Tabletop-Übung
Vorbereiten auf den Cybervorfall
Tabletop-Übung
Vorbereiten auf den Cybervorfall
Was ist eine Tabletop-Übung?
In einem Rollenspiel wird das Szenario eines Cybervorfalls durchgespielt und die Reaktionsfähigkeit Ihres Unternehmens bewertet. «Tabletop» bezeichnet eine Übung auf dem Tisch, ohne Einsatz von IT-Komponenten, also ausschliesslich auf Basis dokumentierter Informationen, wie beispielsweise Reglemente, Checklisten, Notfall-Prozesse, um nur einige zu nennen.
Warum ist eine Tabletop-Übung wichtig?
Vorteile für Ihre Organisation:
- Lücken und Mängel werden erkannt, Schwachstellen in der Reaktionsfähigkeit bewusst gemacht
- Übung bringt Routine und damit weniger Stress im Ernstfall
- Rollen, Verantwortlichkeiten und Aufgaben innerhalb der Organisation werden geklärt
- Ein Reaktionsplan oder ein «Runbook» werden durchgearbeitet und dabei Dokumente, Prozesse und Kommunikationswege überprüft auf:
o Verfügbarkeit von Informationen
o Vollständigkeit
o Verständlichkeit und Interpretationsspielraum
o Anwendbarkeit
Wer nimmt am Rollenspiel teil?
Es sollten Personen aus verschiedenen Organisationseinheiten beteiligt sein, die auch bei einem tatsächlichen Vorfall involviert wären. Je nach gewähltem Szenario sollten die Stakeholder einen eher technischen oder fachlichen Hintergrund haben, z.B. Vertreter der Kommunikationsabteilung, des Krisenstabs (Management) oder der IT-Organisation. Die Übung wird einen Tag lang vor Ort beim Kunden durchgeführt.
Tabletop aus Sicht des Incident Response Centers
Bei einem Ransomware-Angriff muss das Incident Response Center zuerst reagieren. Eine Tabletop-Übung hilft den Mitarbeitenden, folgende Fragen zu beantworten:
- Wie stellen wir sicher, dass kritische Systeme, Applikationen, Dateien, Datenbanken und andere Ressourcen geschützt sind?
- Wie stellen wir sicher, dass die Ransomware-Attacke im Keim erstickt wird und sich nicht ausbreiten kann?
- Welche Systeme sind für das Unternehmen unverzichtbar und daher besonders schützenswert?
Tabletop aus Sicht des Krisenmanagements
Im Falle einer Cyberattacke ist nicht nur das Incident-Response-Team betroffen, sondern auch Vertreter anderer Organisationseinheiten. Diese beschäftigen sich mit folgenden Fragen:
- Sind die Arbeitsmethoden, Prozesse und Verantwortlichkeiten des Notfallplans für alle klar und umsetzbar? Sind die Eskalationswege und Schnittstellen bekannt?
- Funktioniert die Kommunikation und sind die dafür notwendigen Daten vorhanden (ausgedruckte Informationsblätter, Ansprechpartner, Kommunikationsmittel, Aktivitätenprotokoll etc.)?
- Können wichtige Entscheidungen mit den vorhandenen Informationen überhaupt getroffen werden?
An wen richtet sich das Tabletop-Angebot?
- An Unternehmen, die bereits über eine IT-Sicherheitsstruktur und über Prozesse für das Krisenmanagement verfügen.
- Voraussetzung: Das Unternehmen muss bereits eine IT-Notfallorganisation etabliert haben oder es muss ein internes bzw. externes SOC vorhanden sein.
Wenn die beiden oben genannten Punkte (noch) nicht erfüllt sind, Sie aber trotzdem Ihre Cyber Security verbessern wollen, empfehlen wir Ihnen, mit einem Readiness Audit zu starten. Dabei kann z. B. in einem ersten Schritt überprüft werden, ob der empfohlene IKT-Minimalstandard des Bundesamtes für Wirtschaftliche Landesversorgung (BWL) erfüllt wird.