CAIRO-Programm

CAIRO-Programm

Cyber Attack Investigation and Response Organisation

Unser CAIRO-Programm ist die Antwort auf die immer stärker zunehmenden Bedrohungen der im Unternehmen eingesetzten Informations- und Kommunikationstechnik (IKT) aus dem Cyberraum, sei es durch Krypto-Trojaner wie WannaCry und Petya oder gezielter Attacken auf Ihr Firmennetzwerk:

Wir formen die für Informationssicherheit in Ihrem Haus verantwortlichen Mitarbeiter zu einem professionell und schlagkräftig agierenden Computer Emergency Response Team (CERT).

Die aktuelle Version der ISO/IEC 27001 stammt aus dem Jahr 2013 –
Im Jahr 2013 bildeten das iPhone 4 und das Samsung Galaxy S3 die Königsklasse der Smartphones, der Begriff „Darknet“ war der Öffentlichkeit noch unbekannt.

Sich im Rahmen seiner Cyberverteidigungs-Bemühungen lediglich am  „Stand der Technik“ von 2013 zu orientieren ist angesichts der heutigen Herausforderungen nicht mehr ausreichend.

Das CAIRO-Programm ergänzt die durch die gängigen ISMS-Standards wie ISO/IEC 27001 oder BSI IT-Grundschutz adressierten Themenbereiche um jene Aspekte, bezüglich deren die Normen prinzipbedingt (auf Grund des sehr langen KVP-Zyklus der Normen selbst) mit den immer rasanter fortschreitenden Entwicklungen in der Praxis schlichtweg nicht Schritt halten können.

Die inhaltlichen Schwerpunkte des CAIRO-Programms bilden:

• Desaster Prevention Management
• Defense Condition (DEFCON) Management
• Cyber Defence & Countermeasure Management
• Business Continuity Management
• Desaster Recovery Management

Phase I: Grundausbildung / Schulung

 

Grundausbildung und Schulung Ihrer Mitarbeiter in Strategie und Taktik der Cyberverteidigung („Bootcamp“).

Auszug aus den Schulungs-Inhalten:

• Überblick über die aktuellen typischen Angriffsvektoren
• Kernelemente des Desaster Prevention Managements
• Grundlagen des DEFCON-Managements
• Cyber Defence Management:
  • Ausprägungsformen geeigneter Frühwarnsysteme
  • Umgang mit Informationssicherheits-Ereignissen und -Vorfällen
  • Herausforderung Zero-Day-Exploits
  • Gründe, weshalb ein CERT nicht nach „zivilen“ sondern
    orientiert an militärischen Prinzipien geführt werden sollte

• Business Continuity Management
• Desaster Recovery Management

• Dauer: ca. 2 Monate
• Kriterien der Zielerreichung: Ergebnisse der Lernzielkontrollen (Theorieprüfung)
• Anmerkung: Ihre Mitarbeiter stehen Ihnen während dieser Phase erfahrungsgemäß weiterhin zu ca. 70 – 90% zur Erledigung ihres Tagegeschäfts zur Verfügung.

• Dauer: ca. 3 Monate
• Kriterien der Zielerreichung: Ergebnis der Sensitivitätsanalyse
• Anmerkung: Ihre Mitarbeiter stehen Ihnen während dieser Phase erfahrungsgemäß weiterhin zu ca. 60 – 70% zur Erledigung ihres Tagegeschäfts zur Verfügung.

Phase II: Analyse und Konzeption

Inhalte:

• Neutrale Beurteilung der aktuellen Verteidigungsfähigkeiten und -bereitschaft Ihres CERT unter Berücksichtigung des individuell vorliegenden Schutzbedarfs und der Komplexität der eingesetzten IKT
• Identifikation der Schwachstellen der Verteidigung
• Konzeption der zukünftigen IKT-Ausprägung und CERT-Organisation:
  Strategische Systemarchitektur, Kompetenzen und Verantwortlichkeiten, Ausrüstung, Kommunikation, Meldewesen, Standardprotokolle, Zeitvorgaben etc.

Phase III: Umsetzung

Inhalte:

• Umsetzung der in Phase II erarbeiteten Maßnahmen
• Prüfung der Zielerreichung – Erforderlichenfalls Nachbesserung
• Intensives Lernen und Einüben der festgelegten Standardroutinen

Die acht CAIRO-Standard-Rollen im Cyber Defense Center (CDC)

• Dauer: ca. 2 Monate
• Kriterien der Zielerreichung: Fehlerfreie Ausführung aller definierten Standardprotokolle innerhalb der Vorgabezeiten und unter sachgerechter Nutzung der zur Verfügung stehenden Ausrüstung
• Anmerkung: Ihre Mitarbeiter stehen Ihnen während dieser Phase erfahrungsgemäß weiterhin zu ca. 70 – 90% zur Erledigung ihres Tagegeschäfts zur Verfügung.

• Dauer: [kontinuierliche Aktivität temporärer Natur]
• Kriterien der Zielerreichung: Fehlerfreie Reaktion innerhalb der festgelegten Toleranzzeiten unter optimalem Einsatz der zur Verfügung stehenden Ausrüstung und Ressourcen
• Anmerkung: Ihre Mitarbeiter stehen Ihnen während der Übungen für anderweitige Tätigkeiten nicht zur Verfügung.

Phase IV: Training

Inhalte:

• Erstellung Übungsplan: Durchführung regelmäßiger Notfall- und Krisensimulationen mit unterschiedlichsten Szenarien
• Sowohl in Form angekündigter als auch unangekündigter Übungen
• Ergebniskontrolle – Erforderlichenfalls Nachbesserung („Lessons learned“) und umgehende Wiederholung des Szenarios

Phase V: Kontinuierliche Verbesserung

Inhalte:

• Implementierung einer kontinuierlichen Schwachstellenanalyse
• Gezielte Suche nach Optimierungspotenzialen in den Standardprotokollen
• Stetige Reduzierung der maximal zulässigen Reaktionszeiten

 

• Dauer: [kontinuierliche Aktivität temporärer Natur]
• Kriterien der Zielerreichung: Gut ist nicht gut genug – Es geht immer besser.

Phase VI Optional: CAIRO-Zertifizierung

Auf Wunsch auditieren wir Ihr CERT gegen die definierten CAIRO-Anforderungen nach den Vorgaben der ISO/IEC 19011 in Verbindung mit der ISO/IEC 17021 Kapitel 9 Anforderungen an Prozesse – insbesondere Kapitel 9.3 Erstzertifizierung, 9.4 Durchführen von Audits, 9.5 Zertifizierungsentscheidung, 9.6 Aufrechterhaltung der Zertifizierung – in folgendem Zertifizierungszyklus:

• (Erst-)Zertifizierungsaudit: Jahr 0
• Überwachungsaudit 1: Jahr 1
• Überwachungsaudit 2: Jahr 2
• (Re-)Zertifizierungsaudit: Jahr 3