CERT und CSIRT: Schlüsselfunktionen für eine effektive Incident Response

Menschen die verbunden sind
Inhaltsverzeichnis

Da Bedrohungen immer ausgefeilter und schwerer zu erkennen werden, spielen Cyberabwehr-Teams eine zunehmend wichtige Rolle, da sich die Cybersicherheitsszene rasant weiterentwickelt. Zwei Hauptakteure in der Incident-Response sind das Computer Emergency Response Team (CERT) und das Computer Security Incident Response Team (CSIRT).

Was ist CERT?

Die Koordination von Reaktionen auf Cybersecurity-Vorfälle ist die Hauptverantwortung eines CERT (Computer Emergency Response Team), einer spezialisierten Gruppe von Cybersicherheitsexperten.

Als Reaktion auf den Morris-Wurm, einen der ersten weit verbreiteten Internet-Würmer, richtete die Carnegie Mellon University 1988 das erste Computer Emergency Response Team (CERT) ein. CERTs wurden ursprünglich geschaffen, um auf Cybersicherheitsbedrohungen auf nationaler, organisatorischer oder sektoraler Ebene zu reagieren und diese zu mindern. Seitdem haben sie sich zu bekannten Organisationen entwickelt. CERTs bieten professionelle Beratung zur Identifizierung, Eindämmung und Minderung von Bedrohungen und fungieren als zentrale Anlaufstellen für das Incident Handling. Zu ihren Aktivitäten gehören auch die Analyse von Schwachstellen, Sicherheitsbewertungen, Schulungen und die Veröffentlichung von Warnhinweisen zu neu entdeckten Schwachstellen oder Exploits.

CERTs agieren typischerweise auf sektoraler oder nationaler Ebene, häufig im Rahmen von öffentlich-privaten Partnerschaften oder Regierungsbehörden. Beispiele hierfür sind das US-CERT, CERT-EU (Europäische Union) und JPCERT/CC (Japan).

Was ist CSIRT?

Eine noch fokussiertere Organisation, die sich mit Cybersicherheitsvorfällen innerhalb einer Branche oder Organisation befasst, ist ein CSIRT (Computer Security Incident Response Team). Das CSIRT einer Organisation ist in der Regel eingebettet und direkt für die Erkennung, Untersuchung und Lösung von Sicherheitsvorfällen verantwortlich. Im Gegensatz dazu kann der Fokus des CERTs eher beratend und breiter gefasst sein. Abhängig von den Ressourcen und der Erfahrung der Organisation kann das CSIRT intern oder extern sein.

Durch die Erstellung von Incident-Response-Handbüchern, das Abhalten von Planspielen und das Beobachten potenzieller Bedrohungen in den Netzwerken der Organisation nimmt das CSIRT eine proaktive Haltung ein. Sie arbeiten häufig mit Systemadministratoren, Sicherheitsexperten und geschäftlichen Interessengruppen zusammen, um proaktiv Vorfälle zu lösen, die Auswirkungen zu minimieren und die Systeme wiederherzustellen

Bild mit einem Laptop auf dem ein Online-Meeting abgehalten wird.

Unterschiede zwischen CERT und CSIRT

1. Umfang der Aktivitäten

CERTs bieten Koordination und Beratung für Incident Response in größerem Umfang, häufig sektoren- oder landesweit. Ihre Hauptaufgaben sind die Erstellung von Richtlinien und die Verbreitung von Informationen.

CSIRTs konzentrieren sich auf bestimmte Organisationen und befassen sich mit spezifischen Vorfällen innerhalb dieser Organisationen und nehmen aktiv an der Behebung von Vorfällen teil.

2. Proaktivität vs. Reaktivität

CERTs bieten in der Regel Vorfallberichte, Best Practices und proaktive Beratung, um die Cybersicherheitslage zu verbessern.

CSIRTs, die aktive Teams innerhalb eines Unternehmens sind, übernehmen die proaktive Bedrohungssuche sowie die reaktive Incident Response.

3. Steuerung

CERTs konzentrieren sich auf öffentliche Infrastrukturen oder die nationale Verteidigung und werden häufig von nationalen Regierungen oder internationalen Organisationen unterstützt oder betrieben.

CSIRTs befolgen interne Richtlinien und Sicherheitsprotokolle, die typischerweise in privaten Unternehmen oder Organisationen zu finden sind.

Verbindung von Incident Response mit CERT und CSIRT

Obwohl sich ihre Aufgaben in Bezug auf Ausführung und Umfang unterscheiden, sind sowohl CERTs als auch CSIRTs wesentlich für den Incident-Response-Lebenszyklus. CERTs bilden oft eine strategische Ebene und beraten nationale oder regionale Organisationen im Bereich Incident-Management oder Vorfallsprävention. Sie können Informationen bereitstellen, die CSIRTs innerhalb von Organisationen helfen, neue Bedrohungen vorherzusehen und zu bekämpfen. Darüber hinaus veröffentlichen sie Sicherheitswarnungen und Patches für bekannte Schwachstellen.

Auf der taktischen Ebene verwalten CSIRTs aktiv Vorfälle innerhalb ihrer Organisation. Sie reagieren sofort auf den Vorfall, versuchen die Ursache zu erkennen, die Bedrohung zu neutralisieren und Schwachstellen zu beheben. Technische Aufgaben wie Malware-Analyse, forensische Untersuchungen und Systemwiederherstellungen gehören zu ihrem direkten Engagement.

Mehrere SOC-Mitarbeiter vor einem PC

Erstellung einer erfolgreichen Incident Response Strategie

Ein dokumentierter Ansatz, der die Schritte beschreibt, die eine Organisation unternehmen sollte, um einen Cybersicherheitsvorfall zu erkennen, zu stoppen und sich davon zu erholen, wird als Incident Response Plan (IRP) bezeichnet. Mehrere wichtige Faktoren sollten berücksichtigt werden, um einen starken Incident Response Plan zu erstellen:

1. Klare Ziele und Vorgaben

Es sollte klar definiert werden, was einen organisationsweiten Vorfall ausmacht. Die verschiedenen Arten von Ereignissen lassen sich anhand der Schwere der Bedrohung (Ransomware, Datenschutzverletzungen, Insider-Bedrohungen usw.) und deren Auswirkungen ermitteln.

2. Zuweisung von Rollen und Verantwortlichkeiten

Jedes Mitglied des Incident-Response-Teams hat eine klar definierte Rolle. Teamleiter, Kommunikationsoffiziere, IT-Teams, Rechtsberater und Öffentlichkeitsarbeiter sollten einbezogen werden, um eine reibungslose Koordination während eines Vorfalls zu gewährleisten.

3. Kommunikationskanäle

Es sollte sichergestellt sein, dass interne und externe Kommunikationswege eingerichtet und geprüft werden. Dies umfasst sichere Kommunikationskanäle zwischen den Mitgliedern des Incident-Response-Teams und anderen Parteien wie betroffenen Kunden oder Aufsichtsbehörden.

4. Erkennungs- und Überwachungssysteme

Der Einsatz von Systemen zur Erkennung potenzieller Sicherheitsverletzungen und deren stetige Aktualisierung ist ein wichtiger Punkt. Beispiele hierfür sind Intrusion Detection Systems (IDS), Endpoint Detection and Response (EDR) Tools und Security Information and Event Management (SIEM) Systeme.

5. Playbooks und Eskalationsprozeduren

Es sollten umfassende Incident-Response-Handbücher erstellt werden, die schrittweise Anleitungen zur Verwaltung spezifischer Vorfallarten enthalten. Diese Handbücher sollten Eindämmungsmaßnahmen, Lösungsverfahren und Eskalationsprotokolle umfassen.

6. Regelmäßiges Training und Tests

Die Simulation von Angriffen und das regelmäßige Training des Incident-Response-Teams (z. B. Red-Team-/Blue-Team-Übungen) stellen sicher, dass alle vorbereitet sind und Schwachstellen im Incident Response-Plan gefunden werden.

7. Post-Incident-Review und Berichterstattung

Nach der Lösung eines Vorfalls sollte eine umfassende Analyse durchgeführt werden, um Erkenntnisse zu gewinnen und den Plan zu verbessern. Vorfallsberichte sollten erstellt und den wichtigsten Beteiligten zugänglich gemacht werden.

Ein Übersicht zu einem guten Plan

Verantwortlichkeiten eines IT-Dienstleisters bei der Incident Response

Um ihre internen Ressourcen während eines Sicherheitsvorfalls zu ergänzen, wenden sich Organisationen häufig an externe IT-Dienstleister. Diese Dienstleister bringen spezifisches Fachwissen in die verschiedenen Bereiche der Incident Response ein, wie:

1. Untersuchungsmanagement

Verantwortlich für die Lokalisierung, Untersuchung und Dokumentation des Sicherheitsvorfalls. Dies umfasst die Koordination verschiedener Teams (z. B. Rechtsabteilung und Kommunikation) und die Sicherstellung, dass die Untersuchung allen relevanten Gesetzen und Vorschriften entspricht.

2. Malware-Analyse

Durchführung einer detaillierten Untersuchung von Schadsoftware, um deren Fähigkeiten, Verhalten und mögliche Auswirkungen auf das Unternehmen zu ermitteln. Diese Analyse ist entscheidend, um die Absichten des Angreifers zu verstehen und die effektivste Lösung zu finden.

3. Host-Forensik

Untersuchung der kompromittierten Hosts mithilfe forensischer Software, um das Ausmaß des Angriffs festzustellen, Beweise zu sammeln und den ursprünglichen Vektor des Angriffs zu lokalisieren. Häufig werden dabei Speicherabbilder, Datenträgerabbilder und Log-Analysen verwendet.

4. Netzwerk-Forensik

Untersuchung der Firewall-Protokolle, Netzwerkverkehrsprotokolle und anderer relevante Daten, um die Ursprünge des Angriffs und seine Ausbreitung im Netzwerk zu bestimmen. Netzwerk-Forensik hilft dabei, festzustellen, ob weitere Systeme kompromittiert wurden und ob Lateral Movements stattfanden.

5. IT-Support mit Sicherheitsfokus

Verhinderung weiterer Ausbreitung während und nach einem Vorfall durch Unterstützung bei der Patch-Verwaltung von Anwendungen, der Stärkung der Systemkonfiguration und der Endpunkt-Sicherheit.

6. Bereinigung betroffener Systeme

Entfernung von Malware, Wiederherstellung von Systemen sowie vollständige Entfernung aller Spuren des Angriffs. Dies umfasst die vollständige Wiederherstellung der Systeme nach dem Angriff sowie die Wiederherstellung von Backups.

7. Unterstützung im Krisenmanagement

Beratung zum Umgang mit der Krise, die durch einen Sicherheitsvorfall verursacht wurde, einschließlich Schadensbegrenzung, Einbindung von Interessengruppen und Öffentlichkeitsarbeit. Die Einhaltung der Gesetze zur Benachrichtigung über Datenverletzungen erfordert auch die Zusammenarbeit mit Rechtsabteilungen.

Mehrere Schlösser sind verbunden vor einem Laptop

Fazit

Sowohl CERTs als auch CSIRTs sind in der komplexen Welt der Cybersicherheit unerlässlich, um Bedrohungen zu verhindern und darauf zu reagieren. Während sich CSIRTs hauptsächlich auf die operative Handhabung von Vorfällen innerhalb spezifischer Organisationen konzentrieren, bieten CERTs Ressourcen und Unterstützung auf nationaler oder sektoraler Ebene. Jede Organisation benötigt einen effizienten Incident Response Plan, der sowohl durch interne Teams als auch durch externe IT-Dienstleister unterstützt werden kann. Der Erfolg einer Incident Response hängt von mehreren Faktoren ab, darunter Bereitschaft, klare Kommunikation und die Fähigkeit, auf spezialisiertes Fachwissen in Bereichen wie Malware-Analyse, Host- und Netzwerkforensik, Untersuchungsmanagement und Krisenmanagement zurückzugreifen.

Haben Sie schon einen Incident-Response-Plan für Ihr Unternehmen eingerichtet? Wir helfen Ihnen gerne dabei.

Durch Automatisierung und KI sind Cyberkriminelle auch bei kleinen und mittelständischen Unternehmen auf der Suche nach potenziell lukrativen Schwachstellen. Aber es gibt eine Lösung: Endpunkt-Sicherheit.
Die Sicherheit von IT-Systemen für Krankenhäuser ist von entscheidender Bedeutung. Angesichts der Bedrohungen durch Cyberangriffe ist es unerlässlich, eine umfassende Cyber Security Strategie zu haben.
Das NIS-2-Gesetz ist ein wichtiger Meilenstein, der Unternehmen dazu verpflichtet, geeignete Sicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. Dabei kommt einem SIEM eine Schlüsselrolle zu.

Cybersicherheit mit der Cyber Security Strategie von ujima

Wir analysieren Ihre Cyber Security und beraten Sie zu weiterführenden Maßnahmen, um Ihr Unternehmen digital so sicher wie möglich zu machen.

  1. Info-Telefonat vereinbaren
  2. Von Cyber Security Spezialisten beraten lassen
  3. Cybersicherheit steigern und Ihr Unternehmen bulletproof machen

kostenfrei und unverbindlich

Rufen Sie uns direkt an

Vielen Dank, dass entsprechende Cookie wurde gesetzt. Damit wird die Verarbeitung der Daten bei Ihrem nächsten Besuch unterbunden. Hier klicken um dich auszutragen.