Startseite > Security > Proaktivität statt Panik

Hilfestellung für MSP

Proaktivität statt Panik

5. Juni 2024, 7:04 Uhr | Autor: Scott Barlow / Redaktion: Diana Künstler

Fünf Wege, wie Managed Service Provider ihre Kunden bei der Reaktionsplanung auf Sicherheitsvorfälle unterstützen können.

Es gab eine Zeit, in der große Unternehmen das Hauptaugenmerk von Cyberkriminellen waren. Inzwischen sind jedoch kleine und mittelständische Unternehmen (KMU) in fast der Hälfte aller Fälle das Ziel der Angriffe. Auch der aktuelle Sophos Threat Report¹ zeigt, wie sehr KMU mittlerweile im Fokus der Cyberkriminalität stehen. Hier können Managed Service Provider (MSP) bereits frühzeitig Unterstützung bieten – nämlich bereits bei der Planung von Reaktionen auf Sicherheitsvorfälle.

Die Entwicklung der kleinen und mittelständischen Unternehmen zu einem beliebten Cyber-Angriffsziel ist nicht verwunderlich, speichern sie doch ähnlich wertvolle Daten wie größere Unternehmen. Anders als bei 2Großunternehmen ist es für kleinere Firmen aber aufgrund von Budgetbeschränkungen und nicht verfügbaren internen Fachkenntnissen oftmals schwierig, vergleichbare Schutzmaßnahmen zu implementieren. Gleichzeitig können die finanziellen Auswirkungen und der Imageschaden eines Angriffs für ein kleines Unternehmen besonders verheerend sein – vor allem, da die Kosten für eine Datenschutzverletzung in 2023 um mehr als 13 Prozent auf 3,31 Millionen US-Dollar gestiegen sind².

Die Vorbereitung auf Cyberangriffe war für kleine und mittlere Unternehmen daher noch nie so wichtig wie heute. Und es ist die Aufgabe von Managed Service Providern (MSPs), ihre Kunden durch eine proaktive und umsetzbare Reaktionsplanung zu unterstützen, auf Vorfälle vorbereitet zu sein.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Incident Response beziehungsweise Planung ist alles

Kleine und mittelständische Unternehmen stellen die Planung der Reaktion auf Vorfälle – und in manchen Fällen auch die Cybersicherheit im Allgemeinen – aus Zeit- und Ressourcenmangel oft hinten an. Angesichts der zunehmenden Bedrohungslage und der Verdoppelung der durchschnittlichen Lösegelder ist ein umfassender Plan zur Reaktion auf Vorfälle (Incident Response Plan, IRP) jetzt ein Muss, um die Cyber-Sicherheitshygiene ihrer Kunden zu schützen.

Durch einen durchdachten und maßgeschneiderten Ansatz, der auf die Bedürfnisse und verfügbaren wie auch fehlenden Ressourcen kleiner und mittelständischer Kunden eingeht, kann sichergestellt werden, dass sie für eine effektive Reaktion auf Angriffe gerüstet sind. Es gibt fünf gute Möglichkeiten, dies zu tun:

1. Bestehende Reaktionsplanung der Kunden unter die Lupe nehmen

Wenn Sie mit Ihren Kunden noch nicht über IRP gesprochen haben, ist es jetzt an der Zeit, ein Gespräch darüber zu beginnen. Sprechen Sie mit jedem Ihrer Kunden, um seine aktuellen Pläne zu bewerten. Verfügen sie über einen IRP? Wenn ja, wann wurde er zuletzt aktualisiert? Haben Sie den Plan überprüft? Anhand dieser Fragen können Sie die nächsten Schritte festlegen, ob Sie den aktuellen IRP eines Kunden verfeinern oder ganz neu beginnen.

2. Bei der Erstellung eines umsetzbaren Plans helfen

Wenn ein Kunde nicht über einen umfassenden und aktuellen IRP verfügt, bietet das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) Ratschläge³ und Anleitungen zur Orientierung. Auch das amerikanische Pendant CISA (Cybersecurity and Infrastructure Security Agency) beschreibt Lösungen⁴ und empfiehlt beispielsweise, dass Unternehmen einen Sicherheitsprogramm-Manager mit der Erstellung ihres schriftlichen IRP beauftragen, der Maßnahmen vor, während und nach einem Sicherheitsvorfall enthalten sollte. Kunden sollten daher eine Person ernennen, die auch als Ihr Ansprechpartner für die IRP dienen kann.

Bei der Erstellung des Plans sollten folgende Fragestellungen im Fokus stehen:

Enthält er spezifische Rollen und Verantwortlichkeiten, damit die Mitarbeiter wissen, was im Falle eines Zwischenfalls zu tun ist?
Ist der Plan einfach, umsetzbar und auf die Risiken und Ressourcen der Organisation zugeschnitten?

Auch sollte sichergestellt sein, dass der IRP allen Mitgliedern der Organisation zur Verfügung steht und von ihnen gemeinsam geprüft wird.

3. Tabletop-Übungen erleichtern

Ermutigen Sie Ihre Kunden, Tabletop-Übungen (TTXs) zu veranstalten – simulierte Cybersecurity-Vorfälle, die die Fähigkeit einer Organisation testen sollen, auf einen realen Angriff zu reagieren. MSPs sollten hier für ihre Kunden als Moderator zur Verfügung stehen. Diese Übungen sind skalierbar und damit eine effektive Möglichkeit, die Kunden-IRPs auf die Probe zu stellen, unabhängig von deren Mitarbeiterzahl.

Um TTXs zu moderieren, können entweder eigene Szenarien entwickelt werden oder auf zum Beispiel CISA-Ressourcen zurückgegriffen, die praktische Übungen und Diskussionsfragen enthalten. Teilnehmende sollten in den Übungen ermuntert werden, laut zu denken, die physische IRP des Unternehmens bereitzuhalten und auf eventuelle Lücken zu achten. Nach jeder Übung sollte eine Retrospektive durchgeführt werden und gemeinsam mit dem Kunden an der Verfeinerung des Plans gearbeitet werden, um sicherzustellen, dass er die Verfügbarkeit der Ressourcen und die sich entwickelnden Bedrohungen widerspiegelt.

4. Sicherheitslücken von Kunden mit Services von Drittanbietern schließen

Es kann vorkommen, dass Lücken in der Kundenabwehr auftauchen, für die sowohl Ihnen als auch dem Kunden die Ressourcen fehlen, um ein bestimmtes Problem anzugehen. Dies gilt insbesondere in einer Umgebung, die eine Rund-um-die-Uhr-Überwachung von Bedrohungen erfordert. In diesen Fällen wenden sich viele MSPs an Drittanbieter von Cybersicherheitsdiensten, um ihre Services zu ergänzen.

Dienste wie Managed Detection and Response (MDR) sind zwar mit Vorabkosten verbunden, stellen den Kunden jedoch ein engagiertes Expertenteam zur Seite, das sich mit dynamischen Bedrohungen auseinandersetzt und dazu beiträgt, die Wahrscheinlichkeit zu verringern, Opfer kostspieliger Datenschutzverletzungen zu werden. Einige Cybersecurity-Anbieter bieten auch Incident-Response-Tarife an, die es Experten ermöglichen, schnell auf aktive Bedrohungen zu reagieren, diese zu untersuchen und zu beseitigen. Arbeiten Sie mit Ihren Kunden zusammen, um deren spezifische Sicherheitsbedürfnisse zu bewerten und Erkenntnisse zu gewinnen, die als Grundlage für strategische Investitionen in Dienstleistungen Dritter dienen.

5. Eine Sicherheitskultur fördern

Kunden sollten beim Aufbau ihrer IRP dabei unterstützt werden, auch eine verlässliche, tägliche Sicherheitshygiene zu etablieren. Die Förderung einer Sicherheitskultur kann zusätzlich durch Schulungen und Trainings, wie zum Beispiel Phishing-Schulungen gestärkt werden, um die Grundlage für eine effektive IRP zu schaffen. Vergewissern Sie sich, dass die Kunden über angemessene Schutzmaßnahmen verfügen, zum Beispie Multi-Faktor-Authentifizierung (MFA) und strenge Passwortrichtlinien. Selbst die gründlichste IRP kann menschliches Versagen oder laxe Sicherheitspraktiken nicht korrigieren.

Resilienz durch Proaktivität

Die zunehmenden Überschneidungen zwischen den Technologien und Infrastrukturen von KMUs und Großunternehmen bedeuten, dass sie mehr denn je gemeinsame Angriffsflächen darstellen.

Kleine und mittelständische Kunden sind dabei zwar mit den gleichen ausgefeilten Bedrohungen konfrontiert wie Großunternehmen, verfügen jedoch nicht über die gleichen Ressourcen und das gleiche Fachwissen, um die daraus resultierenden Angriffe zu verhindern und zu entschärfen.

Durch eine umfassende Planung der Reaktion auf einen Vorfall, die auf die individuelle Ressourcenverfügbarkeit und das Risiko der jeweiligen Kunden zugeschnitten ist, können MSPs sicherstellen, dass vor, während und nach einem Cyberangriff die Handlungsfähigkeit gewährleistet ist.

Scott Barlow ist Vice President of Global MSP & Cloud Alliances bei Sophos.

^{1 https://news.sophos.com/en-us/2024/03/12/2024-sophos-threat-report/

2 https://www.ibm.com/downloads/cas/E3G5JMBP

3 https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen_node.html

4 https://www.cisa.gov/topics/cyber-threats-and-advisories}