Ein wesentlicher Bestandteil der Cyber Resilience ist das aktive Beüben von etablierten Betriebsabläufen. Dies betrifft aber nicht nur die Backup- und Recovery-Prozeduren, sondern generell die Response-Fähigkeit auf Cybersecurity-Vorfälle. Hier ist es besonders wichtig, im Ernstfall möglichst keine Zeit verlieren und die richtigen Entscheide treffen. Wie können wir dies aber gezielt trainieren? Diesen Fragen gehe ich in meinem Blogbeitrag nach. Wir werden dem Thema Trainieren von Cybersecurity-Vorfällen eine Blogserie widmen. Unser erster Teil zeigt auf, warum Trainings unerlässlich sind, welche Voraussetzungen sie benötigen und welche Varianten von Trainings existieren.

Training ist unerlässlich!

Macht es Sinn, Cybersecurity-Vorfälle trainieren? Diese Frage kann relativ einfach beantwortet werden. Es macht definitiv Sinn. Denken Sie zum Beispiel an die Feuerwehr. Eine Feuerwehr ohne Trainings kann man sich nicht vorstellen. Nur wer regelmässig trainiert, ist für den Ernstfall gewappnet. Dies gilt in der Regel für sämtliche Arbeitsprozesse. Für gewisse Arbeitsprozesse sind aber Trainings noch wichtiger als für andere. Zu diesen Prozessen gehört auch der Incident-Response-Prozess. Gründe dafür sind unter anderem, dass es wenige Echtfälle gibt, Arbeiten zeitkritisch sind, fehlerhafte Handlungen grosse Konsequenzen zur Folge haben (z.B. wenn ein Angreifer höhere Privilegien erlangt) oder falsche Entscheide auch grosse finanzielle Schäden verursachen können (siehe Abbildung 1).

Cyber Resilience: Echtfälle vs. Arbeiten unter Stress
Abbildung 1: Gründe weshalb Trainings unerlässlich sind.

Ohne Prozess macht Trainieren keinen Sinn

Grundsätzlich muss man keine Voraussetzung erfüllen, um etwas zu trainieren. Um aber einen sinnvollen Nutzen aus einem Training zu erzielen, sollte mindestens ein Incident-Response-Konzept und/oder ein Incident-Response-Prozess spezifiziert und dokumentiert sein. Dann sind in der Regel Aktivitäten auf Rollen verteilt und rudimentäre Arbeitsabläufe definiert. In der Regel sind mindestens Aktivitäten für vier Teams definiert: IT-Teams, Incident Response Teams, Major Security Incident Team (Teile des Senior Managements für schwerwiegende Vorfälle) sowie ein Krisenstab, sofern vorhanden. Ein mögliches Training kann sich nun an den Teams und den definierten Aktivitäten orientieren und es können konkrete Schwachstellen identifiziert und Verbesserungsmassnahmen empfohlen werden.

Verschiedene Trainingsarten führen zum Ziel

Es gibt verschiedene Trainingsziele. Es kann sowohl in die Breite (mittels Involvierung möglichst aller Rollen) als auch in die Tiefe (im Rahmen möglichst detaillierter Tätigkeiten) trainiert werden. Es empfiehlt sich, in einem ersten Schritt in die Breite und mit fortschreitender Trainingsaktivität immer mehr in die Tiefe zu trainieren. Diese unterschiedlichen Ziele werden in der Regel mit unterschiedlichen Trainingsarten adressiert:

  • Process Walk-Through (WT)
    Durch einen Prozess-Walk-Through kommen die Rollen/Teams in Kontakt mit dem Prozess und lernen ihre Verantwortlichkeiten kennen. Sie machen sich vertraut mit dem Arbeitsabläufen und bauen Berührungsängste ab.
  • Table-Top-Exercise (TTX)
    In einer zweiten Phase werden mittels Tabletop-Übungen Schwachstellen im Prozess sowie in den zur Verfügung stehenden Hilfsmittel identifiziert. Dabei machen die Teilnehmer auch erste Erfahrungen mit dem Prozess und beginnen ein Selbstvertrauen im Umgang mit Cybersecurity-Vorfällen zu entwickeln. Darauf aufbauend können Schnittstellen zwischen den Rollen beübt werden.
  • Trainings für technische Betriebsabläufe / Simulation-Exercise (SX)
    In einer dritten Phase können dann technische Betriebsabläufe trainiert werden. Beispiele von technischen Simulations-Trainings sind: simulierte Malware-Angriffe analysieren, ganze Netzwerk-Segmente mit der Firewall abschirmen oder Systeme präventiv herunterfahren bzw. wiederstellen.
  • Red Team Assessment (RTA)
    Mit einem Red Team Assessment wird das Incident-Response-Dispositiv als Ganzes trainiert. Dabei wird eine externe Firma für einen simulierten Cyberangriff engagiert und die Zusammenarbeit zwischen den Rollen/Teams trainiert.
  • Krisenübung / Crisis-Exercise (CX)
    In einer fünften und letzten Phase wird das das unternehmensweite Krisenmanagement in Bezug auf Cybersecurity-Vorfälle trainiert.

Der Aufwand für die Trainings steigt aber jeweils markant an (siehe Abbildung 2). Ein Prozess-Walk-Through kann mit sehr wenig Aufwand durchgeführt werden, während eine unternehmensweite Krisenübung eine riesige Vorbereitung benötigt.

Exponentialkurve der Cyber Resilience bei Aufwand und Kompexlität der Trainingsarten
Abbildung 2: Aufwand und Komplexität der verschiedenen Traingsarten.

Hermann Ebbinghaus lässt grüssen

Ein weiterer Grund für Trainings ist die menschliche Eigenschaft, Erlerntes wieder zu vergessen. Dieses Phänomen untersuchte Hermann Ebbinghaus bereits im 19 Jahrhunderts und erfand die Vergessenskurve. Nur durch ständiges Nutzen des Wissens behält man es, wobei jede Wiederholung das Intervall, nach welchem eine erneute Wiederholung nötig ist, vergrössert. Wir müssen somit nicht nur einmal, sondern wiederholt trainieren.

Ein einfaches Trainingskonzept muss her

Aus diesen Gründen empfehlen wir, ein einfaches Trainingskonzept zu erstellen. Dabei sind die involvierten Rollen/Teams sowie Trainingszeile, resp. die Trainingsarten, die entscheidenden Faktoren. Es muss aber berücksichtigt werden, dass einzelne Rollen sehr stark involviert sind (z.B. der Security Analyst bzw. der Incident Responder), während wiederum andere Rollen/Teams nur in Spezialfällen Aufgaben zu erledigen haben (bspw. das Senior Management bei einer Eskalation zu einem Major Incident). Die Trainings-Periodizität der Rollen/Teams sollten dementsprechend ausgelegt werden. Die Teams, die stark involviert sind, sollen mehr trainieren. Teams, welche nur marginal zum Einsatz kommen, sollen weniger trainieren.

Nun haben wir alle wesentlichen Punkte zusammengetragen. Nun müssen wir die Faktoren sinnvoll kombinieren und es resultiert ein einfaches Trainingskonzept. In Abbildung 3 ist ein beispielhaftes Trainingskonzept illustriert.

Cyber Resilience: Trainingskonzept der Incident Response Teams
Abbildung 3: Beispielhaftes zweijähriges Trainingskonzept für die relevanten Incident Response Teams.

Nun gilt es die ersten Trainings zu planen und durchzuführen. In den kommenden Blogposts werden wir aufzeigen, was die Inhalte von möglichen Trainings sein können. Der zweite Blogbeitrag wird aufzeigen, wie man mit einem Prozess-Walk-Through und Tabletop-Übungen den Prozess in der Unternehmung etablieren kann. Der dritte Teil geht dann darauf ein, wie technische Betriebsabläufe mit Simulations-Übungen trainiert werden.