Wer selbst schon einmal Opfer eines IT-Sicherheitsvorfalls war, mag den Begriff bereits gehört haben oder sich sogar schon mit einem Incident Response Team ausgetauscht haben. Doch was qualifiziert sich als Sicherheitsvorfall und wie sieht so ein Response Team eigentlich aus? Dieser Artikel behandelt die Phasen eines Incidents, den Aufbau eines IR-Teams, sowie das Thema Krisenmanagement und Kommunikation.
Der Inhalt im Überblick
Incident Response: Was steckt dahinter?
Unter dem Begriff Incident Response (kurz IR, Vorfallsreaktion) versteht man einen strukturierten Prozess, der der Handhabung von sicherheitsrelevanten Vorfällen in der IT-Welt dient.
Ziel des Ganzen ist es, sowohl aktive Angriffe und Bedrohungen auf Computersysteme und Netzwerke zu bekämpfen als auch dafür zu sorgen, dass die Auswirkungen minimiert und im Nachgang die Systeme wieder problemlos in Betrieb genommen werden können. Gleichzeitig sorgt das Auffinden von Schwachstellen im Rahmen der Analyse der Vorbeugung von künftigen Sicherheitsvorfällen.
Das dafür zuständige IR-Team kann dabei sowohl ein Internes sein, was eher bei größeren Unternehmen der Fall ist, oder als externer Dienstleister hinzugezogen werden. Bei externen IR-Dienstleistern gibt es oft die Möglichkeit sich spontan im Notfall an ein Team zu wenden, oder sich bereits in weiser Voraussicht darum zu kümmern. Dabei kommt normalerweise eine Art von Rahmenvertrag zum Einsatz. Das ermöglicht dem externen IR-Team die Infrastruktur des Kunden bereits vor einem Vorfall kennenzulernen und sich somit besser auf künftige Vorfälle vorbereiten zu können. Dadurch können die einzelnen Phasen des Incidents deutlich schneller behandelt und damit der mögliche Schaden gering gehalten werden.
Phasen eines Incidents
Im Grunde bestehen ein Incident und damit auch die Reaktion darauf aus mehreren Phasen:
Vorbereitung auf einen It-Sicherheitsvorfall
Als eine der wichtigsten Phasen gilt die Vorbereitungsphase. Dabei wird die Basis für einen erfolgreichen IR-Einsatz, welcher in der Zukunft liegen könnte, geschaffen. Es werden Richtlinien, unterschiedliche Tools, Verfahren und Technologien elaboriert und ausgewählt. Im besten Fall passiert dieser Schritt lange vor einem Sicherheitsvorfall und beinhaltet auch Maßnahmen wie Awareness-Schulungen von Mitarbeiter:innen sowie die Erstellung eines Incident-Response-Notfallplans. Ziel dieser Phase ist es, ein Unternehmen bestmöglich auf einen Sicherheitsvorfall vorzubereiten.
Identifikation sicherheitsrelevanter Ereignisse
Etwas weiter in der Zukunft angesiedelt, beschäftigt sich die Identifikationsphase damit, ab wann ein Sicherheitsvorfall eben als ein solcher kategorisiert wird oder eben nicht. Anomalien in diversen Monitoring Umgebungen sind nicht immer ein Grund, einen Sicherheitsvorfall auszurufen, bestimmte Anomalien sind es jedoch schon. Es ist daher für diesen Schritt relevant, dass Überwachungssysteme, SIEM-Tools (Security Information and Event Management), vorhanden sind und Bedrohungen von alltäglichen Anomalien effizient unterscheiden können. Ebenfalls wichtig ist auch, dass eine möglichst nahtlose und umfängliche Sammlung von Protokolldateien gesammelt wird, damit Analysten bei einem Vorfall Anomalien richtig zuordnen können, um zu bestimmen, ob ein Vorfall vorliegt.
Eindämmung bereits entstandener Schäden
Wurde eine Anomalie als Sicherheitsvorfall identifiziert, ist es dann wichtig, den bereits entstandenen Schaden schnell zu begrenzen und eine weitere Ausbreitung zu verhindern. Diese Eindämmung kann dabei in zwei Stufen erfolgen.
- Kurzfristige Eindämmung:
Maßnahmen, die der sofortigen Eindämmung des Vorfalls dienen. Ein Beispiel wäre das Trennen infizierter Systeme vom Netzwerk, um die Verbreitung zu unterbinden und noch aktive Angreifer aus dem System effektiv auszusperren. - Langfristige Eindämmung:
Maßnahmen, die einer vollständigen Analyse dienen und damit sicherstellen, dass weitere Bedrohungen ausgeschlossen werden können, bevor betroffene Systeme wieder online gehen können.
Beseitigung der Bedrohung
Dabei wird die Ursache des Vorfalls nach der Beseitigung der Gefahr identifiziert und vollständig beseitigt. Hierbei muss auch großflächig nach potenziellen Backdoors (= vom Angreifer eingeschleuste Möglichkeiten, über welche dieser wieder Zugang erlangen könnten), sowie Überresten von Malware und Schwachstellen gesucht werden.
Wiederherstellung der Systeme
Bei der Wiederherstellungsphase werden die bereinigten Systeme in den alltäglichen Betrieb integriert. Hierbei ist besonders wichtig, nach einem geplanten und kontrollierten Ansatz vorzugehen, um sicherzustellen, dass wirklich alle Bedrohungen effektiv beseitigt wurden. Gleichzeitig ist es wichtig, eine anschließende Überwachung der bereinigten Systeme zu gewährleisten, um mögliche erneute Anomalien direkt aufspüren zu können.
Lessons learned
Nach der Wiederherstellungsphase ist es wichtig, eine detaillierte Analyse des Falles vorzunehmen, um zu verstehen, was passiert und wie gut die anfangs festgelegten Incident Response Maßnahmen funktioniert haben. Diese Phase ist besonders wichtig für die kontinuierliche Verbesserung der Sicherheitsstrategie im Unternehmen und der Reaktionsfähigkeit für künftige Sicherheitsvorfälle.
Doch wer ist für die nahtlose Aufklärung eines Sicherheitsvorfalls zuständig?
Zusammensetzung des Incident Response Teams
Das Incident Response Team, in Unternehmen auch als Computer Security Incident Response Team (CSIRT) bekannt, ist eine spezialisierte Gruppe entweder innerhalb eines Unternehmens oder auch als externer, eigenständiger Dienstleister. Das Team besteht in der Regel aus IT-Sicherheitsexperten, die mithilfe von eigens für die forensische Analyse entwickelten Tools nach Anomalien suchen und daraus sogenannte Indicators of Compromise (IoC) erstellen.
Ein IR-Team besteht üblicherweise aus vielen möglichen Rollen, die auch teilweise überschneidend sind und je nach Bedarf ergänzend gewählt werden können.
Zu den üblichen Standardrollen gehören folgende:
- Incident Manager
Zentrale Rolle im Team; leitet und koordiniert den Einsatz. - Security Analyst
Forensische Analysen der Logs zur Identifizierung der Vorfallsursache. - Threat Intelligence Specialist
Sammlung und Auswertung von Bedrohungsdaten, Erkennung von Trends in der allgemeinen Bedrohungslandschaft und Identifizierung der Angriffsmethodik. - Systemadministrator
Implementierung von Sofortmaßnahmen zur Eindämmung des Vorfalls; Wiederherstellung der betroffenen IT-Systeme nach der Bereinigung. - Kommunikationsspezialist
Koordination der internen und externen Kommunikation während eines Vorfalls; sowohl mit Mitarbeitenden, Kunden, Medien als auch mit den Angreifern, sollte es zu einer Verhandlung mit den Erpressern kommen. - Malware-Analyst
Spezialist für Analyse und Dekodierung von Malware zur Bestimmung der Funktionsweise und Angriffsstrategie eben dieser. - Rechtsexperte / Datenschutzbeauftragter
Sicherstellung der Einhaltung gesetzlicher Vorgaben und regulatorischer Anforderung; Abwägung der rechtlichen Konsequenzen eines Angriffs, sowie Einschätzung von meldepflichtigen Fällen.
Je nach Sicherheitsvorfall variiert die Zusammensetzung der Rollen. So ist in vielen Fällen die Analyse einer Malware eher weniger wichtig als die Wiederinbetriebnahme der Systeme.
Ebenso ist nicht immer ein Kommunikationsspezialist notwendig, während in anderen Fällen hier nicht genannte Rollen herangezogen werden müssen.
Krisenmanagement während des IT-Sicherheitsvorfalls
Unter Krisenmanagement versteht sich der strukturierte und koordinierte Prozess zur Bewältigung von kritischen IT-Sicherheitsvorfällen, welche den Betrieb eines Unternehmens erheblich beeinträchtigen können.
Dabei umfasst es die Themen Planung, Organisation, Kontrolle und Durchführung von Maßnahmen, die erforderlich sind, um die Auswirkungen von IT-bezogenen Krisen zu minimieren und den normalen Geschäftsbetrieb so schnell wie möglich wiederherzustellen.
Als Krisen können Cyberangriffe, Systemausfälle, Datenverluste, Naturkatastrophen oder andere unvorhergesehene Ereignisse definiert werden.
Die Ziele des Krisenmanagements spiegeln sich in den Phasen eines Incident Responses wider, da diese Hand in Hand gehen. Eine besondere Rolle nimmt jedoch die Krisenkommunikation ein. Hier geht es um die Kommunikation des Vorfalls nach außen, nach innen und sogar gegebenenfalls mit den Angreifern.
Kommunikation nach außen
Die Kommunikation nach außen kann bedeuten, den Vorfall – sofern dieser nicht nach außen hin verschwiegen werden kann – so schonend wie möglich an etwa Medien oder Geschäftspartner weiterzutragen und dabei zwar die potenziellen Auswirkungen zu benennen, jedoch nicht für Panik zu sorgen.
Es kann auch bedeuten, mit Ermittlungsbehörden Kontakt aufzunehmen, sollte dies notwendig sein, oder aber – sollte Datenabfluss stattgefunden haben – eine Meldung an die zuständigen Aufsichtsbehörden zu verfassen. Hierfür ist er vorteilhaft, Rechtsexperten im Team zu haben, damit die Meldung möglichst korrekt formuliert wird.
Kommunikation nach innen
Die Kommunikation nach innen kann bedeuten, den Vorfall möglichst schonend an Mitarbeitende heranzutragen und auch dort dafür zu sorgen, wichtige Informationen zwar weiterzugeben, jedoch keine Unruhe zu erzeugen.
Kommunikation mit Angreifern
Die Kommunikation mit den Angreifern nimmt einen besonderen Stellenwert ein. Dieser Fall tritt in der Regel nur auf, wenn ein Unternehmen Opfer einer Ransomware-Attacke geworden ist, bei der am Ende eine Ransomnote vorliegt, bei dem Angreifer einen Kotaktaufbau zum Opfer verlangen. Hier ist es wichtig, einen erfahrenen Kommunikationsspezialisten zu haben, der weiß auf welche Weise er beim direkten Chat mit den Angreifern entweder Zeit gewinnen kann oder die Summe herunterhandeln kann.
Auf den Notfall vorbereitet sein
Es zeigt sich also, dass ein Sicherheitsvorfall fast immer eine komplizierte Angelegenheit ist, der einen Rattenschwanz an Aufgaben mit sich zieht. Eine effiziente Vorbereitung ist daher wichtig, um schnell reagieren und das operative Geschäft wieder aufnehmen zu können. Ob das Unternehmen ein internes Incident Response Team hat, oder einen IR-Dienstleister seines Vertrauens beauftragt, ist generell zweitrangig. Das Wichtigste ist es, sich damit möglichst früh auseinander zu setzen.