Incident Response Team - Erste Hilfe bei Cyberangriffen
Darum lohnt sich ein Incident Response Team für den IT-Ernstfall
Bei einem IT-Sicherheitsvorfall sofort richtig zu handeln sowie mögliche Folgen zu beherrschen, ist ein klarer Geschäftsvorteil. Hier kommen Incident Response Teams (IRT) ins Spiel: eine Gruppe von Fachexperten, die darauf spezialisiert ist, schnell und gezielt auf Cyberangriffe, Systemausfälle und Datenverletzungen zu reagieren. Sie haben (noch) kein eigenes Response-Team gebildet? Auf Wunsch übernimmt das IRT von SHD den gesamten Umfang des Vorfalls, einschließlich der Vorbereitung, Reaktion und Wiederherstellung. SHD richtet sich dabei technologisch und organisatorisch nach den Vorgaben für APT-Response-Dienstleister im Sinne §3 BSIG und ist Mitglied im Cyber-Sicherheitsnetzwerk des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Störung oder Sicherheitsvorfall – wo liegt der Unterschied?
IT-Störung | IT-Sicherheitsvorfall | |
---|---|---|
Ursache | technischer Defekt, unbeabsichtigtes (menschliches) Fehlverhalten | kriminelle Cyberangriffe |
Einwirkung Dritter | nein | ja |
Beeinträchtigung / Ausfall | kurzzeitig | langwierig |
Behandlungsaufwand | gering | hoch |
Was tun bei einem Sicherheitsvorfall?
- Ruhe bewahren: Bleiben Sie in Krisensituationen ruhig und bewerten Sie die Situation sachlich, um überstürzte Entscheidungen zu vermeiden. Lehnen Sie die Zahlung von Lösegeld ab, da dies keine Garantie für eine Problemlösung darstellt, zukünftige Angriffe fördern könnte und in vielen Fällen sogar eine Straftat darstellt.
- Response-Team bilden: Stellen Sie ein spezialisiertes Team aus IT-Sicherheitsexperten (inhouse oder extern) zusammen, um eine koordinierte Reaktion auf den Vorfall zu gewährleisten. Die enge Zusammenarbeit dieses Teams stellt schnelle und effektive Maßnahmen sicher.
- Notfall-Server nutzen: Um den Betrieb aufrechtzuerhalten und Datenverlust zu minimieren, schaltet das Team auf Notfall-Server um (falls bei Ihnen vorhanden). Diese Server sind bereits vorbereitet und werden regelmäßig aktualisiert, um im Notfall eine schnelle Wiederherstellung zu ermöglichen.
- Sicherheitslücke isolieren: Das Response-Team identifiziert und isoliert die betroffenen Systeme, um eine weitere Ausbreitung des Vorfalls zu verhindern. Dabei werden Backup-Geräte getrennt und betroffene Geräte vom Netzwerk isoliert.
- Vorfall untersuchen: Eine gründliche Untersuchung wird durchgeführt, um die Ursache des Vorfalls zu ermitteln und zu verstehen, wie der Angriff erfolgte. Dies umfasst die Analyse von Log-Dateien, Systemkonfigurationen und anderen relevanten Daten.
- Prozess dokumentieren: Jeder Schritt des Response-Teams wird sorgfältig festgehalten, damit der Vorfall nachvollziehbar bleibt und für zukünftige Referenzen daraus gelernt werden kann. Diese Dokumentation beinhaltet Details über ergriffene Maßnahmen, festgestellte Schwachstellen und erzielte Ergebnisse.
- Betroffene kontaktieren: Das Team informiert alle betroffenen Parteien über den Vorfall – einschließlich Mitarbeitende, Kunden und Partner. Diese Kommunikation erfolgt klar, transparent und schnell, um Vertrauen zu bewahren und die Betroffenen über notwendige Schritte in Kenntnis zu setzen.
- Vorsorge betreiben: Entwickeln Sie Maßnahmen auf Basis der Vorfallerkenntnisse, um ähnliche Incidents in Zukunft zu verhindern – zum Beispiel durch die Verbesserung von Sicherheitsprotokollen oder regelmäßige Schulungen für Mitarbeitende. Ziehen Sie bei Bedarf externe Sicherheitsspezialisten für diese Maßnahmen hinzu.
Darum kümmert sich unser Incident Response Team
Für die professionelle Analyse stellt unser Response-Team die passende Hardware bereit – von der Monitoring-Firewall zur Prüfung des Netzwerkverkehrs über eine Forensik-Workstation zur leistungsfähigen Beweis-Auswertung bis hin zum Notfall-Laptop, der zu Konfigurationszwecken an die betroffene Umgebung angeschlossen werden kann.
Unser Team für Ihre Sicherheit:
- Einsatzleiter: Der Einsatzleiter übernimmt die Leitung des Incident-Response-Teams. Er hilft bei der Bewältigung der Krisensituation sowie bei der Koordination von Forensik, Bereinigung und Wiederanlauf. Der Einsatzleiter ist verantwortlich für die enge Zusammenarbeit und Kommunikation mit weiteren Dienstleistern, Kunden, Versicherungen und Behörden.
- Security Consultant: Der Security Consultant unterstützt Kunden in der Anforderungsanalyse, beim Design sowie der Implementierung von komplexen Cyber-Security-Lösungen. Er identifiziert Schwachstellen im Unternehmen, entwickelt geeignete Gegenmaßnahmen und setzt diese um.
- Forensiker: Der IRT-Forensiker führt forensische Analysen und Untersuchungen von betroffenen Systemen durch. Er sammelt digitale Beweise und erstellt lückenlose Berichte für das Management und gegebenenfalls für juristische Zwecke.
Deutsches Incident Response Team.
SHD ist Mitglied des DIRT. Das Deutsche Incident Response Team stellt ein deutschlandweites Netzwerk für die IT-Cyberkrisen-Bewältigung dar. Es besteht aus über 50 BSI-Vorfall-Experten und 4.500 IT-Spezialisten in allen Bereichen. Dank regionaler mobiler Notfall-Rechenzentren kann das Netzwerk aus Einsatzleitern und IT-Forensikern schnell vor Ort Hilfe bei der IT-Wiederherstellung leisten.
Incident Response Service von SHD
Die Meldung eines Sicherheitsnotfalls ist 24/7 möglich – die Zusage für einen spontaner IRT-Einsatz erfolgt nach individueller Prüfung. Die Bereitstellung eines Response-Teams kann im Rahmen eines Service-Vertrags zugesichert werden.
Mehr Sicherheit: Soweit im Paket vorgesehen kann die Hälfte des ungenutzten Stundenkontingents nach Ablauf eines Vertragsjahres innerhalb von 3 Monaten in sicherheitsnahe SHD-Dienstleistungen (z.B. Penetrationstests, Security Consulting, Audits o.ä.) umgewandelt werden.
Mehr Support: Beim Wiederaufbau Ihrer Systeme unterstützt Sie SHD auf Wunsch mit den entsprechenden Spezialisten: Microsoft AD, Microsoft Exchange, Backup, Virtualisierung, Netzwerk & Firewall.
Sie haben Interesse? Sprechen Sie uns an!
Sie sind Opfer eines Cyberangriffs?
Für die initiale Meldung eines Sicherheitsvorfalls erreichen Sie unsere 24/7-Hotline* unter:
Alternativ nutzen Sie folgende Mailadresse:
* Anruf kostenfrei aus dem dt. Fest- und Mobilfunknetz. Die Prüfung und Bearbeitung Ihrer Meldung erfolgt unter Berücksichtigung unserer Kapazitäten. Hilfeleistungen für Vertragskunden unseres Hauses haben dabei Vorrang.
Vorsorge statt Ernstfall: zusätzliche Maßnahmen
Im besten Fall kommt das Incident Response Team gar nicht zum Einsatz. Mit Maßnahmen für eine ganzheitliche IT-Security können Sie das Risiko deutlich senken. Wir empfehlen unter anderem…
Autor: Tom Frohmader
Bildquellen: SHD, Shutterstock.com