Technische Aspekte der Incident Response

Bei Cyber-Angriffen ist eine schnelle Reaktion entscheidend, um das Ausmaß und den Schaden des Angriffs zu minimieren. Hier kommen die technischen Aspekte der Incident Response ins Spiel.

Die technische Reaktion auf Cyber-Attacken umfasst Maßnahmen zur Beseitigung der aktiven Bedrohung und zur Eindämmung des Angriffs sowie die Wiederherstellung von Systemen und Daten und eine eingehende IT-forensische Analyse und Dokumentation des Angriffs. Dieser Artikel beleuchtet die verschiedenen technischen Aspekte der Incident Response im Detail.

Der erste Schritt der technischen Incident Response besteht darin, einen Überblick über das Ausmaß des Angriffs zu erhalten. In diesem Zusammenhang werden Fragen geklärt wie: Um welche Art von Cyber-Angriff handelt es sich? Welche Systeme und Komponenten der IT-Infrastruktur sind betroffen? Welche Anwendungen und Dienste laufen noch? Sind die Kommunikationskanäle betroffen?

Auf der Basis dieser ersten Analyse müssen geeignete Erstmaßnahmen ergriffen werden, um den Angriff einzudämmen. Zu diesen Maßnahmen gehören die Isolation der betroffenen Systeme (z. B. durch das Abschalten betroffener Geräte oder das Segmentieren des betroffenen Netzwerks), die Identifikation des Angriffsvektors und das Einspielen von sofort verfügbaren Sicherheitsupdates.

Bei der Beseitigung von aktiven Bedrohungen während eines Cyber-Angriffs geht es darum, das System vollständig zu bereinigen und die IT-Sicherheit wiederherzustellen. Bei einem Malware-Angriff wird die Schadsoftware beispielsweise mit einem Antivirenprogramm oder einem forensischen Tool aufgespürt und gelöscht, um den Angriff zu stoppen.

Neben der Bereinigung der infizierten Geräte gehören zur Beseitigung von akuten Cyber-Bedrohungen auch Maßnahmen wie die Neukonfiguration von Zugängen und Passwörtern, der Neustart der Systeme und das Schließen von Sicherheitslücken und Schwachstellen.

Ergänzend dazu kann das IT-Sicherheitsteam Threat Hunting einsetzen, um sicherzugehen, dass alle Bedrohungen zuverlässig beseitigt wurden. Beim Threat Hunting suchen Sicherheitsanalysten aktiv nach versteckten oder ungewöhnlichen Systemaktivitäten, um Bedrohungen zu identifizieren, die klassische Sicherheitsmaßnahmen wie Firewalls oder Antivirenprogramme möglicherweise nicht erkannt haben.

Je nach Ausmaß und Schwere der Cyber-Attacke funktioniert die IT-Infrastruktur in der Folge des Angriffs nicht mehr. Nach einer ersten Analyse des Angriffs und dem Aufbau eines temporären Notbetriebs besteht die Aufgabe für das IT-Team darin, die IT-Infrastruktur wieder aufzubauen, um möglichst schnell zum Normalbetrieb zurückzukehren.

Zum IT-Wiederaufbau gehören verschiedene technische Maßnahmen zur Wiederherstellung der Systeme und möglicherweise gestohlener oder beschädigter Datensätze. Bei der Wiederherstellung können Sicherheitsteams zwischen zwei Vorgehensweisen wählen. Entweder sie stellen die Systeme und Daten mittels vorhandener Backups wieder her, oder sie bauen die IT-Infrastruktur komplett neu auf und nutzen die Gelegenheit, um die Systeme zu härten und die IT-Sicherheitsmaßnahmen zu verbessern.

Bei einer schrittweisen Wiederherstellung der Systeme müssen die Systeme, die vom Vorfall betroffen waren, nach und nach überprüft, gesichert und wieder in Betrieb genommen werden. Vor der vollständigen Rückkehr zum Normalbetrieb sollten Testläufe durchgeführt werden, um die Systeme und Prozesse zu validieren und zu überprüfen, dass sie nicht mehr gefährdet sind.

Die IT-Forensik ist ein wichtiger Bereich in der Reaktion auf Cyber-Angriffe und hat das Ziel, den Vorfall technisch aufzuklären, Beweise zu sichern und den Vorfall zu rekonstruieren. Dazu gehört eine Vielzahl an Aspekten, darunter wie die Angreifer ins System eingedrungen sind, welche Rechte und Zugriffe sie sich verschaffen konnten und wie weit sie sich in der IT-Infrastruktur des Unternehmens ausgebreitet haben.

Die forensische Analyse der Cyber-Attacke beginnt typischerweise nach der initialen Eindämmung des Angriffs. Im Zuge der technischen Aufklärung des IT-Vorfalls werden Beweise und forensische Artefakte wie Logdateien und Protokolle sichergestellt und ausgewertet. Dabei können automatisierte Tools zum Einsatz kommen, die IT-forensische Beweise aus verschiedenen Systemen sammeln und analysieren. Alternativ kann auch ein manueller Ansatz verfolgt werden, bei dem die Gesamtheit der Systeme ganzheitlich durch einen IT-Analysten betrachtet wird, um den Angriffsvektor zu rekonstruieren.

Durch die Analyse von Systemen und Daten kann der Weg des Angreifers durch die Systeme nachvollzogen werden, um herauszufinden, welche Sicherheitslücken und Schwachstellen bei dem Angriff genutzt worden sind. Darauf aufbauend können  entsprechende Schutzmaßnahmen implementiert werden, um die Cyber-Sicherheit des Unternehmens zu verbessern. Dabei wird auch untersucht, ob und in welchem Ausmaß sensible Daten entwendet wurden.

Im Anschluss an die IT-forensische Untersuchung des Vorfalls müssen der gesamte Prozess sowie die Ergebnisse der Analyse dokumentiert werden. Eine lückenlose Vorfallsdokumentation ist nicht nur wichtig, um Versicherungsansprüche gegenüber der Cyberversicherung geltend zu machen, sondern auch um bestehende rechtliche Anforderungen zu erfüllen.

Am Ende der technischen Analyse des Vorfalls wird ein forensischer Bericht erstellt, der die Angriffsmethode, die betroffenen Systeme und Daten sowie die empfohlenen Sicherheitsmaßnahmen zur zukünftigen Prävention von Cyber-Angriffen dokumentiert. Der Abschlussbericht dient darüber hinaus als Grundlage für rechtliche Schritte gegen die Angreifer sowie für die Meldung des Vorfalls an die Behörden.

Das Ergreifen von Maßnahmen zur Verbesserung der IT-Sicherheit ist ein zentraler Baustein beim Wiederaufbau der Systeme nach einer Cyber-Attacke, weil es häufig nicht nur eine Schwachstelle ist, die zu einem Cyber-Angriff führt, sondern vielmehr ein Zusammenspiel mehrerer Systemschwachstellen und Sicherheitslücken, die von den Angreifern ausgenutzt werden.

Um zukünftige Angriffe zu verhindern, sollten präventive Maßnahmen ergriffen werden, die an den identifizierten Schwachstellen ansetzen und den Empfehlungen der IT-Forensiker folgen. Zu den langfristigen Maßnahmen zur Verbesserung der Cyber-Sicherheit nach einem Angriff gehören ein verbessertes Patch-Management, das regelmäßige Einspielen von Sicherheitsupdates, das Einführen eines festen Backup-Plans und das Härten der Systeme und Netzwerke.

Mehr zum Thema Prävention von Cyber-Angriffen lesen Sie hier.