1. Fachliche Fähigkeiten:

2. Koordination und Zusammenarbeit:

3. Beweisverarbeitung:

•Digitale Beweise: wie Protokolle, Aufzeichnungen, Computerdateien und Computersystemkomponenten. Zum Beispiel Arbeitsspeicher oder Festplatte.

·Hardcopy-Materialien: wie gedruckte Dokumente, handschriftliche Notizen, Papierberichte usw.

•Wenn es sich um eine Straftat handelt, muss das Personal mit Fachleuten mit Erfahrung in der Strafverfolgung besetzt sein, und die Rolle des CISSP besteht darin, alle Anfragen dieser Fachleute zu unterstützen und ihnen nachzukommen.

Bei der Reaktion auf Vorfälle ist die Sammlung digitaler Beweise äußerst wichtig. Digitale Beweise sind oft kurzlebig und müssen daher so schnell wie möglich gesammelt werden, um die Integrität der Beweise sicherzustellen.

Um die Integrität der Beweise sicherzustellen, finden Sie hier einige Best Practices:

•Digital Forensics and Incident Response (DFIR) ist ein Prozess, der das Sammeln und Analysieren digitaler Beweise umfasst, um Sicherheitsvorfälle zu untersuchen und darauf zu reagieren.

•Der Umgang mit digitalen Beweismitteln erfordert die Einhaltung bestimmter Prozesse und Standards, wie z. B. ISO/EC 27037:2012 und NISTSP 800-86.

•Es ist sehr wichtig, eine gute Kette oder Verwahrung aufrechtzuerhalten, einschließlich der Aufzeichnung aller Beweisprozesse von der Sammlung bis zur Analyse, um die Integrität und Zuverlässigkeit der Beweise sicherzustellen.

Der verteilte Charakter und die globale Reichweite des Cloud Computing stellen die digitale Forensik vor besondere Herausforderungen. Beim Sammeln von Beweisen aus Cloud-Umgebungen müssen rechtliche und technische Aspekte berücksichtigt werden, einschließlich Fragen im Zusammenhang mit der Datensouveränität und der Gerichtsbarkeit

•Genauigkeit:

•Authentizität:

•Verständlichkeit:

•Überzeugend:

•Zielsetzung:

•Zulässig:

1. Datenerfassung

2.Interview

3.Verhör

4. Externe Anfragen

•Forensische Tools: Zu diesen Tools gehören Software und Geräte zur Fallverfolgung und -verwaltung sowie getrennte und speziell für forensische Arbeiten vorgesehene Arbeitsstationen und Arbeitsbereiche, um eine Verunreinigung der untersuchten Beweise zu verhindern. Einige spezifische Tools können Schreibblocker und Laufwerks-Imager, Faraday-Container sowie Video- und Audioaufzeichnungstools sein.

Allgemeine Verfahrensschritte zur forensischen Analyse:

Die Natur des Cloud Computing erschwert die Beweiserhebung und es können rechtliche Probleme auftreten.

Hauptsächlich das Erkennen und Generieren von Warnungen.

Sobald ein Einbruch erkannt wird, werden verschiedene proaktive Maßnahmen ergriffen, wie z. B. die Implementierung von Firewall-Regeln zur Blockierung böswilligen Datenverkehrs, die Wiederherstellung des Zustands von Dateien vor der Beschädigung und sogar das Herunterfahren von Anwendungen, Diensten oder Servern, um weitere Einbrüche zu verhindern.

IDS und IPS können als netzwerkbasierte (NIDS und NIPS) oder hostbasierte (HIDS und HIPS) Varianten bereitgestellt werden.

• Erkennung anhand von Verhaltensmustern, d. h. Beobachtung, ob der Verkehr von der erwarteten Basislinie abweicht

•Signaturbasierte Erkennung, die den Netzwerkverkehr oder die Hostaktivität auf bekannte Angriffsmuster überprüft.

Zu viele Fehlalarme sind keine gute Sache. Daher ist es bei der Verwendung von IDS und IPS erforderlich, diese entsprechend der Grundaktivität einer bestimmten Organisation zu kalibrieren und versehentliche DoS-Angriffe so weit wie möglich zu vermeiden.

1. Zentralisierung: Fassen Sie in verschiedenen Systemen verstreute Protokolldateien zur Analyse und Überwachung in einer zentralen Bibliothek zusammen.

2. Standardisierung: Konvertieren Sie von verschiedenen Systemen generierte Protokolldaten in ein einheitliches Format für Suche und Korrelation.

3 Korrelation und Erkennung: Korrelation durch spezielle Daten zur Erkennung der Grenzen im System zu den im System tätigen Sicherheitsunternehmen.

4. Warnungen: Sobald die Daten analysiert und verarbeitet sind, generiert SIEM automatisch Warnungen, um Analysten zur Untersuchung aufzufordern und so die Effizienz der Erkennung und Reaktion auf Sicherheitsvorfälle zu verbessern.

Referenzpunktdefinition: Eine wirksame Überwachung erfordert einen Basissatz von Maßnahmen für einen kontinuierlichen Vergleich, der auf einem anerkannten Compliance-Framework (wie PCI-DSS, NIST SP 800 usw.) oder einer Systembasislinie (wie CIS) basieren kann.

Automatisierung: Verlassen Sie sich für eine kontinuierliche Überwachung auf automatisierte Tools wie Endpoint Detection and Response (EDR)-Tools und User and Entity Behavior Analysis (UEBA)-Tools.

Häufigkeit: Die Häufigkeit der Überwachung sollte auf der Grundlage der Kontrollpriorität und der geschätzten Kosten bestimmt werden. Dies erfordert eine Abwägung von Risiken und Ressourcenverbrauch.

Geeignete Metriken: Für ein kontinuierliches Überwachungsprogramm definierte Metriken sollten umsetzbare Informationen über die Wirksamkeit der Kontrollen liefern. Dazu muss sichergestellt werden, dass die Kennzahlen messbar sind, sodass sie verfolgt und verbessert werden können.

Klarer Aktionsplan: Wenn bei der Überwachung Probleme entdeckt werden, sollte es einen klaren Aktionsplan zu deren Lösung geben. Dies umfasst die Fehlerbehebung, Lösung und Nachverfolgung von Problemen.

Kosten-Nutzen-Verhältnis: Die Kosten eines laufenden Überwachungsprogramms sollten gegen den damit erzielten Wert abgewogen werden. Dies erfordert eine umfassende Bewertung des erwarteten Nutzens im Vergleich zu den Implementierungskosten, um sicherzustellen, dass die Investition gerechtfertigt ist.

Eine Datenschutzverletzung liegt vor, wenn sensible Informationen illegal übertragen werden und ein Netzwerk verlassen. Angreifer können Standardports, Protokolle und Dienste wie E-Mail, FTP oder HITTP nutzen, um Daten zu senden. Manchmal verschleiern sie ihre Aktivitäten sogar, indem sie die Daten als gängige Datenquellen mit hohem Datenverkehr, wie z. B. HTTP-Verkehr, tarnen.

DLP-Tools können bestimmte Datentypen identifizieren und verwalten, z. B. das Netzwerk nach unbekannten sensiblen Daten durchsuchen, die im Netzwerk gespeichert sind, sensible Daten identifizieren, die über das Netzwerk übertragen werden, und Warnungen generieren, wenn versucht wird, Dateien aus freigegebenen Dateien zu kopieren. Diese Tools können einen solchen Vorgang vorübergehend blockieren und den Benutzer auffordern, zu bestätigen, ob er die Datei wirklich senden möchte, oder einen solchen Vorgang sogar ganz verhindern.

Das Ziel der demografischen Überwachung besteht darin, in das Netzwerk gelangende Daten zu identifizieren und zu verhindern, dass Nachrichten mit sensiblen Daten, wie z. B. E-Mails, in das Netzwerk gelangen.

Zu den Strategien für die physische Ein- und Ausgangsüberwachung gehört die Überprüfung der physischen Medien, die die Einrichtung betreten und verlassen, um sicherzustellen, dass die Datenübertragung nicht gegen die Richtlinien der Organisation verstößt.

Brix ist eine wichtige Informationsquelle für Aktivitäten zur Sicherheitsdurchsetzung, einschließlich laufender Überwachung und Reaktion auf Vorfälle (IR). Frameworks wie IS027001 und NIST SP 800-53 können zur Entwicklung einer Protokollierungsstrategie verwendet werden. NIST SP 800-92 stellt Kernanforderungen für die Verwaltung von Sicherheitsprotokolldaten sowie Prozesse zur Standardisierung und Aufschlüsselung der gesammelten Informationen bereit.

Ein Unternehmen oder eine Organisation muss festlegen, welche Ereignisse protokolliert werden sollen und welche ignoriert werden können. Dies muss gegen Risiko- und Sicherheitsstrategien abgewogen werden, um sicherzustellen, dass Protokolldaten weder redundant sind noch kritische Informationen fehlen.

Protokolle müssen ausreichend Details aufzeichnen, um Vorgänge im Informationssystem zu rekonstruieren, einschließlich der Person, die die Vorgänge ausgeführt hat, was sie getan haben und wann sie stattgefunden haben. Zu den gängigen Datenpunkten gehören Benutzer- oder Prozess-IDs, Zeitstempel, Gerätekennungen, Objektnamen, Richtlinienkennungen usw.

Protokolldaten können vertrauliche Informationen enthalten, daher müssen ihre Vertraulichkeit und Integrität gewährleistet werden. Sie können die Integrität von Datenspeichermedien schützen, indem Sie Protokolldateien auf Speichermedien mit hoher Integrität, wie z. B. WORM-Festplatten, schreiben. Für Anwendungsprotokolle, die möglicherweise vertrauliche Informationen enthalten, muss der Zugriff eingeschränkt werden, um die Vertraulichkeit der Daten zu schützen.

Das Volumen der Protokolldaten nimmt mit der Zeit zu und erfordert eine Kapazitätsplanung. Für lokale Protokolle, die auf dem Server gespeichert sind, können Sie eine kürzere Aufbewahrungsfrist implementieren, um Platz zu sparen. In einem SIEM-Tool gespeicherte Protokolle können über Monate, Jahre oder sogar für immer aufbewahrt werden. Protokolldaten können auch mithilfe kostengünstiger Offline-Speichermethoden archiviert werden, um geringere Kosten und einen langsameren Zugriff zu ermöglichen.

Threat Intelligence ist eine präventive Strategie, die Sicherheitsexperten dabei hilft, Bedrohungen und Angreifer zu erkennen und vorherzusagen, die ihr Unternehmen ins Visier nehmen könnten. Diese Informationen können in SIEM und SOAR integriert werden. Zu den Quellen gehören unter anderem kommerzielle Anbieter von Bedrohungsinformationen, Regierungsbehörden (wie CISA in den USA), Informationsaustausch- und Analysezentren der Industrie (ISACs) und Deep Web, Dark Web, soziale Medien oder Blogs usw.

Threat Hunting ist eine proaktive Verteidigungsstrategie, die manuelle Analysen und automatisierte Tools verwendet, um Bedrohungsdaten zu finden und zu analysieren, um Bedrohungen innerhalb und außerhalb des Unternehmens proaktiv zu erkennen und abzuwehren. Dies kann auf den folgenden drei Ebenen erfolgen:

UEBA ist eine Sicherheitslösung, die maschinelles Lernen und statistische Analysemodelle verwendet, um eine Basislinie des normalen oder erwarteten Verhaltens von Benutzern und Einheiten mit Informationssystemen zu definieren. Jede Abweichung von dieser erwarteten Basislinie wird als verdächtig gekennzeichnet und als Eingabe für andere Sicherheitstools zur weiteren Analyse verwendet.

In diesem Zusammenhang beziehen sich Entitäten auf nichtmenschliche Akteure im Netzwerk, einschließlich Hardware (wie Router und Server) sowie Softwareprozesse, Threads oder Daemons. Ein Benutzer ist ein menschlicher Benutzer, der sich anmeldet und mit einem Informationssystem interagiert.

UEBA bietet eine detailliertere Sicherheitsüberwachung und Anpassungsfähigkeit, sodass Sicherheitsrichtlinien an die individuellen Anforderungen jedes Unternehmens angepasst werden können. Dieser Ansatz kann unnötige Einschränkungen und Auswirkungen auf legitime Geschäftsaktivitäten vermeiden und gleichzeitig die Kosteneffizienz von Sicherheitstools verbessern.

Von UEBA generierte Überwachungsergebnisse können als nützlicher Input für andere Sicherheitstools wie SOAR oder IPS dienen und automatisierte Reaktionen und Sicherheitskontrollen auslösen. Wenn beispielsweise ein potenziell infizierter Computer erkannt wird, könnte dies Netzwerkquarantänemaßnahmen auslösen oder die Zugangsdaten eines Benutzers sperren, um den potenziellen Schaden zu begrenzen, den böswillige Aktivitäten einem Unternehmen zufügen können.

Die Konfiguration ist der erste Schritt im Konfigurationsmanagement. Dies erfordert in der Regel die Verwendung eines vorab genehmigten Basisimages, das den Anforderungen des Unternehmens an die Hardware- und Software-Einrichtung entspricht und eine schnelle Bereitstellung von Betriebssystemen und Software ermöglicht. Dies reduziert die Installationszeit und mögliche Fehler.

Für eine effektive Bereitstellung müssen Unternehmen ein klares Verständnis aller ihrer Vermögenswerte haben, einschließlich Hardware, Software, Cloud-Dienste und mehr. Dies kann durch eine proaktive und reaktive Bestandskontrolle der Vermögenswerte erreicht werden. Die proaktive Bestandskontrolle erfasst detaillierte Informationen beim Kauf von Hardware und Software, während die reaktive Bestandskontrolle unbekannte Vermögenswerte zum Bestand hinzufügt, sobald sie entdeckt werden.

Nachdem alle Assets verstanden wurden, kann eine Organisation eine Baseline festlegen, bei der es sich um einen etablierten Satz von Organisationsstandards handelt, mit denen sichergestellt wird, dass die Systeme so konfiguriert sind, dass sie diese Standards erfüllen. Grundlinien sind jedoch nicht statisch. Wenn sich Systemfunktionen, Systemversionen, Patchanwendungen und Betriebsumgebungen ändern, muss die Baseline möglicherweise angepasst werden. Dies erfordert einen sorgfältig konzipierten Änderungsmanagementprozess, um sicherzustellen, dass Änderungen an der Baseline sorgfältig geplant, getestet und implementiert werden.

•Defense Information Systems Agency Security Technical Implementation Guides (DISA STIGs)

•CIS-Benchmark

•Anleitung von Lieferanten (z. B. Microsoft, Alibaba Cloud usw.)

•Automatisierung:

Hierbei handelt es sich um einen Informationssicherheitsgrundsatz, bei dem die Idee im Mittelpunkt steht, dass nur denjenigen Zugriff auf diese Informationen gewährt werden sollte, die aufgrund ihrer beruflichen Verantwortung oder ihrer Mission auf bestimmte Informationen zugreifen müssen. Einfach ausgedrückt: Wenn jemand die Informationen nicht für seine berufliche Funktion benötigt, sollte er keinen Zugriff darauf haben.

Hierbei handelt es sich um einen weiteren Grundsatz der Informationssicherheit, der darauf abzielt, den Zugriff der Benutzer so weit wie möglich einzuschränken und ihnen nur die Mindestrechte zu gewähren, die sie für die Erledigung ihrer Aufgaben unbedingt benötigen. Dadurch wird das Risiko verringert, das durch den Missbrauch von Berechtigungen oder eine Kompromittierung des Systems entstehen kann.

Es bezieht sich auf die Aufteilung verschiedener Schritte eines Geschäftsprozesses auf mehrere Personen, um zu verhindern, dass eine Person über zu viele Berechtigungen oder Fähigkeiten verfügt, und dadurch das Risiko von Insider-Bedrohungen und betrügerischen Aktivitäten zu verringern.

Multiplayer-Steuerung bedeutet, dass mehr als eine Person erforderlich ist, um eine Aktion oder Aufgabe auszuführen. Dies bedeutet nicht unbedingt, dass diese Personen die gleichen oder unterschiedliche Privilegien haben, sondern nur, dass die Aktion oder Aufgabe aus Gründen der Ausgewogenheit von mehreren Personen ausgeführt werden muss.

Die M-Of-N-Steuerung ähnelt auch der Mehrpersonensteuerung, erfordert jedoch nur die Zusammenarbeit von M von N Personen, die in der Lage sind, verwandte Aufgaben auszuführen, um den Prozess abzuschließen.

Die Betriebsberechtigungen (Berechtigungen), die normalerweise Benutzern im System gewährt werden. Diese Berechtigungen können Lesen, Schreiben, Ändern von Dateien, Ausführen von Programmen, Zugriff auf bestimmte Ressourcen usw. umfassen.

Dabei handelt es sich um ein Konto mit besonders hohen Rechten im System, meist ein Systemadministrator- oder Superuser-Konto. Zu den Berechtigungen dieser Konten können das Ändern von Systemeinstellungen, das Installieren von Software, das Verwalten von Benutzerkonten usw. gehören.

•Konfiguration: Benutzer, die privilegierten Zugriff benötigen, sollten einer strengen Überprüfung unterzogen werden, um sicherzustellen, dass sie legitime Bedürfnisse haben und vertrauenswürdig sind.

•Nutzung: Privilegierte Konten sollten über zusätzliche Authentifizierungsschritte verfügen, wie z. B. eine obligatorische Multi-Faktor-Authentifizierung, die Kontonutzung sollte zeitlich begrenzt sein und automatisch ablaufen, und alle Vorgänge sollten protokolliert werden.

•Überprüfung: Automatische oder manuelle Protokollprüfungen privilegierter Konten sollten regelmäßig durchgeführt werden, um ungewöhnliches oder verdächtiges Verhalten zu erkennen.

Deprovisionierung: Wenn Sie die Bereitstellung eines privilegierten Kontos aufheben, ist es am besten, das Konto zunächst zu sperren oder zu deaktivieren und dann eine Überprüfung durchzuführen, um festzustellen, ob die Bereitstellung des Kontos dauerhaft aufgehoben werden muss.

1) Bietet Möglichkeiten für übergreifende Schulungen, die den Mitarbeitern die Möglichkeit geben, ihre Fähigkeiten zu verbessern und der Organisation mehr Flexibilität zu verleihen.

2) Minderung von Insider-Bedrohungen wie Betrug.

Dabei handelt es sich um eine zwischen einer Organisation und einem Lieferanten unterzeichnete Vereinbarung, die die Verfügbarkeits- und Leistungsindikatoren festlegt, die die vom Lieferanten bereitgestellten Produkte oder Dienstleistungen erfüllen müssen, sowie die Verantwortlichkeiten und Pflichten beider Parteien. In der Regel enthalten SLAs Strafklauseln, um sicherzustellen, dass der Lieferant seinen Verpflichtungen nachkommen kann, und um ihn auch zu ermutigen, bessere Produkte oder Dienstleistungen bereitzustellen.

1) Medientypen: einschließlich Papierakten, Festplattenlaufwerke (HDD), Solid-State-Laufwerke (SSD) und Speicherung in Cloud-Umgebungen.

2) Datenklassifizierung: Klassifizieren Sie Daten gemäß der Klassifizierungsrichtlinie der Organisation, um die Grundlage für die Auswahl geeigneter Kontrollmaßnahmen zu legen.

3) Kennzeichnung und Markierung: Alle Medien sollten gekennzeichnet sein, um den Grad der Klassifizierung der darin enthaltenen Daten anzuzeigen. Unter verschiedenen Umständen können Wasserzeichen, Dateikopf-/-fußzeilen oder Metadaten zur Markierung verwendet werden.

4 Verarbeitung: Benutzer sollten in den Klassifizierungsstufen und Medienverarbeitungsverfahren geschult werden. Zu den Verarbeitungsverfahren können der Umgang mit sensiblen Daten, die Einhaltung von Vernichtungsanforderungen usw. gehören.

·Sicherheitskontrollen implementieren: Erforderliche Sicherheitskontrollmaßnahmen entsprechend der Datenklassifizierung anwenden, entsprechende Prozesse und Verfahren aufzeichnen und Benutzer schulen.

•Prinzip der geringsten Privilegien: Beschränken Sie den Zugriff auf Medien und implementieren Sie physische Sicherheitsmaßnahmen.

•Physischer Schutz: Konzentrieren Sie sich auf den physischen Schutz, um potenziellen Risiken wie verlorener oder gestohlener Ausrüstung zu begegnen. Kompensierende Kontrollen wie die Festplattenverschlüsselung gewährleisten die Vertraulichkeit der Daten.

•Transport Butterfly: Gewährleistet die Sicherheit der Medien während der Übertragung durch Verschlüsselung, Hash-Verifizierung und physische Schutzmaßnahmen.

•Desinfektion und Entsorgung: Wählen Sie je nach Bedarf die geeignete Desinfektions- und Entsorgungsmethode, z. B. Abdecken, Entmagnetisieren, physische Zerstörung oder kryptografische Zerkleinerung. Bei Cloud-Speicherlösungen ist die kryptografische Löschung möglicherweise die einzig praktikable Sicherheitsmethode.

•Anbietermanagement: Stellen Sie sicher, dass Vernichtungsanbieter Verträge und Service-Level-Agreements einhalten, einschließlich physischer Sicherheitsstandards und Versicherungsanforderungen.

•Ereignisse: Beobachtbare Elemente, z. B. reguläre Vorgänge. Normalerweise sind keine weiteren Maßnahmen erforderlich.

• Vorfälle: Ungeplante Ereignisse, die negative Auswirkungen auf die Organisation haben und eine gemeinsame Untersuchung und Behebung durch IT-, Betriebs- und Sicherheitspersonal erfordern.

•Dokumentieren Sie die Tools, Ressourcen und Prozesse, die erforderlich sind, um die Auswirkungen eines Vorfalls zu identifizieren, zu klassifizieren und zu beheben.

•Enthält Vorfalltypdefinitionen, Personal des Vorfallreaktionsteams, Rollen und Gehälter, erforderliche Ressourcen und Vorfallmanagementprozesse

•Das Incident-Response-Framework legt den Schwerpunkt auf die Planung von Vorfällen im Voraus und die Entwicklung geeigneter Reaktionsstrategien. Wie zum Beispiel: TL, NIST, ISACA

•Kategorisierung und Priorisierung basierend auf Kritikalität, Auswirkung und Dringlichkeit.

Viele Organisationen nutzen (P0-P5) zur Klassifizierung von Vorfällen. P0 ist der kritischste und P5 der am wenigsten kritische Test und die Übungen zur Reaktion auf Vorfälle:

•Testen Sie den Plan in Nicht-Notfallsituationen, um Lücken, Versäumnisse oder Probleme zu identifizieren.

• Reduzieren Sie Verwirrung oder Verschwendung während eines realen Vorfalls, indem Sie die Mitglieder des Vorfallreaktionsteams durch Übungen in ihren Verantwortlichkeiten schulen.

•Stellen Sie eine angemessene Koordination mit externen Dienstleistern sicher, damit die Organisation ihre Geschäftstätigkeit fortsetzen kann.

•Der Vorfallreaktionsplan sollte wichtige externe Dienstleister oder Dritte identifizieren und Kontaktinformationen dokumentieren.

•Klaren Sie die Rollen und Verantwortlichkeiten Dritter, damit interne Teams und Dritte bei der Bewältigung von Vorfällen zusammenarbeiten können.

1) Identifizieren Sie IR-Prozesse, die verbessert werden müssen;

2) Beheben Sie die zugrunde liegende Ursache, um zu verhindern, dass der Vorfall erneut auftritt.

1•Statische Paketinspektion (zustandslos): Dies ist die erste Generation von Firewalls, die sich auf die regelbasierte Filterung von Paket-Header-Informationen konzentriert.

2. Stateful Firewall: Basierend auf der ersten Generation bietet die Firewall der zweiten Generation ein Verständnis für den Kommunikationskontext (Status) und bietet flexibleren und intelligenteren Schutz.

3. Web Application Firewall (WAF) und API-Gateway: Diese spezifischen Arten von Firewalls entsprechen nicht direkt einer bestimmten Generation von Firewalls, sondern sind dedizierte Lösungen für bestimmte Anwendungsszenarien (z. B. Webanwendungen und APIs).

4. Hostbasierte Firewall: Dies entspricht ebenfalls nicht direkt einer bestimmten Generation von Firewalls, sondern ist ein Schutz, der auf einem einzelnen Host bereitgestellt wird, um eine zusätzliche Sicherheitsebene über die Netzwerk-Firewall hinaus bereitzustellen.

5. Next Generation Firewall (NGFW): Wird oft als Firewall der dritten Generation angesehen und integriert mehrere Sicherheitsfunktionen. B. Stateful Firewall, API-Gateway, Intrusion Detection und VPN-Dienste usw., die eine umfassendere Netzwerksicherheits-Firewall bieten

Dieses Konzept entsteht in softwaredefinierten Netzwerken (SDN) und Cloud-Umgebungen und steht nicht in direktem Zusammenhang mit einer bestimmten Firewall-Generation. Sie ähneln funktional Firewalls, sind jedoch in virtualisierten Umgebungen flexibler und skalierbarer.

1. Funktion: Erkennen von Systemeinbruchsversuchen.

2. Typ:

3. Funktionsweise: Ein passives Gerät, das den Datenverkehr oder die Aktivität analysiert und Aktivitäten erkennt, die böswilligen Mustern entsprechen oder vom normalen oder erwarteten Systembetrieb abweichen.

4. Reaktion: Erzeugt eine Warnung, die menschliches Eingreifen erfordert.

1. Funktion: Erkennen und Reagieren auf Systemeinbruchsversuche.

2. Typ:

3. Funktionsweise: Ein aktives Gerät, das den Datenverkehr oder die Aktivität analysiert und Aktivitäten erkennt, die bekannten bösartigen Mustern entsprechen oder vom normalen oder erwarteten Systembetrieb abweichen.

•Reaktion: Ergreifen Sie automatisch vorbeugende Maßnahmen, z. B. die Implementierung neuer Firewall-Regeln.

1. NIDS/NIPS

2.HIDS/HIPS

•Geringere Kosten

•Expertenwissen

•Untere Kontrolle

•Risiko, dass Dritte ins Visier genommen werden

•Zusätzlicher Aufwand für die Verwaltung Dritter

•Security Operations Center (SOC): Teilweise oder vollständig ausgelagerte SOC-Operationen

•Digital Forensics and Incident Response (DFIR): Als Erweiterung der kontinuierlichen Überwachung, bereitgestellt von MSSP

Threat Intelligence: Bietet Informationen über potenzielle Bedrohungen für das Unternehmen, die mit kontinuierlicher Überwachung, Risikobewertung und SOAR-Technologie kombiniert werden können

ist eine isolierte Umgebung mit eingeschränkter Möglichkeit, eine Verbindung zu Ressourcen außerhalb der Sandbox herzustellen.

•Virenanalyse: Führen Sie Malware in isolierten virtuellen Maschinen aus. Verhindern Sie die Infektion anderer Systeme

•Konzeptnachweis: Experimentieren Sie in einer isolierten Umgebung, ohne die Datenintegrität des Produktionssystems zu beeinträchtigen

Steuern Sie das Laufzeitverhalten der Anwendung durch einen restriktiven Regelsatz

Beispiel: Das iOS-System von Apple schränkt den Zugriff von Apps auf Daten und Funktionen ein

Fügen Sie Ihrem Smartphone eine zusätzliche Sicherheitsebene hinzu

Auf dem Telefon des Benutzers wird eine spezielle Anwendung installiert, die den Zugriff auf Unternehmensdaten ermöglicht, den Zugriff auf externe Daten jedoch einschränkt

•Informationen, die dazu verwendet werden, unbefugte Zugriffsversuche auf Daten und Informationssysteme zu erkennen oder zu sammeln

Honeypots scheinen wertvolle Ressourcen zu sein, enthalten aber eigentlich keine wichtigen Daten.

•Lenken Sie Angreifer ab und schützen Sie hochwertige Ziele

•Erfassen Sie Angreiferinformationen wie die IP-Adresse

•In verschiedenen Gerichtsbarkeiten gibt es rechtliche Probleme hinsichtlich der Verwendung von Honeypots/Honeynets, insbesondere im Hinblick auf Fallen

• Bietet eine einfache Möglichkeit, Honeypot-Geräte bereitzustellen und zu überwachen

•Bewältigen Sie rechtliche Herausforderungen im Zusammenhang mit Honeypots und vermeiden Sie Einklemmprobleme

•Generierte Warnungen können in SIEM- oder SOAR-Tools integriert werden

Die früheste Antivirensoftware (A/V) wurde mit der Entwicklung der Bedrohungen nach und nach durch Antimalwaresoftware (A/M) ersetzt

Führen Sie ein mehrschichtiges Verteidigungsmodell ein, um sicherzustellen, dass Datenverkehr und Aktivitäten gründlich gescannt werden, um unerwünschtes Verhalten zu erkennen

Kann auf kritischen Ressourcen wie E-Mail-Servern, Dateifreigabeservern und Netzwerküberwachungstools bereitgestellt werden

•Endpoint Detection and Response (EDR)-Lösung: kombiniert A/M-Funktionen, Host-Firewall, Dateiintegritätsüberwachung und UEBA

•Managed Detection and Response (MDR)-Dienst: kombiniert Erkennungsfunktionen mit Sicherheitsdiensten von Drittanbietern, um Endpunkt-Sicherheitsrisiken zu begegnen

• Signaturbasierte Tools: Finden Sie bestimmte Dateien oder Aktivitätsmuster, die mit bekannter Malware in Zusammenhang stehen

•Heuristische Erkennung: basiert auf der statistischen Analyse von Aktivitätsmustern, um potenziell bösartiges Verhalten zu erkennen

• Aktionen nach der Erkennung: betroffene Dateien oder Systeme unter Quarantäne stellen, Warnungen generieren

•Alert-Integration: Integration mit SIEM-Tools für zentralisierte Überwachung und Reaktion oder mit SOAR für automatisierte Reaktion auf Vorfälle

• Vorfälle schneller erkennen und darauf reagieren

•Bei richtiger Konfiguration können menschliche Fehler bei der Entscheidungsfindung ausgeschlossen werden

Der Black-Box-Charakter der Entscheidungsfindung: Es ist schwierig, Fehler zu erkennen oder die Ergebnisse zu verstehen, daher kann es schwierig sein, auf der Grundlage von Warnungen Maßnahmen zu ergreifen. Beim Umgang mit neuen Technologien sollten wir vorsichtig sein.

•Threat Hunting: Suche nach Bedrohungen, die möglicherweise unbekannte Schwachstellen ausnutzen.

•Schwachstellenscan: Erkennt automatisch bekannte Schwachstellen, wie unsichere Konfigurationen oder nicht gepatchte Software.

•Rot-Blau-Konfrontation: Das rote Team führt Zieltests an bestimmten Objekten durch und das blaue Team übernimmt die Verteidigung.

•Penetrationstests und Bug-Bounty: Manuelle Tests zum Auffinden von Schwachstellen.

•Automatisieren Sie Prozesse und Arbeitsabläufe für das Schwachstellenmanagement mithilfe von SOAR-Tools.

1) Erstellen Sie eine Änderungsanforderung: Dokumentieren Sie den Zweck, die Begründung, die verantwortliche Person, die erforderlichen Ressourcen und die erwarteten Auswirkungen der Änderung.

2) Überprüfung der Änderung: Das Änderungskontrollkomitee oder der Änderungsbeirat (CCB oder CAB) führt eine Überprüfung durch, um den Geschäftswert, die Auswirkungen und die potenziellen Risiken der Änderung zu bewerten.

3) Änderungsgenehmigung: Wird von der verantwortlichen Person gemäß dem aufgezeichneten Plan ausgeführt.

4) Sicherheitsfragen koordinieren: Stellen Sie sicher, dass relevante Prozesse bei der Beschaffung und Bereitstellung neuer Hardware eingehalten werden.

•Standardänderungen: geringes Risiko, wahrscheinlich keine negativen Auswirkungen, vorab genehmigt. Beispiel: Standard-Patches anwenden, Standard-Assets hinzufügen und genehmigte Software installieren.

•Normale Änderungen: erfordern einen vollständigen Änderungsmanagementprozess. Die Umsetzung wird in regelmäßigen Sitzungen des Change Committees geplant.

•Notfalländerungen: Reagieren Sie auf Notfälle, beispielsweise Sicherheitsvorfälle. Vereinfachte Entscheidungsfindung oder leichtere Prozesse können eingesetzt werden, um Sicherheit und Geschwindigkeit in Einklang zu bringen.

Relevant für Verfügbarkeitssicherheitsziele: Identifizieren Sie kritische Vermögenswerte und Funktionen durch Business Impact Analysis (B/A) und entwerfen Sie Wiederherstellungsstrategien, um Verfügbarkeitsanforderungen und -kosten in Einklang zu bringen.

•Recovery Time Objective (RTO): Die Zeit, die erforderlich ist, um ein System oder einen Prozess mithilfe von Notfallverfahren wiederherzustellen.

•Recovery Point Objective (RPO): Die Menge an Datenverlust, die im Katastrophenfall toleriert werden kann.

•Maximal tolerierte Ausfallzeit (MTD oder MAD): Die Zeit, die eine Organisation überleben kann, ohne dass ein Vermögenswert oder Prozess zur Nutzung verfügbar ist.

•Vollständige Sicherung: Die Sicherung aller Daten dauert am längsten und nimmt den größten Speicherplatz ein.

• Inkrementelles Backup: Sichert Daten, die sich seit dem letzten vollständigen Backup oder inkrementellen Backup geändert haben. Dies ist die schnellste Methode, die Wiederherstellung dauert jedoch am längsten.

•Differenzielle Sicherung: Sichert alle Daten, die sich seit der letzten vollständigen Sicherung geändert haben, schneller und mit geringerem Speicherbedarf.

Bewahren Sie mindestens drei Kopien der Daten auf, zwei Kopien werden lokal oder vor Ort gespeichert, einschließlich der Stammdatenkopie, und eine Kopie wird in einem Offline-Remote-Backup gespeichert.

Backup-Integrität und Vertraulichkeit:

•Cloud-Dienste wie Software as a Service (SaaS), konfiguriert für hohe Verfügbarkeit, automatische Datenreplikation und Datenpersistenz

•Verwenden Sie Infrastructure as a Service (LAAS) oder Platform as a Service (PAAS) als Backup-Speicherlösung.

•Bewerten Sie den Kompromiss zwischen dem Verlust der physischen Datenkontrolle und Kosteneinsparungen bei der Nutzung von Cloud-Diensten. Die Verschlüsselung von Daten vor der Speicherung in einer Cloud-Umgebung kann eine wirksame Sicherheitsmaßnahme sein.

•Kalter Standort: Leere Anlage, Konfiguration von Geräten und Versorgungseinrichtungen erforderlich, längere Wiederherstellungszeit und geringere Kosten.

•Warmer Standort: Er verfügt über eine gewisse Ausstattung und erfordert einen gewissen Grad an Bauarbeiten.

·Hot-Standort: Verfügt über die gleichen Einrichtungen und Daten wie der Hauptstandort, ist kostspielig, trägt aber dazu bei, kurzfristige RTOs oder RPOs einzuhalten.

· Vorteile: Integrierte Metadaten für Multi-Processing-Sites. Hat eine hohe Zuverlässigkeit.

•Nachteile: Höhere Miete, Personal- und Ausrüstungskosten.

Bezieht sich auf die Fähigkeit des Systems, Ausfällen zu widerstehen und beruht auf einem Design, das Ausfälle berücksichtigt und Korrekturmaßnahmen beinhaltet.

Sorgen Sie für Redundanz und dynamische Umleitung durch Technologien wie Load Balancer oder Clustering, um eine kontinuierliche Systemverfügbarkeit sicherzustellen.

Eine Funktion in der Netzwerktechnologie, die wichtigen Datenverkehr, beispielsweise geschäftskritische oder zeitkritische Daten, priorisiert.

Gemäß den Stufen des Uptime Institute können verschiedene Ebenen von Rechenzentren bei Störungen unterschiedliche Grade an garantierter Betriebszeit bieten.

Systeme, die Hardware-, Software- oder Datenverarbeitungsausfälle tolerieren und weiterhin funktionieren können, wie z. B. RAID- und Datenbanksysteme.

1. Sicherheitsexperten sind häufig für die erste Reaktion auf Katastrophensituationen verantwortlich.

2. Die zur Reaktion auf eine Katastrophe erforderlichen Maßnahmen variieren je nach Art der Katastrophe. Menschen verfügen in Stresssituationen nur über eingeschränkte Entscheidungsfähigkeiten. Daher ist es am besten, Reaktions- und Aktionspläne im Rahmen von Notfallwiederherstellungs- und Geschäftskontinuitätsplänen vorab genehmigen zu lassen.

3. Zu den Aufgaben, die im Plan berücksichtigt werden müssen, gehören:

4 Dokumentieren Sie alle Vorgänge, um die Überprüfung nach der Katastrophe zu unterstützen und die erforderlichen Nachweise für Versicherungen oder rechtliche Schritte bereitzustellen.

•Bezieht sich auf Mitarbeiter und Führungskräfte, die Informationen über den Vorfall benötigen und wissen müssen, wie sie sich an der Reaktion beteiligen können.

•Kommunikationsmethoden können aktiv (z. B. ein Telefonbaum) oder passiv (z. B. auf einer Website veröffentlichte Nachrichten) sein.

•Die gewählte Kommunikationsmethode sollte die Kritikalität der empfangenden Person und der übermittelten Botschaft berücksichtigen.

•Umfasst Kunden, Öffentlichkeit, Geschäftspartner und Lieferanten, die von organisatorischen Notfällen betroffen sind.

•Gesetzliche oder vertragliche Verpflichtungen können vorschreiben, wie die Kommunikation mit externen Stakeholdern durchgeführt wird, z. B. Datenschutzhinweise im Falle einer Datenschutzverletzung.

•Verwenden Sie je nach Bedarf aktive und passive Kommunikationsmethoden, z. B. proaktive Benachrichtigung von Kunden oder Stellen neuer Anfragen.

•Die Kommunikation folgt dem One-Voice-Prinzip: Die Organisation sollte bei der Kommunikation mit externen Stakeholdern (z. B. den Medien oder der Öffentlichkeit) eine einheitliche Stimme haben und dieser Grundsatz sollte in die Schulung integriert werden.

•Ähnlich wie bei einer Risikobewertung besteht das Hauptziel darin, Auswirkungen zu identifizieren und Reaktionen zu priorisieren.

•Die Art und Ursache der Katastrophe (z. B. vom Menschen verursacht oder natürlich) und die Priorität der Wiederherstellungsmaßnahmen (z. B. Evakuierung von Personal oder ordnungsgemäße Abschaltung und Verlagerung der Ausrüstung in Ersatzeinrichtungen) müssen ermittelt werden.

•Der Bewertungsprozess kann noch andauern und das Reaktionsteam muss die aktuellen und möglichen zukünftigen Auswirkungen des Ereignisses oder der Katastrophe ermitteln.

•Sollte dem Management und den Entscheidungsträgern mitgeteilt werden, um die richtige Handlungsrichtung festzulegen.

•Wenn ein guter BCDR-Plan vorhanden ist, sollte die Reaktion bestimmten Verfahren oder Schritten folgen und auf die spezifische Katastrophe zugeschnitten sein.

• Bei diesen Schritten müssen Leben, Gesundheit und Sicherheit Vorrang haben und gleichzeitig die Auswirkungen auf Kunden, regulatorische Verpflichtungen sowie direkte und indirekte Kosten (wie Umsatzverluste und Reputationsschäden) berücksichtigt werden.

•Bewerten Sie nach der Wiederherstellung die Gesamtauswirkungen der Katastrophe oder des Ereignisses.

•Die Bewertung sollte die gesamten finanziellen Kosten für die Organisation umfassen (einschließlich Wiederherstellungskosten und etwaiger Geschäfts- oder Produktivitätsverluste) sowie Informationen darüber, wie der Katastrophen- und Kontinuitätsbetrieb in der Zukunft verbessert werden kann.

•Auf das Aufzeichnen und Anwenden der gewonnenen Erkenntnisse wird in den folgenden Kapiteln ausführlicher eingegangen.

•Wiederherstellung des ursprünglichen Standorts oder der ursprünglichen Einrichtung, die von der Katastrophe betroffen war.

•Kritische Geschäftsfunktionen wiederherstellen.

•Wiederaufnahme des normalen Serviceniveaus an wichtigen Veranstaltungsorten.

•Text von den spezifischen Pilzsammlern in den C- und DR-Plänen.

•Und die Rolle des Sicherheitsteams bei der Wiederherstellung von IT-Diensten und der Gewährleistung von Sicherheitskontrollen.

•Personal-, Finanz- und Rechtsteams können bei bestimmten Arten von Katastrophen eine Schlüsselrolle spielen.

•Stellen Sie sicher, dass das Wissen auf dem neuesten Stand bleibt.

• Führen Sie regelmäßig Brand- oder Evakuierungsübungen durch.

• Führen Sie Routinetests und Übungen des BC- oder DR-Plans durch, um das Wissen von Schlüsselpersonal zu schulen und zu aktualisieren.

• Regelmäßige Überprüfung der BC- und DR-Pläne

•Formelle Überprüfung nach Abschluss der Wiederherstellung

•Nutzung der gewonnenen Erkenntnisse zur Optimierung von Plänen und Prozessen

•Identifizieren Sie Stärken und Schwächen im Plan

•Analysieren Sie die Auswirkungen des Mitarbeiterverhaltens auf den Genesungsprozess

•Führen Sie Obduktionen und Ursachenanalysen durch

•Identifizieren Sie die Stärken eines Plans oder einer Reaktion

•Identifizieren Sie potenzielle Verbesserungsmöglichkeiten

•Anwenden der gesammelten Informationen auf BCDR-Programm- und Prozessverbesserungen

•Der einfachste BCDR-Test

•Besprechen Sie Pläne mit verschiedenen Interessengruppen

• Überprüfen Sie wichtige Informationen und Prozesse

•Üben Sie Übungen in realen Szenarien

•Einsätze vor Ort mit wichtigen Akteuren

•Potenzielle Probleme und Annahmen identifizieren

• Ähnlich einer Feuerwehrübung

• Reagieren Sie auf bestimmte Szenarien

•Überprüfen Sie das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO).

•Testen Sie aktive und Backup-Systeme gleichzeitig

•Stellen Sie sicher, dass Backup-Systeme der tatsächlichen Belastung standhalten können

•Erkennen Sie Konfigurationsfehler oder Datensicherungsprobleme

•Simulieren Sie eine echte Katastrophe

•Hohe Kosten, die den normalen Betrieb beeinträchtigen können

•Identifizieren Sie alle Probleme in BCDR-Plänen und -Prozessen

1. Änderungen der Sicherheitsanforderungen im Notfallbetrieb, Bereitstellung von Vorschlägen für Änderungen der Sicherheitsanforderungen zur Umsetzung oder Verwaltung von Maßnahmen zur Bewältigung neuer Anforderungen

2. Anleitung zu Änderungen an BC- und DR-Plänen

3. Entwerfen Sie Test- und Übungsszenarien

•Öffentliche Bereiche: Straßen, Gehwege, Lobbys, Parkmöglichkeiten

• Ein- und Ausgänge zum Veranstaltungsort: Rezeption, Eingangstür, Be- und Entladebereich

•Externe Einrichtungen: Notstromgenerator, Versorgungseinrichtungen, Parkmöglichkeiten

•Betriebliche Einrichtungen: Büroräume, Besprechungsräume

•Hochsicherheitseinrichtungen: Rechenzentren, Tresore, SCIF

•Präventive Kontrollen: Kontrollen, die das Auftreten von Sicherheitsvorfällen verhindern sollen. Beispielsweise können Zutrittskontrollsysteme, Zäune und Schlösser verhindern, dass Unbefugte die Anlage betreten.

•Bedrohungskontrolle: Durch die Schaffung potenzieller Bedrohungen haben potenzielle Angreifer Angst vor einem Angriff, wodurch die Möglichkeit von Sicherheitsvorfällen verringert wird. Beispielsweise können Sicherheitskameras und Warnschilder potenziellen Angreifern das Gefühl geben, beobachtet zu werden, wodurch die Wahrscheinlichkeit einer Straftat verringert wird.

•Erkennungskontrollen: Kontrollmaßnahmen zur rechtzeitigen Erkennung von Sicherheitsvorfällen. Beispielsweise können Sicherheitskameras, Intrusion-Detection-Systeme (IDS) und Bewegungssensoren unbefugtes Eindringen oder abnormales Verhalten erkennen.

• Kompensierende Kontrollen: Kontrollen, die zusätzlichen Schutz bieten, wenn andere Kontrollen Sicherheitsvorfälle nicht vollständig verhindern oder erkennen können. Beispielsweise kann Sicherheitspersonal zur Durchführung vorübergehender Patrouillen eingesetzt werden, wenn Zutrittskontrollsysteme ausfallen.

Wiederherstellungskontrollen: Kontrollen, die dabei helfen, den normalen Betrieb nach einem Sicherheitsvorfall wiederherzustellen. Beispielsweise können Backup-Generatoren und Disaster-Recovery-Pläne den Betrieb kritischer Anlagen nach einem Vorfall wiederherstellen.

•Richtlinienkontrollen: Kontrolliert das Verhalten innerhalb einer Organisation durch die Vorgabe von Regeln und Verfahren. Beispielsweise können Sicherheitsschulungen, Richtlinien und Betriebsabläufe Mitarbeiter dazu anleiten, sichere Praktiken einzuhalten.

•Korrekturkontrollen: Kontrollen, die Maßnahmen ergreifen, um Schäden zu beheben oder Fehler zu beheben, nachdem ein Sicherheitsvorfall aufgetreten ist. Beispielsweise können Nachuntersuchungen, Sicherheitsüberprüfungen und Korrekturmaßnahmen Unternehmen dabei helfen, Sicherheitsprobleme zu lösen und zu verhindern, dass sich ähnliche Vorfälle wiederholen.

•Physische Kontrollen: Barrieren, Zäune

•Technische Kontrolle: Ausweisleser

•Administrative Kontrollen: Richtlinien und Verfahren

• Nutzen Sie die Landschaftsgestaltung, um physische Sicherheit zu gewährleisten

•Beleuchtung spielt eine wichtige Rolle bei der Abschreckung von kriminellem Verhalten

•Berücksichtigen Sie die Fensterposition und -materialien entsprechend den Sicherheitsanforderungen der Einrichtung

In diesen Einrichtungen sind in der Regel ständig Mitarbeiter stationiert und unterliegen der physischen Sicherheitskontrolle der Organisation. Wir müssen auf Kontrollmaßnahmen wie Brandschutz und Umweltkontrolle achten, um die Sicherheit von Personal und Ausrüstung zu gewährleisten.

•Branderkennung und Feuerlöschung: Richten Sie Brand- und Rauchmeldestraßen ein und nutzen Sie Wassersprühstrahl, Gasfeuerlöschung und andere Methoden, um die Auswirkungen von Bränden auf Personal und Ausrüstung zu reduzieren.

•Zugangskontrolle: Teilen Sie den Zugang zu verschiedenen Bereichen innerhalb der Einrichtung basierend auf den Berechtigungen der Mitarbeiter auf und verwenden Sie Zugangskarten oder Schlösser, um den Zugang zu kontrollieren.

•Richtlinien und Verfahren: Schulen Sie die Mitarbeiter darin, Sicherheitsverfahren wie das Reinigen von Schreibtischen und das Abschließen von Bildschirmen zu befolgen, und entwickeln Sie Notfallevakuierungsmaßnahmen und andere Aspekte. Materialien: Verwenden Sie geeignete Baumaterialien wie Wände, Türen und Fenster entsprechend den Sicherheitsanforderungen, um die Sicherheit zu verbessern.

Zu diesen Einrichtungen gehören häufig Räume zur Aufbewahrung von Beweismitteln, SCIFs (Secure Compartmental Information Facilities) und Serverräume oder Rechenzentren, da dort hochwertige oder sensible Vermögenswerte aufbewahrt werden.

•Hochsicherheitseinrichtungen müssen zusätzliche Sicherheitskontrollmaßnahmen implementieren, wie z. B. die Inspektion der Ein- und Ausgangsausrüstung, mehrstufige physische Zugangskontrolle usw.

•Rechenzentren sind spezielle Hochsicherheitseinrichtungen, deren Konzeption und Wartung spezielle Fähigkeiten erfordern. Diese Einrichtungen erfordern ein höheres Maß an Sicherheit und erfordern häufig ein höheres Sicherheitsbudget.

•Referenzdesignstandards wie die Data Center Thermal Control Guidelines von ASHRAE und die Data Center Equipment Availability Ratings des Uptime Institute.

Wenn Mitarbeiter geschäftlich reisen, sollten Unternehmen ihre Sicherheit gewährleisten, einschließlich der Bereitstellung von Versicherungen, Krankenversicherungen usw. In Hochrisikogebieten müssen möglicherweise zusätzliche Sicherheitsmaßnahmen bereitgestellt werden, beispielsweise Sicherheitspersonal oder sichere Transportmöglichkeiten. Gleichzeitig müssen die Mitarbeiter in der Gerätesicherheit geschult werden, um Unternehmensdaten vor der Offenlegung zu schützen.

Im Notfall müssen sich Unternehmen mit den Notfallbehörden (z. B. Medizin, Feuerwehr, Strafverfolgung usw.) abstimmen. Gleichzeitig müssen Backup-Kommunikationsmethoden entwickelt werden, um kritische Informationen bereitzustellen, wenn normale Kommunikationskanäle blockiert sind. Notfallsituationen erfordern möglicherweise auch die Aktivierung von Geschäftskontinuitäts- und Notfallwiederherstellungsplänen.

Von Nötigung spricht man, wenn ein Mitarbeiter aufgrund von Drohungen gezwungen wird, gegen die Unternehmensrichtlinien zu verstoßen.

Zur Erkennung von Zwangssituationen werden spezielle Zwangscodes bzw. Codewörter verwendet. Diese Codes bzw. Codewörter sollten geheim gehalten und regelmäßig geändert werden. Bieten Sie außerdem Mitarbeitern mit hohem Risiko Schulungen zur Verwendung dieser Codes und Codewörter an.