Ransomware eine zunehmende Ursache für die teuren Ausfälle sind. Viele haben zwar einen Notfallplan – aber nicht parat.
Unternehmen verlieren geschäftskritische Daten, obwohl 95 Prozent der Befragten über einen Notfallwiederherstellungsplan verfügen. Allerdings haben diesen nur 24 Prozent parat, gut dokumentiert, getestet und aktualisiert. Ein derartiger Plan ist aber zwingend notwendig, um eine schnelle Wiederherstellung und eine kontinuierliche Verbesserung der Reaktion auf Katastrophen zu gewährlisten. Diese Ergebnisse der unterstreicht auch eine globale Studie von Arcserve.
Grundvoraussetzung für eine gute Resilienz ist neben dem Plan für ein gezieltes Notfallmanagement ein dediziertes Notfallteam. Dieses Team muss geschult und jederzeit bereit sein, auf Sicherheitsvorfälle zu reagieren. Und es muss über klare Verfahren und die notwendigen Werkzeuge für eine schnelle Reaktion verfügen. Mit vier wesentlichen Aspekten stellt dieses Team die Wirksamkeit eines Notfallwiederherstellungsplans sicher:
Die wichtige Vorfallsanalyse
Der erste Schritt besteht aus der Identifizierung des Vorfalls sowie dem Sammeln aller verfügbaren Informationen. Dafür existieren eine Reihe an Tools, wie IDS, SIEM, EDR oder AV-Programme beziehungsweise Network Scanning- und Mapping Tools. Zusätzliche Data Tracking-Tools verfolgen Bewegungen im Netzwerk, um nachzuvollziehen, auf welche Daten zugegriffen wurde. Log-Analyse-Werkzeuge überprüfen Aktivitäten von Servern, Anwendungen und Sicherheitshardware und geben Einblicke in den zeitlichen Ablauf einer Sicherheitsverletzung.
Für die anschließende Folgenabschätzung unterstützen weitere Tools und Rahmenwerke zur Risikobewertung, wie z. B. das National Institute of Standards and Technology (NIST) Cybersecurity Framework, bei der Bewertung der Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Für die weiterführende Analyse der geschäftlichen Implikationen hilft beispielsweise Ready.gov.
Methodisches Vorgehen ist essenziell
Nach einem Vorfall ist ein methodisches Vorgehen essenziell. Die erste umgehende Aktion ist es, kompromittierte Systeme unter Quarantäne stellen, um eine Ausbreitung des Schadens zu verhindern sowie das Aktualisieren aller Systeme, um potenzielle bekannte Schwachstellen zu schließen. Das Anlegen digitaler forensischer Images, einschließlich aller Festplatten und anderer Speichermedien hilft bei der anschließenden Spurensuche nach dem Grund des Vorfalls.
Dieser Schritt geht einher mit dem Sammeln und Analysieren digitaler Beweise für böswillige Aktivitäten auf Servern und Sicherheitssystemen. Eventuelle Beweise für physische Sicherheitsverletzungen oder Hardwaremanipulationen sollten mit Hilfe von Fotodokumentation gesammelt werden. Einer der wichtigsten methodischen Schritte ist die Konsultation von Rechtsexperten und standardisierten Verfahren verwenden, um die Einhaltung von Gesetzen und Vorschriften sowie die Zulässigkeit von Beweisen zu gewährleisten.
Aktuellen Krisenmanagementplan aktivieren
Entscheidend für das Krisenmanagement ist ein aktueller Plan. Klar definierte Rollen und Zuständigkeiten sowie die Kontaktlisten aller Beteiligten müssen auf dem neuesten Stand sein. Der Plan beinhaltet zudem eine Strategie für die interne und externe Unternehmenskommunikation. Festgelegte Eskalationsverfahren definieren welche Schritte unternommen werden. Eine der wichtigsten Komponenten ist der Backup- und Disaster-Recovery-Plan (BDR) mit einem getesteten „Schritt-für-Schritt-Leitfaden“, der eine zuverlässige und schnelle Wiederherstellung der betroffenen Systeme sicherstellt.
Katastrophenschutzmaßnahmen bewerten
Die Bewertung der Reaktionen und Maßnahmen nach einer Krise ist für die Verbesserung der Katastrophenschutzstrategie unerlässlich. Eine strukturierte, umfassende Nachbesprechungen unter Einbeziehung aller Abteilungen ermöglicht eine ganzheitliche Sicht auf den Vorfall. Hierfür gibt es effektive Bewertungsmethoden wie After-Action-Reports (AAR), Ursachenanalyse (RCA) und Analyse von Leistungskennzahlen (KPI), um die Reaktion, einschließlich Reaktionszeit, Wiederherstellungszeit und Gesamtauswirkungen, zu bewerten.
Vorbereitung und Testen ist das A&O
Die Vorbereitung und vor allem das Testen potenzieller Krisenszenarien ist die beste Versicherung gegen die Auswirkungen einer Katastrophe. Dafür sollten Unternehmen ihre Notfallpläne sowie die Verfahren zur Sammlung von Beweisen klar definieren. Unerlässlich ist das regelmäßige Testen der Szenarien, um potenzielle Änderungen und Schwachstellen vor einem realen Vorfall zu identifizieren. Nur so ist das Krisenmanagementteam in der Lage gezielt und auf Basis sicherer Informationen zu handeln und den größten Schaden abzuwehren. Denn in einer Krise zählen valide Informationen, ein strukturiertes Vorgehen und vor allem jede Minute.
Mehr bei Arcserve.com
Über Arcserve Arcserve bietet außergewöhnliche Lösungen zum Schutz der wertvollen digitalen Assets von Unternehmen, die einen kompletten und umfassenden Datenschutz benötigen. Arcserve wurde 1983 gegründet und ist der weltweit erfahrenste Anbieter von Business Continuity-Lösungen zur Sicherung von multigenerationellen IT-Infrastrukturen mit Anwendungen und Systemen in jeglicher Umgebung, vor Ort und in der Cloud. Unternehmen in über 150 Ländern auf der ganzen Welt vertrauen auf die hocheffizienten, integrierten Technologien und das Know-how von Arcserve, um das Risiko von Datenverlusten und längeren Ausfallzeiten zu vermeiden und gleichzeitig die Kosten und die Komplexität der Datensicherung und -wiederherstellung um bis zu 50 Prozent zu reduzieren. Arcserve hat seinen Hauptsitz in Minneapolis, Minnesota, mit zahlreichen Standorten auf der ganzen Welt.