KBU-LVS goes Industrie 4.0
KBU-LVS schafft mit neuem Gateway alle logistischen Voraussetzungen für Big Data bereitzustellen… mehr
Pick-by-Vision
Die innovativste Art der Kommissionierung bietet zukünftig ganz neue Möglichkeiten in der Intralogistik… mehr
Das sagen unsere Kunden
„Von der Modularität und Anpassungsfähigkeit des KBU-LVS sind wir immer wieder positiv überrascht. Angefangen...“ mehr
Vorfallsreaktionsplan
- Die Person, die den Vorfall entdeckt, informiert seinen Vorgesetzten, falls weitere Eskalationen erforderlich sind. Automatische Überwachungsregeln benachrichtigen die verantwortlichen Mitarbeiter und eskalieren das Problem in 2 Stufen:
- zuerst werden die Vorgesetzten benachrichtigt und dann
- die Geschäftsleitung. Das Organigramm mit den verantwortlichen Mitarbeitern, Vorgesetzten und der Geschäftsleitung ist für alle Mitarbeiter mit vollständigen Kontaktdaten zugänglich.
- Wenn die Person, die den Vorfall entdeckt, Mitglied der IT-Abteilung oder der betroffenen Abteilung ist, fährt er mit Schritt 4 fort.
- Nicht-IT-Mitarbeiter sammeln nach Möglichkeit noch folgende Informationen:
- Die Art des Vorfalls
- Datum/Uhrzeit an dem der Vorfall festgestellt wurde
- Welcher Prozess oder welche Ressourcen waren involviert?
- Status des Systems und ob das Problem weiterhin besteht
- Wie der Vorfall festgestellt wurde.
- Der IT-Mitarbeiter oder der betroffene Abteilungsmitarbeiter, der den Anruf erhält (oder den Vorfall entdeckt), verweist auf seine Kontaktliste, damit sowohl das Verwaltungspersonal als auch die Mitarbeiter der Vorfallsreaktion kontaktiert werden können. Der Mitarbeiter protokolliert die empfangenen Informationen in demselben Format wie in Schritt 2 in seinem Tagebuch. Der Mitarbeiter sollte wenn möglich noch folgende Informationen hinzufügen:
- Ist die Ausrüstung geschäftskritisch?
- Wie schwerwiegend sind die möglichen Auswirkungen?
- Name des Zielsystems, Betriebssystem, IP-Adresse und Standort.
- IP-Adresse und Informationen zum Ursprung des Angriffs.
- Die kontaktierten Mitglieder des Reaktionsteams treffen oder besprechen die Situation telefonisch und legen eine Reaktionsstrategie fest.
- Ist der Vorfall real oder wahrgenommen?
- Ist der Vorfall noch im Gange?
- Welche Daten oder Objekte sind gefährdet und wie kritisch sind sie?
- Welche Auswirkungen hat der Angriff auf das Unternehmen, wenn er erfolgreich ist? Minimal, ernst oder kritisch?
- Welches System oder welche Systeme sind betroffen, wo befinden sie sich physisch und im Netzwerk?
- Liegt der Vorfall im vertrauenswürdigen Netzwerk?
- Ist die Antwort dringend?
- Kann der Vorfall schnell eingedämmt werden?
- Warnt die Antwort den Angreifer und kümmert es uns?
- Was für ein Vorfall ist das? Beispiel: Virus, Wurm, Eindringen, Missbrauch, Schaden.
- Ein Incident Ticket wird auf dem KBU-seitigem Jira erstellt. Der Vorfall wird in einer der folgenden Kategorien eingeteilt:
- Kategorie zwei – Eine Bedrohung für sensible Daten
- Kundendaten
- Bankdaten
- Passworte, etc.
- Kategorie drei – Eine Bedrohung für Computersysteme
- Server
- Arbeitsplatz-PCs
- Kategorie vier – Eine Störung der Dienste
- Internet
- Telefon
- E-Mail, etc.
- Kategorie zwei – Eine Bedrohung für sensible Daten
- Bei Bedarf werden Partner und Kunden, Servicebenutzer ebenfalls informiert und mit ihnen über notwendige Lösungen beraten.
- Das Reaktionsteam erstellt oder befolgt eines der vordefinierten Verfahren. Sie können zusätzliche Verfahren erstellen, die in diesem Dokument nicht vorgesehen sind. Wenn es kein anwendbares Verfahren gibt, muss das Team dokumentieren, was getan wurde, und später ein Verfahren für den Vorfall festlegen.
- Das Reaktionsteam wendet forensische Techniken an, einschließlich der Überprüfung von System-/ und Auditprotokollen, der Suche nach Lücken in Protokollen, der Überprüfung von Aufdeckungsprotokollen und der Befragung von Zeugen und des Opfers des Vorfalls, um festzustellen, wie der Vorfall verursacht wurde.
- Das Reaktionsteam empfiehlt Änderungen oder Erweiterungen, um zu verhindern, dass das Ereignis erneut auftritt oder andere Systeme infiziert.
- Nach Genehmigung durch das Management werden die Änderungen umgesetzt.
- Dokumentation – Folgendes muss dokumentiert werden:
- Wie der Vorfall entdeckt wurde.
- Die Kategorie des Vorfalls.
- Wie der Vorfall aufgetreten ist, ob per E-Mail, Firewall usw.
- Woher der Angriff kam, wie IP-Adressen und andere verwandte Informationen über den Angreifer.
- Wie lautete der Reaktionsplan?
- Was wurde als Antwort getan?
- Waren die Gegenmaßnahmen wirksam?
- Ist der gleiche Vorfall für die Zukunft ausgeschlossen
- Beweissicherung: Erstellen Sie Kopien von Protokollen, E-Mails und anderen Mitteilungen. Führen Sie Zeugenlisten. Bewahren Sie die Beweise so lange auf, bis die Strafverfolgung abgeschlossen ist.
- Benachrichtigen Sie die zuständigen externen Stellen, wenn hiervon betroffen
- Sparkasse -> Ansprechpartner
- PayPal -> www.paypal-status.com/incident/production
- Amazon -> 3p-security@amazon.com
- Kunde -> direkter Ansprechpartner der IT
Ggfls. benachrichtigen der Polizei und andere zuständige Stellen, wenn eine Verfolgung des Eindringlings möglich ist.