TRUST CENTER – INCIDENT RESPONSE

Onesurance -Verfahren zur Reaktion Onesurance
Zuletzt aktualisiert: Dezember 2024

Unser Engagement

Wir bei Onesurance , dass Sicherheitsvorfälle trotz bester Präventionsmaßnahmen auftreten können. Deshalb haben wir ein umfassendes Programm zur Reaktion auf Vorfälle entwickelt, das sicherstellt, dass wir schnell, effektiv und transparent auf jeden Sicherheitsvorfall reagieren können. Unser Ziel ist es, die Auswirkungen zu minimieren, schnell Abhilfe zu schaffen und aus jedem Vorfall zu lernen.

Incident Response Team (IRT)

Teamstruktur

Incident Response Manager

• Rolle: Gesamtverantwortung für die Reaktion auf Vorfälle

• Verantwortlichkeiten: Koordination, Entscheidungsfindung, Eskalation

• Verfügbarkeit: Rund um die Uhr per Telefon und E-Mail

Sicherheitsbeauftragter

• Rolle: Technische Leitung bei Sicherheitsvorfällen

• Verantwortlichkeiten: Technische Analyse, Eindämmung, Beseitigung

• Fachwissen: Sicherheitstools, Forensik, Bedrohungsinformationen

Technischer Betrieb

• Rolle: System- und Infrastruktur-Support

• Verantwortlichkeiten: Systemzugriff, Konfigurationsänderungen, Wiederherstellung

• Team: Bereitschaftsdienst, 24/7 Verfügbarkeit

Kommunikationsleiter

• Rolle: Interne und externe Kommunikation

• Verantwortlichkeiten: Stakeholder-Updates, Kundenkommunikation, behördliche Meldungen

• Zusammenarbeit mit: Rechtsabteilung, Management, PR

Recht/Compliance

• Rolle: Rechtliche und Compliance-Aspekte

• Verantwortlichkeiten: Regulatorische Verpflichtungen, vertragliche Anforderungen, rechtliche Auswirkungen

• Ansprechpartner: Datenschutzbeauftragter (FG)

Management/Führungsebene

• Rolle: Strategische Aufsicht und Entscheidungsfindung

• Verantwortlichkeiten: Ressourcenzuweisung, politische Entscheidungen, externe Eskalation

• Beteiligung: Bei P1 (kritischen) Vorfällen

Training & Preparedness
• Vierteljährliche Tabletop-Übungen: Szenariobasierte Übungen zur Reaktion auf Vorfälle
• Jährliche Vollübung: Vollständige IR-Simulation mit allen Teams
• Rollenspezifisches Training: Spezifisches Training für jede IR-Rolle
• Runbook-Überprüfungen: Regelmäßige Aktualisierung der Verfahren
• Nachbesprechungen nach Vorfällen: Lessons learned nach jedem Vorfall

Vorfallsklassifizierung

Schweregrade

P1 – Kritisch

• Definition: Vollständiger Ausfall des Dienstes, Datenverletzung, Ransomware

• Auswirkungen: Alle oder mehrere Kunden betroffen, hohes Risiko

• Reaktionszeit: Sofort (innerhalb von 15 Minuten)

• Eskalation: Direkt an die Geschäftsleitung und das Führungsteam

• Kommunikation: Stündliche Updates, externe Kommunikation möglich

P2 – Hoch

• Definition: Erhebliche Beeinträchtigung, unbefugte Zugriffsversuche

• Auswirkung: Mehrere Kunden oder kritische Funktionen betroffen

• Reaktionszeit: Innerhalb von 1 Stunde

• Eskalation: An den IR-Manager, möglicherweise an die Geschäftsleitung

• Kommunikation: Updates alle 4 Stunden

P3 – Mittel

• Definition: Begrenzte Verschlechterung, Verstöße gegen Richtlinien, verdächtige Aktivitäten

• Auswirkungen: Einige Kunden oder nicht kritische Funktionen betroffen

• Reaktionszeit: Innerhalb von 4 Stunden

• Eskalation: IR-Team, Management informieren

• Kommunikation: Tägliche Updates

P4 – Niedrig

• Definition: Geringfügige Probleme, Ereignisse im Bereich der Informationssicherheit

• Auswirkungen: Keine wesentlichen Auswirkungen auf Kunden oder Dienstleistungen

• Antwortzeit: Innerhalb eines Werktags

• Eskalation: Nicht erforderlich, außer bei Muster

• Kommunikation: Wöchentliche Zusammenfassungen

Vorfallstypen

Sicherheitsvorfälle

• Datenverletzung / unbefugter Zugriff

• Malware / Ransomware

• DDoS-Angriffe

• Ausnutzung von Schwachstellen

• Insider-Bedrohungen

• Social Engineering

Betriebsstörungen

• Serviceausfälle

• Leistungsminderung

• Konfigurationsfehler

• Hardware-Ausfälle

• Netzwerkprobleme

Compliance-Vorfälle

• Verstöße gegen den Datenschutz

• Nichteinhaltung von Richtlinien

• Regulatorische Verstöße

• Vertragsverletzungen

Vorfälle-Reaktionsprozess

6-Stufen-Framework

1. Vorbereitung
Ständige Bereitschaft:
• Aktueller Plan für die Reaktion auf Vorfälle
• Verfügbare Tools und Ressourcen
• Geschultes Team und klare Rollen
• Aktuelle Kontaktlisten
• Dokumentierte Runbooks

2. Erkennung und Identifizierung
Wie erkennen wir Vorfälle:
• Automatisierte Warnmeldungen: Sicherheitstools (SIEM, IDS/IPS)
• Überwachung: 24/7-SOC-Überwachung
• Benutzerberichte: Berichte von Kunden oder Mitarbeitern
• Benachrichtigung Dritter: Anbieter, Forscher, Aufsichtsbehörden

Erste Triage (innerhalb von 15 Minuten für P1):

• Was passiert?

• Welche Systeme sind betroffen?

• Wie viele Kunden/Nutzer sind betroffen?

• Was ist der Schweregrad?

• Ist es noch aktiv?

3. Eindämmungs
Ziel: Die Ausbreitung stoppen, Schäden minimieren

Kurzfristige Eindämmung (sofort):

• Isolieren Sie betroffene Systeme

• Bösartige IPs/Domains blockieren

• Deaktivieren Sie kompromittierte Konten

• Aktivieren Sie bei Bedarf die Backup-Systeme.

• Forensische Beweise sichern

Langfristige Eindämmung (Stunden-Tage):

• Implementieren Sie kompensierende Kontrollen

• Sicherheitspatches anwenden

• Überwachung verstärken

• Bereiten Sie sich auf die Ausrottung vor

4. Ausrottungs
Ziel: Die Bedrohung vollständig beseitigen

Aktionen:

• Malware/Backdoors entfernen

• Schwachstellen schließen

• Reset kompromittierte Anmeldedaten

• Betroffene Systeme bei Bedarf neu aufsetzen

• Sicherheit verbessern

• Keine Restgefahr überprüfen

Verifizierung:

• Sicherheitsscans

• Log-Analyse

• Testen

• Sign-off des Sicherheitsbeauftragten

5. Wiederherstellungs
Ziel: Sichere Wiederherstellung des normalen Betriebs

Phasenweiser Ansatz:

• Bei Bedarf aus sauberen Backups wiederherstellen

• Systeme mit Sicherheitskontrollen neu aufbauen

• Dienstleistungen schrittweise wiederherstellen

• Verbesserte Überwachung

• Kundenkommunikation über Restaurierung

Validierung:

• Funktionsprüfung

• Sicherheitsüberprüfung

• Leistungsprüfung

• Benutzerakzeptanz

6. Analyse nach dem Vorfall
Ziel: Lernen und verbessern

Zeitplan: Innerhalb von 5 Werktagen nach Abschluss

Besprechung nach dem Vorfall:

• Was genau ist passiert?

• Wie wurde es entdeckt?

• War die Reaktion wirksam?

• Was lief gut?

• Was könnte besser sein?

• Maßnahmen zur Verbesserung

Dokumentation:

• Zeitachse des Vorfalls

• Ergriffene Maßnahmen

• Gewonnene Erkenntnisse

• Empfehlungen

• Runbooks aktualisieren

Kommunikation während Zwischenfällen

Interne Kommunikation

Incident Channel
• Plattform: Microsoft Teams dedizierter Kanal
• Teilnehmer: IR-Team, Management, relevante Stakeholder
• Updates: Regelmäßig, insbesondere bei Statusänderungen
• Format: Strukturierte Updates mit Zeit, Status, Maßnahmen, nächsten Schritten

Eskalationspfad
Stufe 1: IR-Manager
Stufe 2: CTO / Management
Stufe 3: Führungsteam / Vorstand

Status-Updates

• P1: Jede Stunde

• P2: Alle 4 Stunden

• P3: Täglich

• P4: Bei signifikanten Änderungen

Externe Kommunikation

Kunden
• Wann: Bei P1/P2-Vorfällen, die Kunden betreffen
• Methode: E-Mail, Statusseite, In-App-Benachrichtigungen
• Inhalt:

• Was ist los?

• Welche Auswirkungen (welche Kunden/Funktionen)

• Was tun wir dagegen?

• Nächstes Update-Timing
  • Ton: Transparent, einfühlsam, sachlich
  • Genehmigung: Durch Kommunikationsleiter und Management

Statusseite
• URL: onesurance
• Echtzeit-Updates: Status grün/gelb/rot
• Vorfallshistorie: öffentlich zugänglich
• Abonnieren: E-Mail-/SMS-Benachrichtigungen möglich

Regulatorische Meldung
• Datenschutzbehörde (AP): Innerhalb von 72 Stunden bei Datenschutzverletzung
• Andere Regulierungsbehörden: Gemäß den regulatorischen Anforderungen (DORA usw.)
• Format: Offizielles Meldeformular
• Verantwortlich: FG / Rechtsabteilung

Medien & PR
• Beteiligung: Bei hochkarätigen Vorfällen
• Genehmigung: Führungsteam
• Sprecher: Beauftragter Unternehmensvertreter
• Botschaft: Im Einklang mit der Kundenkommunikation

Einzelheiten zum Datenverstoß

DSGVO-Benachrichtigung bei Datenschutzverletzungen

Bewertungskriterien
• Sind personenbezogene Daten kompromittiert worden?
• Wie ist die Art und der Umfang?
• Was sind die möglichen Folgen für die Betroffenen?
• Gibt es Maßnahmen zur Risikominderung?
• Führt dies zu einem Risiko für Rechte und Freiheiten?

Benachrichtigungszeitplan
• Interne Benachrichtigung: Sofort (innerhalb von 1 Stunde)
• Bewertung: Innerhalb von 4 Stunden
• Datenschutzbehörde: Innerhalb von 72 Stunden (falls erforderlich)
• Betroffene Personen: Ohne unnötige Verzögerung (bei hohem Risiko)

Inhalt der Meldung – Aufsichtsbehörde
• Art der Verletzung
• Kategorien und Anzahl der betroffenen Personen
• Kategorien und Anzahl der Datensätze
• Mögliche Folgen
• Getroffene/vorgeschlagene Maßnahmen
• Kontaktdaten des Datenschutzbeauftragten

Benachrichtigung der betroffenen Personen
Wenn erforderlich:

• Hohe Gefahr für Rechte und Freiheiten

• Beispielsweise: Identitätsdiebstahl, finanzieller Schaden, Rufschädigung

Inhalt:

• Beschreibung der Datenpanne in verständlicher Sprache

• Kontaktdaten FG

• Mögliche Folgen

• Getroffene/vorgeschlagene Maßnahmen

• Empfehlungen für die betroffene Person

Dokumentation
• Vorfallsprotokoll: Alle registrierten Datenverstöße
• Details: Art, Folgen, Maßnahmen
• Aufbewahrung: Mindestens 3 Jahre
• Verfügbarkeit: Für Aufsichtsbehörden auf Anfrage

Tools für die Reaktion auf Vorfälle

Erkennung und Überwachung
• Azure Sentinel: SIEM, Erkennung von Bedrohungen
• Azure Security Center: Posture Management
• Azure Monitor: Protokolle und Metriken
• Application Insights: Anwendungsleistung

Analyse und Untersuchung
• Protokollanalyse: Abfrage und Analyse
• Netzwerküberwachung: Analyse des Netzwerkverkehrs
• Azure Defender: Bedrohungsinformationen
• Forensische Tools: Beweissicherung

Containment & Remediation
• Azure Firewall: Netzwerkblockierung
• NSG-Regeln: Zugriffsbeschränkung
• Identitätsschutz: Konto deaktivieren
• Sicherung und Wiederherstellung: Systemwiederherstellung

Kommunikations-
• Microsoft Teams: Interne Koordination
• Status-Seite-Plattform: Externe Updates
• E-Mail-Automatisierung: Kundenbenachrichtigungen
• Ticketingsystem: Vorfallverfolgung

Drittanbieter-Support

Externe Ressourcen
• Microsoft Azure Support: 24/7-Supportvertrag
• Reaktion auf Sicherheitsvorfälle: Externe DFIR-Firma (auf Retainer)
• Rechtsberatung: Datenschutz- und Sicherheitsanwälte
• PR-Firma: Krisenkommunikation (falls erforderlich)
• Forensik: Spezialisten für digitale Forensik

Wann sollte man sich an
wenden? • P1-Vorfälle mit komplexer Analyse
• Verdacht auf eine fortgeschrittene, hartnäckige Bedrohung (APT)
• Rechtliche/regulatorische Komplexität
• Medienaufmerksamkeit/Reputationsrisiko
• Forensische Beweise für rechtliche Schritte

Metriken und Berichterstattung

Key Metrics
• Mean Time to Detect (MTTD): Durchschnittliche Zeit bis zur Erkennung
• Mean Time to Respond (MTTR): Durchschnittliche Zeit bis zur ersten Reaktion
• Mean Time to Resolve (MTTR): Durchschnittliche Zeit bis zum Abschluss
• False positive rate: % falsche positive Warnmeldungen
• Escalation rate: % eskalierte Vorfälle
• Repeat incidents: Gleiche Ursache

Regelmäßige Berichterstattung
• Wöchentlich: Zusammenfassung der Vorfälle an das Management
• Monatlich: Metrik-Dashboard, Trends
• Vierteljährlich: Vorstandsbericht mit wichtigen Vorfällen
• Jährlich: Umfassende Überprüfung des IR-Programms

Format für Berichte nach einem Vorfall

1. Zusammenfassung

2. Zeitachse des Vorfalls

3. Folgenabschätzung

4. Ursachenanalyse

5. Reaktionswirksamkeit

6. Gewonnene Erkenntnisse

7. Maßnahmen

8. Empfehlungen

Tests & Übungen

Tabletop-Übungen
• Häufigkeit: vierteljährlich
• Umfang: szenariobasierte Diskussion
• Teilnehmer: IR-Team, wichtige Stakeholder
• Szenarien: Datenverletzung, Ransomware, DDoS, Insider-Bedrohung
• Dauer: 2–3 Stunden
• Ergebnis: gewonnene Erkenntnisse, Aktualisierungen des Runbooks

Full-Scale Exercises
• Frequency: Annual
• Scope: Live simulation, vollständige IR-Aktivierung
• Participants: Vollständiges IR-Team, Management, ausgewählte Kunden
• Scenario: Realistischer, komplexer Vorfall
• Duration: 4-8 Stunden
• Output: Umfassender Bericht, Verbesserungsplan

Purple Team Exercises
• Häufigkeit: Halbjährlich
• Umfang: Zusammenarbeit zwischen Red Team (Angriff) und Blue Team (Verteidigung)
• Ziel: Testen der Erkennungs- und Reaktionsfähigkeiten
• Methode: Simulierte Angriffe, Echtzeitreaktionen
• Ergebnis: Identifizierte Lücken, umgesetzte Verbesserungen

Kundensupport bei Zwischenfällen

Dedicated Support
• Incident Hotline: Spezielle Nummer bei größeren Vorfällen
• Priority Support: Eskalierte Bearbeitung
• Status-Updates: Direkte Kommunikation
• Nachbesprechung nach dem Vorfall: Wird betroffenen Kunden angeboten

Verantwortlichkeiten des Kunden
• Verdächtige Aktivitäten melden: Über onesurance
• Bei Ermittlungen kooperieren: Falls relevant
• Anweisungen befolgen: Sicherheitsempfehlungen
• Kontakte aktualisieren: Kontaktdaten auf dem neuesten Stand halten

Kontinuierliche Verbesserung

Regelmäßige Überprüfungen
• Monatlich: Überprüfung der IR-Kennzahlen
• Vierteljährlich: Aktualisierungen des Runbooks
• Halbjährlich: Vollständige Überprüfung des IR-Plans
• Jährlich: Umfassende Programmbewertung

Verbesserungsquellen
• Analyse nach Vorfällen
• Ergebnisse von Übungen
• Bewährte Verfahren der Branche
• Veränderungen der Bedrohungslage
• Technologische Neuerungen
• Änderungen der Rechtsvorschriften

Updates & Schulungen
• Runbook-Updates: Nach jedem Vorfall und jeder Übung
• Tool-Updates: Regelmäßige Bewertung von IR-Tools
• Schulungen: Fortlaufend, rollenspezifisch
• Sensibilisierung: Unternehmensweite Sensibilisierung für Sicherheitsfragen

Kontakt

Für Sicherheitsvorfälle und Meldungen:
• 24/7-Sicherheitshotline: onesurance
• E-Mail-Adresse für Sicherheitsfragen: onesurance
• Verantwortungsvolle Offenlegung: onesurance
• Datenschutzbeauftragter: onesurance

Zuletzt aktualisiert: Dezember 2024
Onesurance .V. | Breda, Niederlande | Handelskammer: 87521997