Was ist Incident Response?
Erfahren Sie, wie Unternehmen Cyberangriffe mithilfe effizienter Incident Response erkennen, bekämpfen und stoppen können.
Einfach erklärt: Incident Response
Vor der Ausarbeitung eines Incident-Response-Plans ist es wichtig, den Begriff "Incident" zu verstehen. In der IT gibt es drei Begriffe, die zwar gelegentlich synonym verwendet werden, aber unterschiedliche Bedeutungen haben:
- Ein Ereignis ist eine harmlose, aber häufige Aktion wie das Erstellen einer Datei, das Löschen eines Ordners oder das Öffnen einer E-Mail. Ein einzelnes Ereignis deutet nicht unbedingt auf eine Sicherheitsverletzung hin, aber zusammen mit anderen Ereignissen kann es eine Bedrohung darstellen.
- Eine Warnung ist eine Benachrichtigung, die durch ein Ereignis ausgelöst wird, und kann (muss aber keine) Bedrohung darstellen.
- Ein Incident entspricht einer Reihe korrelierter Warnungen, die von Menschen oder Automatisierungstools als echte Bedrohung eingestuft wurden. Eine einzelne Warnung mag nicht besonders bedrohlich erscheinen, aber in Kombination mit anderen Warnungen weist sie auf eine mögliche Sicherheitsverletzung hin.
Incident Response beschreibt die Maßnahmen, die ein Unternehmen bei einem mutmaßlichen Verstoß gegen IT-Systeme oder Daten ergreift. Sicherheitsverantwortliche werden beispielsweise tätig, wenn sie Hinweise auf unbefugte Benutzer, Schadsoftware oder unzureichende Sicherheitsmaßnahmen erkennen.
Eine solche Reaktion hat den Zweck, einen Cyberangriff schnellstmöglich abzuwehren, Daten wiederherzustellen, Kunden oder Behörden gemäß nationalen Gesetzen zu benachrichtigen und herauszufinden, wie sich das Risiko einer ähnlichen Sicherheitsverletzung künftig verringern lässt.
Incident Response – so funktioniert's
Die Incident Response setzt in der Regel ein, wenn das Sicherheitsteam eine vertrauenswürdige Meldung von einem SIEM-System (Security Information and Event Management) erhält.
Die Teammitglieder müssen prüfen, ob es sich bei dem Ereignis um einen Incident handelt, und dann die infizierten Systeme isolieren und die Bedrohung beseitigen. Wenn ein schwerwiegender oder lang anhaltender Incident festgestellt wird, müssen Unternehmen möglicherweise gesicherte Daten wiederherstellen, eine Lösegeldzahlung erwägen oder Kunden darüber informieren, dass ihre Daten kompromittiert wurden.
Aus diesem Grund werden neben dem Cybersicherheitsteam auch andere Personen aktiv. Datenschutzexperten, Anwälte und Entscheidungsträger legen gemeinsam die Vorgehensweise des Unternehmens bei einem Incident und dessen möglichen Folgen fest.
Die Arten von Sicherheitsincidents
Angreifer nutzen verschiedene Methoden, um auf die Daten eines Unternehmens zuzugreifen oder dessen Systeme und Geschäftsabläufe auf andere Weise zu manipulieren. Die häufigsten Taktiken sind:
-
Phishing
Phishing ist eine Form des Social Engineering, bei der sich ein Angreifer per E-Mail, SMS oder Telefonanruf als seriöses Unternehmen oder vertrauenswürdige Person ausgibt. Bei einem typischen Phishing-Angriff wird versucht, die Empfänger zum Herunterladen von Schadsoftware oder zur Eingabe ihres Kennworts zu bewegen. Die Angreifer nutzen das Vertrauen der Menschen aus und setzen psychologische Tricks wie Verunsicherung ein, um eine menschliche Handlung hervorzurufen. Viele dieser Angriffe richten sich ziellos an Tausende von Menschen, in der Hoffnung, dass eine Person darauf reagiert. Bei einer raffinierteren Variante, dem so genannten Spear-Phishing, werden jedoch fundierte Nachforschungen angestellt, um eine überzeugende Nachricht für eine einzelne Person zu verfassen. -
Schadsoftware
Als Schadsoftware wird Software bezeichnet, die darauf abzielt, ein Computersystem zu schädigen oder Daten zu exfiltrieren. Es gibt viele Erscheinungsformen wie Viren, Ransomware, Spyware und trojanische Pferde. Böswillige Akteure installieren Schadsoftware, indem sie Sicherheitsrisiken in Hard- und Software ausnutzen oder eine firmenangehörige Person mithilfe von Social-Engineering-Techniken zur Installation überreden.
-
Ransomware
Bei einem Ransomware-Angriff verschlüsseln Angreifer wichtige Daten und Systeme mithilfe von Schadsoftware und drohen dann mit der Veröffentlichung oder Zerstörung der Daten, wenn kein Lösegeld gezahlt wird.
-
Denial-of-Service
Bei einem DDoS-Angriff (Denial-of-Service) überschwemmt ein Bedrohungsakteur ein Netzwerk oder ein System mit Datenverkehr, um es lahmzulegen oder zum Absturz zu bringen. In der Regel haben es Angreifer auf namhafte Unternehmen wie Banken oder Behörden abgesehen, um sie zeitlich und finanziell in Schwierigkeiten zu bringen. Doch Unternehmen jeder Größe können zum Ziel eines solchen Angriffs werden.
-
Man in the Middle
Cyberkriminelle nutzen eine weitere Methode zum Ausspähen personenbezogener Daten, indem sie sich in eine Onlineunterhaltung zwischen Personen einschalten, die privat miteinander zu kommunizieren glauben. Nachrichten werden abgefangen, kopiert oder verändert, bevor sie den Empfänger erreichen. Auf diese Weise versuchen Angreifer, Gesprächsteilnehmer zu manipulieren und sich wertvolle Informationen zu erschleichen.
-
Insiderbedrohung
Obwohl die meisten Angriffe von externen Personen ausgehen, müssen Sicherheitsteams in Unternehmen auch nach Insiderbedrohungen Ausschau halten. Beschäftigte und andere Personen, die rechtmäßig auf eingeschränkte Ressourcen zugreifen, können versehentlich oder manchmal auch absichtlich vertrauliche Daten weitergeben.
-
Unbefugte Zugriffe
Viele Sicherheitsverletzungen beginnen mit gestohlenen Kontodaten. Ganz gleich, ob böswillige Akteure Kennwörter über eine Phishing-Kampagne ausspähen oder ein gängiges Kennwort erraten – sobald sie Zugriff auf ein System haben, können sie Schadsoftware installieren, das Netzwerk auskundschaften oder Berechtigungen ausweiten, um sich Zugang zu vertraulicheren Systemen und Daten zu verschaffen.
Was ist ein Incident-Response-Plan?
Bei der Incident Response müssen Teams effizient zusammenarbeiten, um Bedrohungen abzuwehren und gesetzliche Vorschriften einzuhalten. In einer solchen Stresssituation kann man leicht die Nerven verlieren und Fehler machen. Deshalb erarbeiten viele Unternehmen einen Incident-Response-Plan. Der Plan enthält neben Rollen und Verantwortlichkeiten auch die Schritte, die für die adäquate Beseitigung, Dokumentation und Meldung eines Vorfalls erforderlich sind.
Die Bedeutung eines Incident-Response-Plans
Ein schwerwiegender Angriff schädigt nicht nur den Geschäftsbetrieb, sondern auch den Firmenruf gegenüber Kunden und der Öffentlichkeit und kann sogar rechtliche Konsequenzen haben. Alle Details eines Vorfalls wirken sich auf die Gesamtfolgen aus, z. B. wie schnell das Sicherheitsteam auf den Angriff reagiert und wie Führungskräfte den Vorfall öffentlich kommentieren.
Unternehmen, die Schäden vor Kunden und Behörden verbergen bzw. eine Bedrohung nicht ernst nehmen, verstoßen ggf. gegen geltende Vorschriften. Solche Probleme treten häufiger auf, wenn die Beteiligten über keinen Plan verfügen. In der Hektik des Augenblicks besteht die Gefahr, dass Menschen aus Unsicherheit vorschnelle Entscheidungen treffen, die dem Unternehmen schaden.
Ein durchdachter Plan zeigt den Mitarbeitenden auf, was sie in den einzelnen Angriffsphasen zu tun haben, sodass sie nicht unüberlegt handeln müssen. Außerdem kann das Unternehmen Fragen der Öffentlichkeit nach der Wiederherstellung präzise beantworten und Kunden versichern, dass der Vorfall ernst genommen und die notwendigen Schritte unternommen wurden, um schlimmere Folgen abzuwenden.
Die Schritte eines Incident-Response-Plans
Es gibt immer mehrere Möglichkeiten, um auf Vorfälle zu reagieren. Viele Unternehmen verlassen sich auf eine Normungsorganisation für Informationssicherheit, um die genaue Vorgehensweise festzulegen. SysAdmin Audit Network Security (SANS) ist eine private Organisation, die den unten dargestellten 6-stufigen Reaktionsplan erarbeitet hat. Viele Unternehmen orientieren sich beim Umgang mit Incidents auch am NIST-Framework (National Institute of Standards and Technology).
- Vorbereitung – Um Vorfälle zu vermeiden, müssen Sicherheitsrisiken minimiert sowie Sicherheitsrichtlinien und -verfahren festgelegt werden. In der Vorbereitungsphase führen die Unternehmen eine Risikobewertung durch, um Schwachstellen zu ermitteln und Prioritäten zu setzen. In dieser Phase werden Sicherheitsverfahren ausgearbeitet und präzisiert, Rollen und Zuständigkeiten festgelegt sowie Systeme aktualisiert, um Risiken zu verringern. Die meisten Unternehmen überdenken regelmäßig die Schritte dieser Phase und optimieren Richtlinien, Verfahren und Systeme, während sie neue Erkenntnisse gewinnen bzw. Technologien sich weiterentwickeln.
- Bedrohungserkennung – An manchen Tagen kann ein Sicherheitsteam Tausende von Warnungen erhalten, die auf verdächtige Aktivitäten hinweisen. Einige davon sind falsch-positiv oder nicht schwerwiegend genug, um als Incident qualifiziert zu werden. Nachdem ein Incident erkannt wurde, untersucht das Team die vorliegende Sicherheitsverletzung und dokumentiert die Ergebnisse, einschließlich des Urhebers, der Angriffsmethode und der Angriffsziele. In dieser Phase muss das Team auch die Beteiligten informieren und die nächsten Schritte bekannt geben.
- Eindämmung der Bedrohung – Die nächste Priorität besteht darin, eine Bedrohung schnellstmöglich einzudämmen. Je länger böswillige Akteure Zugang haben, desto mehr Schaden können sie anrichten. Das Sicherheitsteam arbeitet daran, angegriffene Anwendungen oder Systeme schnell vom übrigen Netzwerk zu isolieren. Dadurch wird verhindert, dass Angreifer auf andere Unternehmensbereiche zugreifen können.
- Beseitigung der Bedrohung – Sobald die Eindämmung erfolgreich war, verbannt das Team den Angreifer und jegliche Schadsoftware aus den betroffenen Systemen und Ressourcen. Dabei kann es erforderlich sein, Systeme offline zu schalten. Das Team hält die Beteiligten auch weiterhin über die Fortschritte auf dem Laufenden.
- Wiederherstellung und Rückgewinnung – Die Wiederherstellung nach einem Incident kann mehrere Stunden dauern. Sobald die Bedrohung beseitigt wurde, stellt das Team den Systembetrieb wieder her, holt Daten aus Sicherungskopien zurück und überwacht die betroffenen Bereiche, damit sich der Angriff nicht wiederholt.
- Feedback und Verbesserung – Nachdem der Vorfall beseitigt wurde, bespricht das Team die Ereignisse und ermittelt mögliche Prozessverbesserungen. Die Erkenntnisse aus dieser Phase helfen dem Team, die Abwehr im Unternehmen zu stärken.
Was ist ein Incident-Response-Team?
Ein Incident-Response-Team, das auch als CSIRT- (Computer Security Incident Response Team), CIRT- (Cyber Incident Response Team) oder CERT-Team (Computer Emergency Response Team) bezeichnet wird, ist eine fachübergreifende Gruppe von Personen, die im Unternehmen für die Umsetzung des Incident-Response-Plans zuständig sind. Dazu gehören neben Fachleuten für die Bedrohungsabwehr auch Personen, die geschäftliche oder rechtliche Entscheidungen rund um einen Vorfall treffen. Ein solches Team setzt sich normalerweise wie folgt zusammen:
Ein Incident-Response-Manager, der häufig die IT-Abteilung leitet, überwacht alle Reaktionsschritte und hält die internen Beteiligten auf dem Laufenden.
Sicherheitsanalysten untersuchen den Vorfall, um die Ereignisse zu verstehen. Außerdem dokumentieren sie ihre Ergebnisse und sammeln forensische Beweise.
Bedrohungsexperten beleuchten die Situation außerhalb des Unternehmens, um zusätzliche Kontextinformationen zu sammeln.
Ein Mitglied der Geschäftsleitung, z. B. ein Chief Information Security Officer oder ein Chief Information Officer, erteilt Weisungen und dient als Verbindungsglied zu anderen Führungskräften.
Fachleute aus der Personalabteilung unterstützen die Abwehr von Insiderbedrohungen.
Die Rechtsabteilung berät das Team in Haftungsfragen und stellt sicher, dass forensische Beweise gesammelt werden.
- PR-Fachleute koordinieren die externe Kommunikation mit den Medien, Kunden und anderen Interessengruppen.
Ein Incident-Response-Team kann dem Security Operations Center (SOC) untergeordnet sein, das über die Incident Response hinausgehende Sicherheitsaufgaben übernimmt.
Incident-Response-Automatisierung
In den meisten Unternehmen generieren Netzwerke und Sicherheitslösungen weitaus mehr Sicherheitswarnungen, als das Incident-Response-Team bewältigen kann. Um sich auf ernsthafte Bedrohungen zu konzentrieren, vertrauen viele Unternehmen auf die Incident-Response-Automatisierung. Die Automatisierung nutzt KI und Machine Learning, um Warnungen einzustufen, Vorfälle zu identifizieren und Bedrohungen zu beseitigen. Dabei wird ein Playbook umgesetzt, das auf programmgesteuerten Skripts basiert.
Security Orchestration Automation and Response (SOAR) ist eine Kategorie von Sicherheitstools, die Unternehmen zur Incident-Response-Automatisierung einsetzen. Diese Lösungen umfassen die folgenden Funktionen:
Korrelieren von Daten zwischen mehreren Endpunkten und Sicherheitslösungen, um Vorfälle zu identifizieren, denen Menschen auf den Grund gehen können
Ausführen eines vorgefertigten Playbooks, um bekannte Incidenttypen zu isolieren und zu beseitigen
Erstellen eines Untersuchungszeitplans, der Aktionen, Entscheidungen und forensische Beweise für Analysezwecke enthält
Einbinden relevanter externer Informationen für menschengesteuerte Analysen
Umsetzen eines Incident-Response-Plans
Die Ausarbeitung eines Incident-Response-Plans mag eine Herausforderung sein, kann aber das Risiko, dass Ihr Unternehmen einem größeren Vorfall unvorbereitet gegenübersteht, erheblich verringern. So erstellen Sie Ihren Plan:
-
Ressourcen erkennen und priorisieren
Für Ihren Incident-Response-Plan müssen Sie zunächst in Erfahrung bringen, was geschützt werden soll. Dokumentieren Sie kritische Unternehmensdaten, und geben Sie an, wo sie gespeichert sind und welche Bedeutung sie für das Unternehmen haben.
-
Mögliche Risiken ermitteln
Jedes Unternehmen ist anderen Risiken ausgesetzt. Machen Sie sich mit den größten Sicherheitsrisiken im Unternehmen vertraut, und prüfen Sie mögliche Angriffswege.
-
Reaktionsmaßnahmen festlegen
Bei einem schwerwiegenden Incident tragen klare Verfahrensschritte erheblich dazu bei, den Vorfall schnell und effektiv zu beseitigen. Definieren Sie zunächst, was als Incident eingestuft wird, und legen Sie dann die Schritte fest, die Ihr Team zur Erkennung, Isolierung und Beseitigung des Vorfalls unternehmen sollte. Dazu zählen auch die Dokumentation von Entscheidungen und die Sammlung von Beweisen.
-
Incident-Response-Team aufstellen
Bilden Sie ein fachübergreifendes Team, das mit den Reaktionsmaßnahmen vertraut ist und bei einem Vorfall eingreifen kann. Definieren Sie klare Rollen, und berücksichtigen Sie dabei auch nicht-technische Rollen, die bei Kommunikations- und Haftungsentscheidungen helfen können. Nehmen Sie eine Person in das Führungsteam auf, die sich auf höchster Unternehmensebene für das Team und seine Bedürfnisse einsetzt.
-
Kommunikationsplan definieren
Ein Kommunikationsplan verhindert Spekulationen darüber, wann und wie andere interne und externe Personen über die Geschehnisse informiert werden sollen. Überlegen Sie anhand verschiedener Szenarien, unter welchen Umständen Führungskräfte, das gesamte Unternehmen, Kunden, die Medien oder andere externe Interessengruppen informiert werden müssen.
-
Beschäftigte schulen
Böswillige Akteure nehmen Menschen auf allen Unternehmensebenen ins Visier. Deshalb ist es wichtig, dass alle Mitarbeitenden den Reaktionsplan kennen und wissen, was zu tun ist, wenn sie mutmaßlich Opfer eines Angriffs geworden sind. Überprüfen Sie regelmäßig, ob Ihre Beschäftigten Phishing-E-Mails zuverlässig erkennen, und erleichtern Sie ihnen Meldungen beim Incident-Response-Team, wenn versehentlich ein falscher Link angeklickt oder eine infizierte Anlage geöffnet wurde.
Incident-Response-Lösungen
Um Ihr Unternehmen vor Bedrohungen zu schützen, müssen Sie auf größere Vorfälle vorbereitet sein. Der Einsatz eines internen Incident-Response-Teams gibt Ihnen das sichere Gefühl, für Angriffe böswilliger Akteure gerüstet zu sein.
Profitieren Sie von SIEM- und SOAR-Lösungen wie Microsoft Sentinel, die Ihnen die automatisierte Erkennung und Reaktion auf Vorfälle erleichtern. Unternehmen mit wenig Fachpersonal können ihre Teams durch Dienstleister aufstocken, die mehrere Incident-Response-Phasen abdecken können. Aber unabhängig davon, ob Sie internes oder externes Personal für die Incident Response einsetzen, sollten Sie einen Plan haben.
Weiterführende Informationen zu Microsoft Security
Microsoft Threat Protection
Erkennen Sie Vorfälle in Ihrem Unternehmen, und reagieren Sie mit aktuellem Bedrohungsschutz.
Microsoft Sentinel
Spüren Sie komplexe Bedrohungen auf, und reagieren Sie zielgenau mit einer leistungsstarken SIEM-Lösung – unterstützt von der Cloud und KI.
Microsoft Defender XDR
Stoppen Sie Angriffe über Endpunkte, E-Mails, Identitäten, Anwendungen und Daten hinweg.
Häufig gestellte Fragen
-
Incident Response umfasst alle Maßnahmen, die ein Unternehmen zur Beseitigung einer mutmaßlichen Sicherheitsverletzung ergreift. Das Ziel besteht darin, Angreifer so schnell wie möglich zu entlarven und zu isolieren, Datenschutzbestimmungen einzuhalten und Daten mit geringen Verlusten für das Unternehmen wiederherzustellen.
-
Ein fachübergreifendes Team ist für die Incident Response zuständig. Die IT-Abteilung ist in der Regel für die Erkennung, Isolierung und Beseitigung von Bedrohungen verantwortlich, doch Incident Response umfasst mehr als das Aufspüren und Beseitigen böswilliger Akteure. Je nach Art des Angriffs muss jemand eine geschäftliche Entscheidung treffen, z. B. wie mit einer Lösegeldforderung umzugehen ist. Rechtsberater und PR-Fachleute tragen dazu bei, dass Unternehmen Datenschutzgesetze einhalten sowie Kunden und Behörden in angemessener Weise in Kenntnis setzen. Wenn die Bedrohung von einer firmenangehörigen Person ausgeht, berät die Personalabteilung über geeignete Maßnahmen.
-
CSIRT ist eine andere Bezeichnung für ein Incident-Response-Team. Es handelt sich um ein fachübergreifendes Team, das für alle Incident-Response-Schritte verantwortlich ist, einschließlich Erkennung, Isolierung und Beseitigung von Bedrohungen, Wiederherstellung, interner und externer Kommunikation, Dokumentation und forensischer Analyse.
-
Die meisten Unternehmen verwenden eine SIEM- oder SOAR-Lösung, um Bedrohungen zu erkennen und abzuwehren. Durch diese Lösungen werden in der Regel Daten aus mehreren Systemen aggregiert, um echte Bedrohungen auf der Basis von Machine Learning zu erkennen. Darüber hinaus lässt sich die Abwehr bestimmter Bedrohungen durch vordefinierte Playbooks automatisieren.
-
Der Incident-Response-Lebenszyklus umfasst sechs Phasen:
- Die Vorbereitung erfolgt vor Bekanntwerden eines Vorfalls. Dabei wird definiert, was die Organisation als Incident einstuft, und mit welchen Richtlinien und Verfahren ein Angriff verhindert, aufgedeckt, beseitigt und abgewehrt werden kann.
- Die Bedrohungserkennung ist ein Prozess, bei dem sowohl menschengesteuerte Analysen als auch Automatisierung eingesetzt werden, um ernstzunehmende Bedrohungen in Ereignissen zu identifizieren.
- Die Eindämmung von Bedrohungen umfasst Maßnahmen, mit denen das Team Bedrohungen isoliert und deren Ausweitung auf andere Unternehmensbereiche verhindert.
- Die Beseitigung von Bedrohungen umfasst Schritte zur Verbannung von Schadsoftware und Angreifern aus einem Unternehmen.
- Wiederherstellung und Rückgewinnung umfassen den Neustart von Systemen und Computern sowie die Wiederbeschaffung verlorener Daten.
- Feedback und Verbesserung beschreibt den Prozess, durch den das Team Erkenntnisse aus dem Vorfall gewinnt und diese auf Strategien und Verfahren anwendet.
Microsoft Security folgen