Da Bedrohungen immer ausgefeilter und schwerer zu erkennen werden, spielen Cyberabwehr-Teams eine zunehmend wichtige Rolle, da sich die Cybersicherheitsszene rasant weiterentwickelt. Zwei Hauptakteure in der Incident-Response sind das Computer Emergency Response Team (CERT) und das Computer Security Incident Response Team (CSIRT).
Was ist CERT?
Die Koordination von Reaktionen auf Cybersecurity-Vorfälle ist die Hauptverantwortung eines CERT (Computer Emergency Response Team), einer spezialisierten Gruppe von Cybersicherheitsexperten.
Als Reaktion auf den Morris-Wurm, einen der ersten weit verbreiteten Internet-Würmer, richtete die Carnegie Mellon University 1988 das erste Computer Emergency Response Team (CERT) ein. CERTs wurden ursprünglich geschaffen, um auf Cybersicherheitsbedrohungen auf nationaler, organisatorischer oder sektoraler Ebene zu reagieren und diese zu mindern. Seitdem haben sie sich zu bekannten Organisationen entwickelt. CERTs bieten professionelle Beratung zur Identifizierung, Eindämmung und Minderung von Bedrohungen und fungieren als zentrale Anlaufstellen für das Incident Handling. Zu ihren Aktivitäten gehören auch die Analyse von Schwachstellen, Sicherheitsbewertungen, Schulungen und die Veröffentlichung von Warnhinweisen zu neu entdeckten Schwachstellen oder Exploits.
CERTs agieren typischerweise auf sektoraler oder nationaler Ebene, häufig im Rahmen von öffentlich-privaten Partnerschaften oder Regierungsbehörden. Beispiele hierfür sind das US-CERT, CERT-EU (Europäische Union) und JPCERT/CC (Japan).
Was ist CSIRT?
Eine noch fokussiertere Organisation, die sich mit Cybersicherheitsvorfällen innerhalb einer Branche oder Organisation befasst, ist ein CSIRT (Computer Security Incident Response Team). Das CSIRT einer Organisation ist in der Regel eingebettet und direkt für die Erkennung, Untersuchung und Lösung von Sicherheitsvorfällen verantwortlich. Im Gegensatz dazu kann der Fokus des CERTs eher beratend und breiter gefasst sein. Abhängig von den Ressourcen und der Erfahrung der Organisation kann das CSIRT intern oder extern sein.
Durch die Erstellung von Incident-Response-Handbüchern, das Abhalten von Planspielen und das Beobachten potenzieller Bedrohungen in den Netzwerken der Organisation nimmt das CSIRT eine proaktive Haltung ein. Sie arbeiten häufig mit Systemadministratoren, Sicherheitsexperten und geschäftlichen Interessengruppen zusammen, um proaktiv Vorfälle zu lösen, die Auswirkungen zu minimieren und die Systeme wiederherzustellen
Unterschiede zwischen CERT und CSIRT
1. Umfang der Aktivitäten
CERTs bieten Koordination und Beratung für Incident Response in größerem Umfang, häufig sektoren- oder landesweit. Ihre Hauptaufgaben sind die Erstellung von Richtlinien und die Verbreitung von Informationen.
CSIRTs konzentrieren sich auf bestimmte Organisationen und befassen sich mit spezifischen Vorfällen innerhalb dieser Organisationen und nehmen aktiv an der Behebung von Vorfällen teil.
2. Proaktivität vs. Reaktivität
CERTs bieten in der Regel Vorfallberichte, Best Practices und proaktive Beratung, um die Cybersicherheitslage zu verbessern.
CSIRTs, die aktive Teams innerhalb eines Unternehmens sind, übernehmen die proaktive Bedrohungssuche sowie die reaktive Incident Response.
3. Steuerung
CERTs konzentrieren sich auf öffentliche Infrastrukturen oder die nationale Verteidigung und werden häufig von nationalen Regierungen oder internationalen Organisationen unterstützt oder betrieben.
CSIRTs befolgen interne Richtlinien und Sicherheitsprotokolle, die typischerweise in privaten Unternehmen oder Organisationen zu finden sind.
Verbindung von Incident Response mit CERT und CSIRT
Obwohl sich ihre Aufgaben in Bezug auf Ausführung und Umfang unterscheiden, sind sowohl CERTs als auch CSIRTs wesentlich für den Incident-Response-Lebenszyklus. CERTs bilden oft eine strategische Ebene und beraten nationale oder regionale Organisationen im Bereich Incident-Management oder Vorfallsprävention. Sie können Informationen bereitstellen, die CSIRTs innerhalb von Organisationen helfen, neue Bedrohungen vorherzusehen und zu bekämpfen. Darüber hinaus veröffentlichen sie Sicherheitswarnungen und Patches für bekannte Schwachstellen.
Auf der taktischen Ebene verwalten CSIRTs aktiv Vorfälle innerhalb ihrer Organisation. Sie reagieren sofort auf den Vorfall, versuchen die Ursache zu erkennen, die Bedrohung zu neutralisieren und Schwachstellen zu beheben. Technische Aufgaben wie Malware-Analyse, forensische Untersuchungen und Systemwiederherstellungen gehören zu ihrem direkten Engagement.
Erstellung einer erfolgreichen Incident Response Strategie
Ein dokumentierter Ansatz, der die Schritte beschreibt, die eine Organisation unternehmen sollte, um einen Cybersicherheitsvorfall zu erkennen, zu stoppen und sich davon zu erholen, wird als Incident Response Plan (IRP) bezeichnet. Mehrere wichtige Faktoren sollten berücksichtigt werden, um einen starken Incident Response Plan zu erstellen:
1. Klare Ziele und Vorgaben
Es sollte klar definiert werden, was einen organisationsweiten Vorfall ausmacht. Die verschiedenen Arten von Ereignissen lassen sich anhand der Schwere der Bedrohung (Ransomware, Datenschutzverletzungen, Insider-Bedrohungen usw.) und deren Auswirkungen ermitteln.
2. Zuweisung von Rollen und Verantwortlichkeiten
Jedes Mitglied des Incident-Response-Teams hat eine klar definierte Rolle. Teamleiter, Kommunikationsoffiziere, IT-Teams, Rechtsberater und Öffentlichkeitsarbeiter sollten einbezogen werden, um eine reibungslose Koordination während eines Vorfalls zu gewährleisten.
3. Kommunikationskanäle
Es sollte sichergestellt sein, dass interne und externe Kommunikationswege eingerichtet und geprüft werden. Dies umfasst sichere Kommunikationskanäle zwischen den Mitgliedern des Incident-Response-Teams und anderen Parteien wie betroffenen Kunden oder Aufsichtsbehörden.
4. Erkennungs- und Überwachungssysteme
Der Einsatz von Systemen zur Erkennung potenzieller Sicherheitsverletzungen und deren stetige Aktualisierung ist ein wichtiger Punkt. Beispiele hierfür sind Intrusion Detection Systems (IDS), Endpoint Detection and Response (EDR) Tools und Security Information and Event Management (SIEM) Systeme.
5. Playbooks und Eskalationsprozeduren
Es sollten umfassende Incident-Response-Handbücher erstellt werden, die schrittweise Anleitungen zur Verwaltung spezifischer Vorfallarten enthalten. Diese Handbücher sollten Eindämmungsmaßnahmen, Lösungsverfahren und Eskalationsprotokolle umfassen.
6. Regelmäßiges Training und Tests
Die Simulation von Angriffen und das regelmäßige Training des Incident-Response-Teams (z. B. Red-Team-/Blue-Team-Übungen) stellen sicher, dass alle vorbereitet sind und Schwachstellen im Incident Response-Plan gefunden werden.
7. Post-Incident-Review und Berichterstattung
Nach der Lösung eines Vorfalls sollte eine umfassende Analyse durchgeführt werden, um Erkenntnisse zu gewinnen und den Plan zu verbessern. Vorfallsberichte sollten erstellt und den wichtigsten Beteiligten zugänglich gemacht werden.
Verantwortlichkeiten eines IT-Dienstleisters bei der Incident Response
Um ihre internen Ressourcen während eines Sicherheitsvorfalls zu ergänzen, wenden sich Organisationen häufig an externe IT-Dienstleister. Diese Dienstleister bringen spezifisches Fachwissen in die verschiedenen Bereiche der Incident Response ein, wie:
1. Untersuchungsmanagement
Verantwortlich für die Lokalisierung, Untersuchung und Dokumentation des Sicherheitsvorfalls. Dies umfasst die Koordination verschiedener Teams (z. B. Rechtsabteilung und Kommunikation) und die Sicherstellung, dass die Untersuchung allen relevanten Gesetzen und Vorschriften entspricht.
2. Malware-Analyse
Durchführung einer detaillierten Untersuchung von Schadsoftware, um deren Fähigkeiten, Verhalten und mögliche Auswirkungen auf das Unternehmen zu ermitteln. Diese Analyse ist entscheidend, um die Absichten des Angreifers zu verstehen und die effektivste Lösung zu finden.
3. Host-Forensik
Untersuchung der kompromittierten Hosts mithilfe forensischer Software, um das Ausmaß des Angriffs festzustellen, Beweise zu sammeln und den ursprünglichen Vektor des Angriffs zu lokalisieren. Häufig werden dabei Speicherabbilder, Datenträgerabbilder und Log-Analysen verwendet.
4. Netzwerk-Forensik
Untersuchung der Firewall-Protokolle, Netzwerkverkehrsprotokolle und anderer relevante Daten, um die Ursprünge des Angriffs und seine Ausbreitung im Netzwerk zu bestimmen. Netzwerk-Forensik hilft dabei, festzustellen, ob weitere Systeme kompromittiert wurden und ob Lateral Movements stattfanden.
5. IT-Support mit Sicherheitsfokus
Verhinderung weiterer Ausbreitung während und nach einem Vorfall durch Unterstützung bei der Patch-Verwaltung von Anwendungen, der Stärkung der Systemkonfiguration und der Endpunkt-Sicherheit.
6. Bereinigung betroffener Systeme
Entfernung von Malware, Wiederherstellung von Systemen sowie vollständige Entfernung aller Spuren des Angriffs. Dies umfasst die vollständige Wiederherstellung der Systeme nach dem Angriff sowie die Wiederherstellung von Backups.
7. Unterstützung im Krisenmanagement
Beratung zum Umgang mit der Krise, die durch einen Sicherheitsvorfall verursacht wurde, einschließlich Schadensbegrenzung, Einbindung von Interessengruppen und Öffentlichkeitsarbeit. Die Einhaltung der Gesetze zur Benachrichtigung über Datenverletzungen erfordert auch die Zusammenarbeit mit Rechtsabteilungen.
Fazit
Sowohl CERTs als auch CSIRTs sind in der komplexen Welt der Cybersicherheit unerlässlich, um Bedrohungen zu verhindern und darauf zu reagieren. Während sich CSIRTs hauptsächlich auf die operative Handhabung von Vorfällen innerhalb spezifischer Organisationen konzentrieren, bieten CERTs Ressourcen und Unterstützung auf nationaler oder sektoraler Ebene. Jede Organisation benötigt einen effizienten Incident Response Plan, der sowohl durch interne Teams als auch durch externe IT-Dienstleister unterstützt werden kann. Der Erfolg einer Incident Response hängt von mehreren Faktoren ab, darunter Bereitschaft, klare Kommunikation und die Fähigkeit, auf spezialisiertes Fachwissen in Bereichen wie Malware-Analyse, Host- und Netzwerkforensik, Untersuchungsmanagement und Krisenmanagement zurückzugreifen.
Haben Sie schon einen Incident-Response-Plan für Ihr Unternehmen eingerichtet? Wir helfen Ihnen gerne dabei.