Team zur Reaktion auf Computersicherheitsvorfälle
Zur Navigation springen
Zur Suche springen
Team zur Reaktion auf Computersicherheitsvorfälle
- Definition und Bedeutung
- Ein Team zur Reaktion auf Computersicherheitsvorfälle, meist als CSIRT (Computer Security Incident Response Team) oder CERT (Computer Emergency Response Team) bezeichnet, ist ein zentrales Element der Cybersicherheitsstrategie.
- Ziel ist die schnelle Erkennung, Eindämmung, Analyse und Nachbereitung von Sicherheitsvorfällen.
- Ein Security Operations Center (SOC) dient primär der Überwachung und Alarmierung, während das CSIRT für die eigentliche Reaktion zuständig ist.
Vorfallbearbeitung
- Phasen nach NIST / ISO
- Erkennung und Meldung: Alarmierung durch IDS/IPS, SIEM, Mitarbeiter oder externe Hinweise.
- Bewertung: CSIRT analysiert die Kritikalität und entscheidet über Eskalation.
- Eindämmung: Sofortmaßnahmen zur Begrenzung (Isolierung, Segmentierung).
- Analyse: Forensik, Malware-Analyse, Ursachenforschung.
- Wiederherstellung: Systeme säubern, Backups einspielen, Patching.
- Nachbereitung: Incident Report, Lessons Learned, Prozessverbesserung.
![Bearbeiten](javascript:editDrawio("2130880176", "It-gs1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1703971589", "It-gs2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Struktur des Incident-Response-Teams
- Incident Manager: Koordination und Verantwortung für den Vorfall.
- Forensik-Analysten: Analyse kompromittierter Systeme und Beweissicherung.
- Netzwerksicherheitsspezialisten: Untersuchung von Netzwerkverkehr.
- Malware-Analysten: Analyse und Gegenmaßnahmen bei Schadsoftware.
- Kommunikationsteam: Interne und externe Kommunikation, Krisen-PR.
- Recht & Compliance: Prüfung regulatorischer Vorgaben (DSGVO, BSIG).
- IT-Operations & Admins: Unterstützung bei Eindämmung und Wiederherstellung.
Rollenübersicht (generelle Aufgaben)
Diese Tabelle zeigt die grundsätzlichen Aufgaben jeder Rolle im Incident Response.
| Rolle | Aufgaben |
|---|---|
| SOC | Überwachung (SIEM, IDS/IPS) Erkennung von Vorfällen Erste Alarmierung an CSIRT |
| CSIRT | Bewertung der Kritikalität Koordination der Maßnahmen Forensische Analyse Erstellung Incident Report Lessons Learned & Anpassung der Prozesse |
| IT-Operations | Umsetzung technischer Maßnahmen Isolierung betroffener Systeme Firewall-Regeln setzen Recovery: Backups einspielen, Systeme säubern |
| Management | Entscheidung über Eskalation Freigabe von Ressourcen Information interner Stakeholder Kommunikation nach außen (z. B. Presse) |
| BSI / CERT-Bund | Externe Meldestelle für Vorfälle nach §8b BSIG Unterstützung bei Analyse schwerer Vorfälle Koordination mit internationalen CERTs |
Phasen-Rollen-Matrix (praktischer Ablauf)
Diese Matrix zeigt, welche Rolle in welcher Phase des Incident Response aktiv wird.
| Phase | SOC | CSIRT | IT-Operations | Management / BSI |
|---|---|---|---|---|
| Erkennung | Alarm durch IDS / SIEM | |||
| Bewertung | Bewertung Vorfall Kritikalität feststellen |
|||
| Eindämmung | Vorgabe Maßnahmen | Systeme isolieren Firewall-Regeln setzen |
||
| Analyse | Forensik Malware-Analyse Ursache feststellen |
Logfiles liefern Systeme bereitstellen |
||
| Recovery | Freigabe Recovery-Plan | Systeme säubern Backups einspielen |
||
| Kommunikation | Statusbericht | Vorfallbericht erstellen | Info an Mgmt / BSI | |
| Nachbereitung | Lessons Learned Report Anpassung Policies |
Input zu technischen Verbesserungen | Maßnahmen beschließen |
Nachbereitung und Analyse
- Ursachenanalyse zur Schließung der Sicherheitslücke.
- Erstellung eines Lessons Learned Reports zur Verbesserung von Prozessen.
- Anpassung der IT-Sicherheitsrichtlinien und Incident-Response-Pläne.
- Schulung und Sensibilisierung von Mitarbeitern.
Kontinuierliche Verbesserung
- Regelmäßige Incident-Response-Übungen (Tabletop, Red/Blue-Team).
- Nutzung von Threat Intelligence zur Früherkennung.
- Laufende Verbesserung von SIEM- und Detection-Systemen.
- Kooperation mit externen Partnern (BSI, CERT-Bund, internationale CERTs).
BSI-konforme Sicherheitsmaßnahmen
- Umsetzung der BSI IT-Grundschutz-Methodik zur strukturierten Vorfallbehandlung.
- Orientierung an NIST SP 800-61 (Incident Handling Guide).
- Umsetzung von ISO/IEC 27035 für das Management von Sicherheitsvorfällen.
- Berücksichtigung von KRITIS-Vorgaben, falls zutreffend.
Externe Meldepflichten
- Sicherheitsvorfälle mit hoher Kritikalität sind gemäß § 8b BSIG an das BSI zu melden.
- Kooperation mit nationalen und internationalen CERTs.
- Falls personenbezogene Daten betroffen sind: Meldung an die Datenschutzbehörde nach Art. 33 DSGVO.