Table-Top-Exercise (TTX) – denken Sie an den Worst-Case

Die COVID-19-Krise forderte Flexibilität und kurzfristige Anpassungen im Betrieb der IT-Infrastruktur zur Sicherstellung der Geschäftsfortführung. Es wäre jedoch zu kurzsichtig, diesen Umstand als BCM-Vorbereitung oder als Bestätigung vorhandener BCM-Prozesse anzusehen. Wenn Sie diese Situation trotzdem gut überstanden haben und nun wieder auf dem Weg aus dem «Lockdown» sind, dann haben Sie bestimmt vieles richtig gemacht! Weshalb Sie sich aber trotzdem strukturiert auf eine weitere geschäftskritische Situation vorbereiten sollten und wie man dabei vorgeht, erfahren Sie in diesem Beitrag.

Es hat sich gezeigt, dass nur wenige Angreifer Rücksicht auf die COVID-19-Krise genommen und sich zurückgehalten haben. Im Gegenteil: Viele Angreifer nutzten explizit diese Gelegenheit und die damit verbundene Verunsicherung der Unternehmen sowie den Mitarbeitenden für gezielte Angriffe, z.B. mittels Social Engineering. Umso mehr (und dringlicher) mussten Unternehmen etablierte Prozesse überdenken, im laufenden Betrieb prüfen und gegebenenfalls auch anpassen. Wie sich gezeigt hat, führte dies nicht nur zu ungewohnten Betriebsabläufen, sondern auch zu mehr Angriffsflächen für Angreifer. Wir empfehlen Ihnen deshalb, die gezwungenermassen kurzfristig eingeführten Prozesse auch auf deren Resilienz zu überprüfen. Eine gute Möglichkeit dazu ist eine Table-Top-Übung resp. ein Table-Top-Exercise (kurz TTX).

Table-Top-Exercise – das unmögliche Denken und aus Fehlern lernen!

TTX sind Aktivitäten zur Katastrophenvorsorge. Dabei spielt man hypothetische, aber durchaus realistische Situationen von Katastrophenereignissen durch, wozu auch die Bewertung der Reaktionsbereitschaft der Teilnehmenden und ihre Fähigkeit zur Zusammenarbeit gehört.

Bei einem Table-Top-Exercise führt das TTX-Simulatoren-Team – in unserem Fall Experten für Cyber Security und Cyber Defence – die Teilnehmenden der Übung durch den Prozess des Umgangs mit einem simulierten Katastrophenszenario, beispielsweise einem gezielten Ransomware-Angriff. Dabei werden mit den Teilnehmenden die Massnahmen überprüft und diskutiert, die das Team in einem bestimmten Notfall ergreifen würde. Am besten wird der Notfallplan in einer informellen, stressfreien Umgebung getestet. Das TTX-Simulatoren-Team gibt dabei das realistische Szenario und den Zeitplan vor. Die Übungsteilnehmenden bringen unternehmensspezifische Lösungen für Probleme mit und reagieren entsprechend, sobald Ereignisse auftreten und sich im Verlauf der Übung verändern. Das TTX-Simulatoren-Team überwacht und bewertet dabei insbesondere die Reaktion auf kurzfristige Änderungen – denn unerwartete Herausforderungen sind in einer Krise am schwierigsten zu bewältigen. Die Ergebnisse und Erkenntnisse werden in einem Bericht zusammengefasst und entsprechende Empfehlungen ausgearbeitet.

Das gilt es bei der Ausgestaltung von TTX zu beachten

Nachfolgend haben wir Ihnen einige unserer bewährten Punkte für die Ausgestaltung eines Table-Top-Exercise zusammengetragen, die Ihnen (hoffentlich) als hilfreiche Checkliste dienen sollen.

Planung und Design

• Klären der Ziele und erwarteten Ergebnisse:
  Was soll während der Übung erreicht werden? Wie können die Ergebnisse zukünftig verwendet werden?
• Evaluation der sinnvollen TTX-Teilnehmenden und des richtigen TTX-Simulatoren-Teams:
  Teilnehmen sollten diejenigen im Unternehmen, die tatsächlich bei der Bewältigung von Notfällen mitarbeiten (natürlich nach Absprache mit den Entscheidungsträgern). Bestimmen Sie auch Beobachter, die zur Diskussion beitragen und die gewonnenen Erkenntnisse einbringen können.
• Entwerfen des interaktiven Szenarios und des Übungsplans:
  Das Szenario soll stabil sowie glaubwürdig sein und dem Ziel entsprechen. Die Table-Top-Übung soll gute Fragen, einen detaillierten Spielplan und verschiedene Ansätze für einen interaktiven Dialog aller Teilnehmenden beinhalten.

Gestaltung und Durchführung

• • Schaffen eines interaktiven, kooperativen und störungsfreien Umfelds:
    Die Umgebung soll ein offenes Klima und Vertrauen schaffen sowie zur Interaktion und Diskussion anregen. Vergessen Sie nie: Die Simulation ist ein fehlerfreier Raum, indem alle Fragen und Beiträge legitim sind. Alle TTX-Teilnehmenden sind in die Simulation einzubeziehen und die Abläufe festzulegen, um ein bestmögliches Ergebnis zu erzielen.
  • Kritische Fragen des TTX-Simulatoren-Teams:
    Für Schlüsselfragen und wertvolle Einsichten kommen erfahrene Moderatoren als Übungsleiter zum Einsatz. Die Simulation folgt einem vordefinierten Skript, lässt jedoch Flexibilität für situative Anpassungen, Diskussionen und Gespräche.
  • Dokumentation offener Themen, Erkenntnisse, Schwierigkeiten und wichtiger Lücken:
    Die Dokumentation und Behandlung der Schlüsselpunkte während der Übung erfolgen in Echtzeit. Es werden visuelle Hilfsmittel und eine Zeitleiste eingesetzt, um die Auswirkungen von Entscheiden und deren Auswirkungen festzuhalten, wenn ein Ereignis eskaliert.

Jede Krise ist eine Herausforderung – auch, wenn nur es eine Übung ist

Je realistischer das Szenario, desto besser sind die Möglichkeiten zum Lernen und um sich zu verbessern. Die TTX und die simulierten Vorfälle eignen sich für alle Unternehmen. Bei simulierten Cyberattacken richten sie sich natürlich speziell an Mitarbeitende im Bereich der Incident Response.

Die Übungen dienen dazu, die Reaktionsbereitschaft der TTX-Teilnehmenden zu bewerten und sie zum Beispiel im Umgang mit Cybervorfällen zu trainieren. Eine Table-Top-Übung hilft dabei:

• Die eigenen Notfallpläne zu optimieren
• Die Wirksamkeit der Zusammenarbeit für unerwartete Situationen zu stärken
• Die Rollen und Verantwortlichkeiten zu klären und ggf. anzupassen
• Schwache Interaktionen zwischen Funktionselementen offenzulegen

Je nach Setup werden die Teilnehmenden ermutigt, Fragen eingehend zu erörtern und reiflich überlegte Entscheidungen hinsichtlich Problemen zu fällen. Die Übung steht dadurch im Kontrast zur raschen und spontanen Entscheidungsfindung, die unter tatsächlichen oder simulierten Notfallbedingungen stattfindet. Die Wirksamkeit eines TTX ergibt sich aus der aktiven Beteiligung der Teilnehmenden und ihrer Einschätzung bezüglich Empfehlungen des TTX-Simulatoren-Teams zu bestehenden Richtlinien, Verfahren und Plänen.

Bei jedem TTX wird das Feedback der Teilnehmenden zur Verbesserung der nächsten Iteration des Systems verwendet, so dass bei nachfolgenden Übung ein noch besserer und realistischerer Prototyp verwendet wird. Die anschliessende Auswertung und Diskussion zeigen mögliche oder gar erforderliche Verbesserungen der bestehenden Reaktionspläne und der dazugehörigen Reaktionsbereitschaft auf. Im Anschluss an das Table-Top-Exercise empfiehlt es sich, ein Workshop zur Katastrophen-Resilienz sowie -Vorsorge einzuplanen, um die Ergebnisse zu diskutieren und Verbesserungen der bestehenden Krisenmanagement-Dokumentation einzuleiten. Dazu wird ein spezifischer Plan für kurzfristige Massnahmen ausgearbeitet, um die Erfahrungen und das Gelernte in die Tat umzusetzen. Die Umsetzung der Massnahmen wird dabei durch praxisnahe und einfache Verbesserungsvorschläge unterstützt.

Table-Top-Exercise geht nicht nur das IT-Team etwas an

Bei einem Table-Top-Exercise ist es wichtig, nicht nur die IT-Abteilung einzubeziehen, sondern auch Vertreter anderer Organisationseinheiten. Abhängig vom gewählten Scope und Szenario, könnten das Teams wie Support / HelpDesk, Marketing & Kommunikation, Legal & Compliance usw. sein. Um den Erfolg zu verifizieren, können die Zeit vom Eintreten des Ereignisses, der Entdeckung, der Reaktion, der internen und externen Kommunikation sowie der Abhilfe aufgenommen werden. Das Ziel: Jede nachfolgende Table-Top-Übung sollte effizienter sein als die vorherige.

Damit das geübte Szenario auch auf die spezifische Situation passt, erstellt das TTX-Simulations-Team ein Bedrohungsmodell für die jeweiligen Produkte und Dienstleistungen. Durch die Erarbeitung dieses Bedrohungsmodells können Schwachstellen identifiziert und mit den verantwortlichen Stellen zusammengearbeitet werden, um Korrekturen zu priorisieren. Schlussendlich werden aus dem Bedrohungsmodell realistische TTX-Ereignisse abgeleitet, beispielsweise:

• Spoofing
• Manipulation
• Ransomware
• Cyber Vorfall / Incidence
• Offenlegung von Informationen
• Dienstverweigerung
• Privilege Escalation
• Insider Threat
• DC-Störungen usw.

Es wird (leider) nicht bei einer Übung bleiben

Wie die letzten Monate und Jahre gezeigt haben, bleibt es leider oftmals nicht bei Übungen. Cybervorfälle finden auch auf Schweizer Unternehmen statt – und nehmen rasant zu. Es ist daher erforderlich, dass ein Teil Ihres gesamten Sicherheitsdispositivs nicht nur präventive Massnahmen, sondern auch (trainierte) reaktive Pläne enthält.

Und wie schon Ben Franklin gesagt haben soll: «Wenn Sie nicht planen, planen Sie das Scheitern». Wie Sie auf einen Zwischenfall reagieren, ist genauso wichtig wie Ihr Bestreben, einen Vorfall zu vermeiden. Mit Cyber-Reaktionsplänen, die im Rahmen von Table-Top-Exercises trainiert werden, sind Sie besser vorbereitet und können Ihre Reaktions- und Wiederherstellungsfähigkeiten steigern, sollten Sie einmal Opfer eines Hackerangriffes werden.

Table-Top-Exercise – jetzt sind Sie dran!

Für ein effektives Table-Top-Exercise benötigen Sie – wie Sie vermutlich bereits gemerkt haben – professionelle Unterstützung. Unsere Cyber Security- und Cyber Defence-Experten sind hierzu Ihr idealer Partner! Dank der langjährigen Erfahrung mit Cybervorfällen und TTX sowie umfassendem, bereichsübergreifendem Know-how konnten Sie bereits zahlreichen Unternehmen bei der Vorbereitung helfen. Und glauben Sie uns: Nach der Übung waren bisher ausnahmslos alle froh, ein TTX durchgespielt zu haben.

Wie sieht es mit Ihnen aus? Sollten Sie nun auch ein TTX durchführen wollen, dann melden Sie sich. Gerne spielen wir mit Ihnen die verschiedenen Szenarien durch!