Die Phasen eines Security Incidents – Die Reportingstufen des First Checks

Unser First Check dient der Überprüfung, wie gut ein Unternehmen auf einen möglichen Security Incident, also einen Sicherheitsvorfall, vorbereitet ist. Um den derzeitigen Vorbereitungsstand relevanter Systeme und Prozesse zu erfassen,  beantworten wir mit dem jeweiligen Partner unseren selbst entwickelten, umfassenden Fragenkatalog, basierend auf der SANS-Methodik. Im Management-Reporting zeigen wir den Unternehmen anhand unterschiedlicher Reportingstufen, wie gut die derzeitige Vorbereitung auf die verschiedenen Incident Response-Phasen ist. Die ausgewiesenen Reportingstufen entsprechen dabei den Phasen des Incident Response. Um Ihnen die Bedeutung der einzelnen Phasen greifbarer zu machen, gehen wir im Folgenden näher auf die einzelnen Stufen und die darin enthaltenen Maßnahmen ein.

‍

1. Preparation

Diese Phase ist die entscheidende Phase, da sie primär zum Schutz Ihres Unternehmens dient. Zunächst geht es darum zu überprüfen, inwieweit eine Basis für den Umgang mit möglichen Angriffen im Unternehmen geschaffen ist. Dazu gehört es sowohl organisatorische, technische und kommunikative Vorbereitungen und Voraussetzungen in der IT, dem Krisenmanagement und der Krisenkommunikation zu schaffen und zu definieren. So müssen beispielsweise verschiedene Meldeketten definiert werden, wer wann wen im Falle eines Vorfalls wie benachrichtigt. Durch die Bestimmung von Prozessen und Abläufen, auch hinsichtlich der internen und externen Kommunikation kann eine schnellere Reaktion auf einen Sicherheitsvorfall gestartet werden.

2. Identification

Hier geht es darum zu identifizieren, wie gut Sie in der Lage sind, einen Angreifer in Ihren Systemen mithilfe von technischen Maßnahmen überhaupt zu erkennen. Dafür ist es entscheidend, die technische Infrastruktur des Unternehmens im Blick zu behalten und nach sogenannten IOCs (Identificators of Compromise) zu suchen. Bestimmte Tools, wie beispielsweise ein SIEM, können hierbei Unterstützung leisten.

3. Containment

Diese Phase des Incident Handlings beschreibt den Moment, wenn ein Angreifer oder eine Schadsoftware im System festgestellt werden konnte. Im First Check wird untersucht, ob Ihre Systeme die Bedrohung auf ihren Ursprung zurückführen können; welcher Schaden von ihr ausgehen könnte und wie die Systeme anschließend wieder sicher genutzt werden können. Wenn beispielsweise nur ein User im Netzwerk betroffen ist, kann dieser vom Netz getrennt werden, um den ausgehenden Schaden einzudämmen und den restlichen Betrieb zu schützen. Daher wird ebenfalls untersucht, welche Maßnahmen kurzfristig durch Ihre Systeme umgesetzt werden können, z. B. durch das Vorhandensein einer NAC (Network Access Control) Lösung oder eines mehrstufigen Administrationskonzepts.

4. Eradication

In dieser Stufe gilt es zu identifizieren, inwiefern Ihre IT in der Lage ist festzustellen, welche Dateien und Netzwerke tatsächlich angegriffen wurden und den Vorfall bzw. den Übergriff wieder zu beseitigen. Dazu gehören das Vorhandensein bzw. die Verfügbarkeit bestimmter Sicherheitstools und einem dedizierten Team, welches die betroffenen Systeme beobachten, um auf Grundlage der dabei gewonnen Erkenntnisse, die Bedrohung auszumerzen.

5. Recovery

Dies ist der Prozess zur Wiederherstellung und Rückführung von Systemen und Endpoints in die Green Zone. Hierbei müssen verschiedene Entscheidungen getroffen werden, von welchen sich einige bereits im Vorfeld definieren lassen. Grundsätzlich geht es darum, das System best- und schnellstmöglich wieder in den gewohnten Betrieb nehmen zu können. Darum ist es wichtig, sich im Klaren darüber zu sein, welche Prozesse für die Unternehmung wirklich kritisch sind und Prioritäten zu formulieren. Dabei sollten gewisse Abhängigkeiten verschiedener Prozesse zueinander zu jeder Zeit berücksichtigt werden. Unser First Check hilft Ihnen dabei zu überprüfen, ob für eine zeitnahe und erfolgreiche Wiederherstellung von Daten und Abläufen alle wichtigen Vorbereitungen getroffen wurden.

6. Post-Incident

Die sechste und letzte Stufe des Reports soll Ihnen dabei helfen, die Nachbearbeitung eines Sicherheitsvorfalles besser abwickeln und einschätzen zu können. Eine Reflektion im Nachhinein ist hilfreich, um festzustellen, was besonders gut und was weniger gut lief. Grundsätzlich wird hier die Fragestellung beantwortet, wie relevante Learnings zielführend ins Unternehmen zurückfließen können.

All diese Phasen werden bei jedem Incident Response durchlaufen und ohne ausreichende Vorbereitung kann ein Security Incident Ihrem Unternehmen erheblichen Schaden zufügen. Darum ist es besonders wichtig, sich anhand der unterschiedlichen Stufen bestmöglich auf einen Vorfall einzustellen und entsprechende Maßnahmen bereits im Vorfeld zu planen. Sollten Sie hierbei Unterstützung benötigen oder Fragen zu uns oder unseren Dienstleitungen haben, können Sie sich gern jeder Zeit direkt an uns wenden.