profile

Michael Mayer

Notfallpläne funktionieren ohne Tabletop Exercises nicht

Published about 2 months ago • 5 min read

Notfallplan, Incident Response Plan, Wiederanlaufplan und wie die Dokumente sonst noch heißen. Du kennst sie vielleicht von einer ISO 27001 Zertifizierung, wo man dir gesagt hat, dass du das unbedingt dafür brauchst.

Gesagt, getan. Du investierst etliche Stunden und Planung in die Erstellung und vermutlich auch eine größere Summe Geld in die Beratung, als du rückblickend zugeben möchtest. 💸

Und dann? Was hast du seither mit dem Dokument getan? Regelmäßig an die sich stetig veränderte IT-Landschaft angepasst? Falls ja, melde dich unbedingt bei mir. Du bist unser aller Vorbild! 🦄 😅 Für die restlichen 99% unter uns, mich eingeschlossen, habe ich einen einfacheren und spaßigeren Ansatz – Tabletop Exercises.

Was sind Tabletop Exercises?

"Exercise" kommt von Übung und "Tabletop" von Tischplatte. Also ist es eine Art Tischplattenübung. Nein, das ist nicht das, was ihr in der Küche macht, wenn die Kinder im Bett sind. 🤓 Tabletop Exercises haben ihren Ursprung in militärischen Planspielen – "Risiko" für Erwachsene. Sie werden verwendet um strategische und taktische Entscheidungen unter realitätsnahen Bedingungen, in einem geschützten Rahmen zu erproben.

Diese Übungen können Brettspielen, wie zum Beispiel Dungeons & Dragons durchaus ähneln. Der "Dungeon Master" führt durch die Übungen, die er erstellt hat. Er stellt die Teilnehmer auf die Probe, indem er Gefahren, Herausforderungen und auch gegenseitige Konfrontationen produziert. Diese schlüpfen dann in ihre Business-Rolle und müssen die Situation als Team gemeinsam meistern.

Das kann eine Ransomware-Attacke, ein groß angelegter Hackangriff, aber auch nur ein gestohlener Laptop sein. Es sind auch Naturkatastrophen möglich, die "nur" die Verfügbarkeit, und nicht die Sicherheit des Rechenzentrums beinträchtigen. Oder die nächste Pandemie, alle müssen morgen in's Homeoffice und der Distributor kann nicht genug Hardware liefern. Alles ist erlaubt, was möglich ist!

Wie funktionieren Tabletop Exercises?

Für die Leitung / Moderation der Übungen wird eine Person verantwortlich gemacht. Das kann ein interner Mitarbeiter sein, zum Beispiel der CISO oder jemand vom Krisenstab, aber auch jemand von außerhalb. Diese Person erstellt Gefährdungsszenarien und bringt sie zum Termin mit, sodass die Teilnehmer damit überrascht werden. Natürlich sollten auch alle notwendigen Akteure bei der Übung dabei sein. Das müssen nicht nur IT-Leute sein, sondern durchaus auch Mitarbeiter aus anderen Fachbereichen wie Buchhaltung oder Finanzen.

Zu den Übungen treffen sich alle Leute in einem Raum, egal ob physisch oder virtuell. Der Moderator präsentiert das konkrete und detailreiche Szenario und die Teilnehmer müssen darauf reagieren und gemeinsam eine Lösung erarbeiten.

Die Reihenfolge der Kommunikation hat hier die höchste Priorität. Der IT-Leiter wird wahrscheinlich nicht als Erster erfahren, wenn in einem Außenbüro ein Laptop gestohlen wird und ein Sachbearbeiter aus der Finanz, kenn nicht die Handynummer des CISO.

Je mehr Fehler, desto besser!

Die Erkenntnisse aus den Übungen sollten unbedingt dokumentiert werden, um die Prozesse zu verbessern. Ein Mitschnitt, oder Transkript ist auf Teams sicher einfacher als vor Ort. Wenn zum Beispiel eine Kollegin aus der Buchhaltung auf eine Ransomware klickt und nicht weiß, was sie tun soll oder an wen sie sich wenden soll, dann ist das ein klares Zeichen. Die Kommunikation der IT und IT-Security muss näher an die Anwender heranrücken.

Hier ein paar Beispiele

Beispiel 1: Hot-Fix

Beschreibung des Szenarios

Manuel, der treue und zuverlässige IT-Administrator ist überarbeitet. Kurz bevor er sich für drei Wochen in die Malediven verabschiedet, kommt noch ein kritischer Security Patch rein, den er ausrollen soll. Damit er rechtzeitig aufbrechen kann, gibt er kurz vor Feierabend das Update über die Software-Verteilung frei.

Wenige Stunden später wird der Service Desk mit Meldungen überflutet, dass sich niemand mehr auf den Clients anmelden kann. Julia, die Technikerin in Bereitschaft analysiert den Fall. Sie findet heraus, dass der Patch dafür verantwortlich ist und vorab keine Tests durchgeführt wurden.

Diskussion

  • Wie reagiert Julia in diesem Szenario? Hat sie die Expertise und die Berechtigungen, um den Zwischenfall zu lösen? Falls nicht, wie sieht der Eskalationsprozess aus?
  • Gibt es einen formellen Change-Prozess? Falls ja, sind die Mitarbeiter darüber informiert und ausreichend geschult? Gibt es disziplinarische Konsequenzen, falls der Prozess mutwillig umgangen wird?
  • Wie sieht der Rollback-Prozess von Updates aus? Wie lange dauert er? Was wäre, wenn die betroffenen Hosts offline wären und ein manueller Eingriff notwendig wäre? Wie neulich beim globalen Crowdstrike Ausfall.

Getesteter Prozess: Patch Management

Angreifer: Insider

Betroffene Assets: Internes Netzwerk

Beispiel 2: Physische Infektion

Beschreibung des Szenarios

Tobias vom Marketing dreht einen Imagefilm für die geschäftliche Social-Media-Präsenz. Weil die Landschaft mit dem natürlichen Licht aber so idyllisch wirkt, nimmt er auch noch einen kurzen Clip für seinen privaten Instagram-Account auf. Er steckt die SD-Karte in seinen privaten Rechner, der bereits mit Malware infiziert ist, um die privaten Video-Dateien zu übertragen.

Als er die restlichen Dateien für die Arbeit auf seinen Firmenlaptop überträgt, wird dieser auch mit Malware infiziert. Er bemerkt es zwar gleich, weil der Anti-Virus Alarm schlägt, aber da hat es der Malware schon auf seinem System geschafft, sich festzusetzen und zu vermehren.

Diskussion

  • Wen müsste Tobias über diesen Fall informieren? Kennt er die Meldeprozesse? Falls ja, funktionieren sie auch ohne, dass er den infizierten Laptop verwendet?
  • Würde die IT-, oder IT-Security-Abteilung über den Malware-Befall bereits Bescheid wissen? Falls ja, wie wäre dann der genaue Prozess?
  • Gibt es noch ähnliche Gefährdungen wie die SD-Karte?
  • Wie kann man verhindern, dass das nochmal passiert? Gibt es Schulungen, oder Richtlinien im Umgang mit Datenträgern?

Getesteter Prozess: Endpoint Protection, User Awareness

Angreifer: Insider

Betroffene Assets: Clients, Netzwerk-Integrität

Beispiel 3: Einbruch

Beschreibung des Szenarios

Eine routinemäßige Finanzprüfung hat ergeben, dass mehrere Personen, die Gehälter überwiesen bekommen haben, nicht auf der Gehaltsliste stehen und auch nie darauf gestanden haben. Die IT-Security-Abteilung bestätigt, dass diese Änderung vor 8 Monaten über einen Computer in der Lohnbuchhaltung vorgenommen wurde.

Wie ist die Reaktion?

Erster Wendepunkt

Es wird bekannt, dass drei Wochen bevor diese Änderung getätigt wurde, in die Räumlichkeit der Finanzabteilung eingebrochen wurde. Dabei wurden zwei Laptops gestohlen, auf denen sich glücklicherweise keine sensiblen Daten befanden.

Wie ist die Reaktion?

Zweiter Wendepunkt

Eine weitere Untersuchung hat ergeben, dass alle Mitarbeiter eine Gebühr von 20€ pro Gehaltsscheck zahlen und dass das Geld auf ein Offshore-Bankkonto überwiesen wird.

Diskussion

  • Welche Maßnahmen könnte man nach einem Einbruch vornehmen?
  • Ist jemand in der Lage die physische Sicherheit des Unternehmens zu überprüfen?
  • Wer wurde nach dem Einbruch informiert?
  • Könnte jemand die Schäden, die durch den Einbruch entstanden sind, einschätzen?
  • Könnte jemand herausfinden, welche Anmeldedaten möglicherweise auf dem Laptop gespeichert waren?
  • Wie würde man die betroffenen Mitarbeiter über den Vorfall mit der Gebühr informieren?
  • Wie würde man die Polizei und offizielle Behörden darüber informieren?
  • Wie könnte man den Schaden durch solche Vorfälle einschränken?
  • Aus welchem Budget werden die betroffenen Mitarbeiter kompensiert?

Getesteter Prozess: Incident Response

Angreifer: Externer Angreifer

Betroffene Assets: HR, Finanz

Fazit

Tabletop Exercises können sehr detailliert und beliebig oft ausgeführt werden. Das Ziel ist es Horrorszenarien in einer kontrollierten und sicheren Umgebung durchzuspielen und die Teamfähigkeit und Sicherheit der Firma auf die Probe zu stellen. Du kannst den Ablauf sogar in deinem ITSM-Tool abbilden.

Auch wenn die Szenarien ernst sind und massive Auswirkungen auf den Betrieb haben können, darf die Kreativität und der Spaß bei den Übungen nicht zu kurz kommen. Je besser das Team bei Übungen zusammenarbeitet, umso grandioser wird es im Ernstfall harmonieren. Du darfst als Dungeon Master auch gerne deinen 20-Seitigen Würfel einbinden. 😉

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Wenn Hacker wie die “Feuchten Banditen” in Kevin allein zu Haus unbemerkt durch dein Netzwerk schleichen, möchtest du das sicher wissen. Der Film ist ein Paradebeispiel für Honeypots! Kevin lockt sie von einer Falle in die nächste und die Diebe tappen einfach hinein. Marv geht nicht durch die vereiste Haustür, sondern findet eine offene Kellertür, und sein Kopf wird von einem Bunsenbrenner gegrillt. Herrlich! Da bekommt man schon zu Ostern wieder Lust auf den Film. 😂 Was sind Honeypots genau?...

about 9 hours ago • 3 min read

Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉 In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst. Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server...

7 days ago • 4 min read

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet. Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum...

14 days ago • 3 min read