ich bin als IT-Management-Berater tätig und berate mittelständische Unternehmen u.a. zum IT-Notfall- respektive Business-Continuity-Management. Um dessen Reifegrad bewerten zu können, entwickle ich gerade ein Planspiel, das den Verlauf der Notfallvorsorge, -bewältigung und -nachbereitung simuliert.
Ein Skript ruft im Verlauf des Planspiels zufällige Ereignisse auf, die besondere Herausforderungen simulieren. Einige Beispiele:
Der CISO befindet sich auf Wander-Tour im Harz und ist dort nicht erreichbar.
Die Frau eines in der Notfallbewältigung involvierten Administrators ruft an: Die plötzlich erkrankte Tochter ist umgehend aus dem Kindergarten abzuholen und die Frau kann nicht einspringen.
Es stellt sich heraus, dass der simulierte Angriff auf Dormant Ransomware basiert. Schnell wird klar, dass auch das ERP-System betroffen ist. Doch unklar ist, seit wann.
Nach Abschluss der Notfallbewältigung sucht die Geschäftsführung einen Schuldigen und beschließt, den IT-Leiter / CIO zu entlassen.
Die Reaktion auf derartige Zufallsereignisse wird bewertet und fließt in die Bewertung des Planspiels ein. Um dabei ein möglichst breites Spektrum abzudecken, möchte ich den Menge an denkbaren Ereignissen erweitern.
Dafür bitte ich euch um Unterstützung: Welche unvorhersehbaren Herausforderungen / Geschehnisse haltet ihr für denkbar, wenn es um die Vorbeugung, Erkennung, Bewältigung und Nachbereitung von IT-Sicherheitsvorfällen sowie die Weiterentwicklung des Notfall-Managements geht?
Wiederanlauf im Notbetrieb hin zum Standardbetrieb
einen krisensicheren Ort mit den Notfalldokumenten inkl. der privaten Kontaktdaten (freiwillige Angagne) aller relevanten Mitarbeiter
Ich denke der Ansatz ist falsch alle möglichen unvorhersehbaren Ereignisse berücksichtigen zu wollen. Man braucht einen universellen Krisenplan, um den Impact in der IT zielgerichtet abzuwenden. Der Plan mussunter allen Umständen funktionieren.
Feststellung ob eine Krise vorliegt durch einen definierten Krisenstab
Information der betroffenen Kunden/Dienstleister (extern/intern)
Abarbeitung der notwendigen Gegenmaßnahmen durch die definierten Rolleninhaber
usw.
Die zufälligen Ereignisse sind nur ein kleiner Baustein des Planspiels. Im Wesentlichen zielt er darauf ab, die Vollständigkeit und Aktualität des „Notfallkoffers“ anhand von Thesen zu bewerten. Diese verteilen sich auf vier Phasen, die während des Planspiels durchlaufen werden und u.a. die von dir genannten Punkte abdecken (inspiriert von BSI 200-4 und ITIL).
Mit den zufälligen Ereignissen möchte ich lediglich noch etwas „Würze“ in den Verlauf des Tests bringen.
Ich habe mich vor zwei Jahren bei einer Firma beworben, die wohl von einer Ransomware attackiert wurde. Zumindest sagten sie mir, dass sie über zwei Monate nicht zahlen konnten und auch nicht produzieren, weil alle Pläne futsch waren. Ich habe mir zusammengereimt, dass es Ransomware war und sie dann doch irgendwann gezahlt haben.
Jedenfalls: Work from home, was ich wollte, war gestrichen und blieb es auch.
Für mich wäre also bei der Bewältigung die Frage: Was tun mit Mitarbeitern, die weit entfernt remote arbeiten? Vielleicht sogar kündigen, wenn sie nicht weiterhin remote arbeiten dürfen?
Wie wird sichergestellt, dass weiterhin Gelder fließen können? Ich gehe davon aus, dass niemand mehr die Schreibmaschine rausholt und Überweisungsvordrucke ausfüllt.
Wie sieht’s aus mit dem Diebstahl von Unternehmensgeheimnissen (Entwicklung bspw.)?
die Aufzählung liest sich als ob es nur oder primär um organisatorisches geht. Was sind denn die technischen Fähigkeiten die erwartet sind?
Und welche vorhersehbaren Ereignisse sind denn im Koffer?
Anbei mal ein paar Herausforderungen aus dem Hack auf meinen Arbeitsgeber vor 2 Jahren …
Hacker erlangen Zugriff auf ein Nutzerkonto mit geringen Rechten, arbeiten sich durch Social Engineering über Exploits in mehreren Virtuelle Maschinen bis zur Active Directory vor und erlangen dort ein sogenanntes Golden Ticket
Dies fällt nur auf, weil ein Mitarbeiter eine sehr ungewöhnliche Fehlermeldung der CAD Software hatte und den Chef der IT-Abteilung beim Mittagsessen mal drauf anspricht
Die nachträgliche Untersuchungen zeigen, dass dies so erfolgreich sein konnte, weil die Mitarbeiter in der IT Abteilung für ihr Tagesgeschäft Nutzerkonten mit maximalen Administratorenrechten im gesamten Firmennetz benutzt haben
Aufgrund des Golden Tickets der Hacker und weil niemand weiß, wie lange es schon exisitiert, werden alle Backups als kompromittiert angesehen
Die Mitarbeiter kommen frühs auf Arbeit und es funktioniert für über 6 Wochen absolut nix mehr, kein Datenzugriff auf Netzlaufwerken etc.
Der Oberhäuptling stellt sich nach wenigen Tagen vor die Presse und tönt, dass keine Schaden entstanden wäre
Während man den vermeintlich aktuellen Stand aus der Presse erfährt, dauert es mehrere Wochen, bis halbwegs sinnvolle Informationen an die Mitarbeiter fließen. Daher ist die einzige Informationsquelle der „Flurfunk“ …
Da Vertragspartner und Fördermittelgeber Deadlines vorgeben und die Kommunikation teilweise an spezifische Mail-Adressen gebunden ist, auf die kein Zugriff mehr besteht, verlieren einige Kollegen ihren Job bzw. die Folgefinanzierung
Ich hoffe das hilft dir.
Aber als Negativbeispiel, wie die Leitungsebene damit nicht umgehen sollte, kann man es glaube gut gebrauchen …
Vielen Dank an @Miss-Piggy, @freezet und @Andreas00. Auf genau solche Rückmeldungen habe ich gehofft. Einige der genannten Themen habe ich bereits berücksichtigt, aber es sind auch viele neue Impulse dabei.
@Joachim, der Bedarf an technischen Fähigkeiten soll sich im Verlauf des Planspiels herausstellen. Greifen wir einmal das Beispiel von @Miss-Piggy auf: Als Zufallsereignis kommt im Planspiel plötzlich die Anforderung, einen Teil der Belegschaft ins Home Office zu verlegen, sodass sie dort zumindest M365-Anwendungen nutzen kann (etwa für die Kommunikation mit Kunden).
Daraus ergibt sich der Bedarf an technischem Fachwissen dynamisch: Haben wir eine On-Prem-VDI, die wir nutzen können oder stellt DaaS eine Alternative dar? Falls „ja“: Haben wir in unserem Notfall-Team das erforderliche Know-How, um derartige Lösungen zu etablieren? Falls „nein“: Optimierungspotenzial! Vielleicht stellt sich auch heraus, dass das Unternehmen derart konservativ ist, dass Home Office - auch in Ausnahmesituation - keine Option darstellt; ebenfalls Optimierungspotenzial.
Das sind dann eher Zufallsfunde als eine strukturierten Analyse. Vielleicht nicht Deine Aufgabe, aber ich halte das für dünn. Und ich weiß, dass daran viele scheitern (will mich selbst nicht ausnehmen).
Erst im Notfall? Auch das erscheint mir zu spät. Schon allein: weiß man wie viel Hardware man im Keller bereithalten müsste? (Spare-Hardware ist tatsächlich mein größtes Problem)
Ich könnte noch das Erlebnis eines Bekannten beisteuern, wo sich Hacker physisch Zugang verschafft haben, indem sie ins Büro marschiert sind und die Drucker gewartet und dabei Zugriff zum internen Netz bekommen haben.
Wie genau das passieren konnte und welches Vorwissen die Hacker hatten, kann ich nicht sagen. Zumindest war ein Besuch zur Druckerwartung nichts Ungewöhnliches und es hat keiner nachgefragt, ob auch dieses Mal eine Wartung überhaupt anstand.
Danach sind die Mitarbeiter sensibilisiert worden, bei Wartungs- und Reparaturarbeiten nachzufragen, was allerdings zu einer Vielzahl an unnötigen Anfragen geführt hat.
Gelöst hat man dies nun, dass es für derartige Arbeiten feste Ansprechpartner gibt, bei denen sich Handwerker und Servicetechniker melden müssen, die dann wiederum in die jeweiligen Abteilungen begleitet werden, um den Besuch zu autorisieren.
Nicht im Notfall, sondern in der Notfall-Übung - also vor dem echten Notfall.
Die strukturierte Analyse findet parallel statt. Dazu ist das Planspiel in vier Phasen gegliedert:
0 - Vorsorge: Transparenz über die „Kronjuwelen“, BIA und Risiko-Analyse sowie technische und organisatorische Maßnahmen zum Schutz.
1 - Erkennen und Alarmieren: U.a. Störungen von Notfällen differenzieren, Meldestelle und deren Erreichbarkeit.
2 - Bewältigen und Wiederherstellen: U.a. Sofortmaßnahmen („erste Hilfe“), Notfall-Team und dessen Ausstattung, Kommunikation, Wiederanlauf / Wiederherstellung und Fortführung des Geschäftsbetriebs.
3 - Abschließen und Entwickeln: U.a. Deeskalation und Weiterentwicklung des Notfall-Managements.
Aktuell sind 35 Thesen auf diese vier Phasen verteilt, die im Verlauf des Planspiels bewertet werden. Ein Beispiel: „Für ausgefallene Systeme ist ein Notbetrieb vorgesehen ODER betroffenen Nutzern sind Ersatzverfahren bekannt und anwendbar.“
Weil wir mittelständische Unternehmen nahezu aller Branchen bedienen, dürfen die Thesen und zufällig eingestreuten Ereignisse nicht zu spezifisch werden. Mit anderen Worten: Ich darf nicht von einem bestimmten Reifegrad oder dem Vorhandensein gewisser Infrastruktur, Anwendungen oder Organisation ausgehen.
Dennoch empfinde ich den Austausch hier als sehr wertvoll und bin dankbar für weitere Anregungen.
Nur kurz: Ich hab mich missverständlich ausgedrückt. Ab dem Hack gab es in der Firma für niemanden mehr Work from Home, auch nicht über 2 Jahre nach der Angelegenheit. Die Firmenleitung hat sich das nicht mehr getraut. Mich haben sie dadurch nicht als Mitarbeiterin gewinnen können. Ob sie gute Mitarbeiter verloren haben, weiß ich als Außenstehende natürlich nicht.
und die werden nicht praktisch erprobt und auf ihre Unzulänglichkeiten hin untersucht? Leider kann ich da immer wieder viel Unwissenheit wenn nicht Ignoranz feststellen: https://blog.lindenberg.one/CiaDieCap
Erstens kommt es anders und zweitens als man denkt!
Gegenfrage: Woher wissen wir, welche Herausforderungen unvorhersehbar sind? Dazu müsste man wissen, was bereits als vorhersehbar identifiziert wurde.
Jedes Unternehmen muss zunächst für sich identifizieren, was die kritischsten Prozesse sind und was es braucht, um diese Prozesse zu unterstützen. Klassisches Risikomanagement im Sinne des BSI. In der Praxis hapert es aber schon bei der Dokumentation der Prozesse. Die einen zerlegen ihre Prozesse in Atome, die anderen in Kontinente.
Wenn man dann, sagen wir, die fünf wichtigsten Prozesse beschrieben hat, ist man schon ziemlich weit. Wenn man die Kritikalität des Prozesses auf die unterstützenden Assets vererbt, hat man am Ende schon ein sehr umfangreiches Maßnahmenpaket und dann kommt das Geld ins Spiel.
Für mich war eines der ersten unerwarteten Ereignisse in diesem Prozess, dass der Risikoappetit des Managements mit jedem Euro, den es gekostet hätte, gestiegen ist. Sicherheit kostet Geld, hohe Sicherheit kostet viel Geld und umfassende Sicherheit kostet unglaublich viel Geld. Die Aufgabe des Beraters bzw. meine Erwartung an die Berater, mit denen ich zu tun hatte, war es, eine Balance zwischen Fahrlässigkeit und Paranoia zu finden.
Bei unseren Notfallübungen haben wir nur die klassischen Szenarien wie Ransomeware oder Naturkatastrophen durchgespielt. Alles nur theoretisch und mit Beratern. Ich hatte damals aber auch das Glück, in einer unteren staatlichen Behörde zu arbeiten, die schon Geld in die Hand genommen hatte. Wir haben z.B. durch dieses Planspiel festgestellt, dass alle unsere Serverräume zwar auf drei Standorte verteilt waren, aber alle drei im Keller. Im Falle eines Hochwassers (ein durchaus realistisches Szenario) hätten alle drei überflutet werden können. Daraufhin wurde ein Serverraum in den ersten Stock verlegt. Der finanzielle Aufwand war nicht unerheblich.
Aber das Wichtigste ist für mich, ein Netzwerk aufzubauen. Verträge mit Partnern abzuschließen, damit Ersatzhardware schnell geliefert werden kann. Das ist auf jeden Fall billiger, als selbst für alle Eventualitäten gerüstet zu sein. Sich regelmäßig mit anderen Verantwortlichen treffen und aus deren Fehlern lernen. Was war das Problem, wie haben sie es entdeckt und was haben sie danach geändert. Und dann natürlich selbst entsprechend zu handeln. Da hatte ich es in einer Behörde wirklich leicht. Ich hatte praktisch Kontakt zu den Ressourcen aller anderen Behörden, angefangen von den ISBs vor Ort, der örtlichen Kriminalpolizei, dem LSI und dem LKA. Sogar das BKA war am Start, wenn es zum Beispiel um den Zugriff auf die Datenbank des SIS (Schengener Informationssystem) ging.
Diesen Luxus habe ich jetzt in einem mittelständischen Unternehmen nicht mehr. Hier kocht jeder sein eigenes Süppchen und erfindet das Rad neu. Die Geschäftsleitung neigt dazu, den günstigsten Vorschlag zu nehmen (das liegt in ihrer DNA) und wenn man Kollegen hat, die überzeugt sind, mit allem fertig zu werden, setzt der Rotstift ein. Aber melden macht frei…
Meiner Erfahrung nach sind die unvorhersehbarsten Ereignisse eher sozialer als technischer Natur. Der Einzelne weiß es, aber das Kollektiv steht sich selbst im Weg. Aber ich gehöre auch zu denen, die glauben, dass menschliches Versagen die weitaus größere Bedrohung ist als technisches Versagen. Was nützt die beste Firewall, wenn das Problem schon im Haus ist. Und da sind die Administratoren ganz vorne mit dabei. Und das sage ich, weil ich selbst seit 25 Jahren einer bin. Irgendeiner stellt sich immer quer.
Nicht im Rahmen des Planspiels. Dieses ist bewusst so konzipiert, dass die Notfallprävention, -bewältigung und -nachbereitung nur theoretisch durchdacht wird, um Auswirkungen auf den Produktivbetrieb gering zu halten.
Doch meines Erachtens darf dies nur die Einstiegsdroge in die Welt der Notfalltests sein. Nachdem im Planspiel Handlungsbedarfe erkannt und umgesetzt wurden, sollte der Anspruch sukzessive angehoben werden; etwa mit Redundanz- und Wiederanlauftests für ausgewählte Systeme. Der Endgegner sind dann zyklisch durchgeführte Vollübungen, die komplexe Notfallszenarien realitätsnah simulieren. In der Praxis haben nahezu alle Unternehmen größten Respekt davor, weil praxisorientierte Notfalltests den reibungslosen Systembetrieb beeinträchtigen können. Daher möchte ich bewusst mit einem geringen Schwierigkeitslevel beginnen: Dem Planspiel.
Das ist genau der Denkfehler. Cloudanbieter sind oft deswegen erfolgreich, weil sie den Ausfall zum Normalfall erklären - z.B. mit Chaos-Monkey. Kritische Systeme brauchen Redundanz und Monitoring davon, keine Notfalltests.
