Team zur Reaktion auf Computersicherheitsvorfälle: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 29: | Zeile 29: | ||
* '''IT-Operations & Admins''': Unterstützung bei Eindämmung und Wiederherstellung. | * '''IT-Operations & Admins''': Unterstützung bei Eindämmung und Wiederherstellung. | ||
| − | = | + | = Rollenübersicht (generelle Aufgaben) = |
| + | |||
| + | Diese Tabelle zeigt die grundsätzlichen Aufgaben jeder Rolle im Incident Response. | ||
| + | |||
| + | {| class="wikitable" style="width:100%; text-align:left;" | ||
| + | ! Rolle !! Aufgaben | ||
| + | |- | ||
| + | | '''SOC''' || Überwachung (SIEM, IDS/IPS)<br>Erkennung von Vorfällen<br>Erste Alarmierung an CSIRT | ||
| + | |- | ||
| + | | '''CSIRT''' || Bewertung der Kritikalität<br>Koordination der Maßnahmen<br>Forensische Analyse<br>Erstellung Incident Report<br>Lessons Learned & Anpassung der Prozesse | ||
| + | |- | ||
| + | | '''IT-Operations'''|| Umsetzung technischer Maßnahmen<br>Isolierung betroffener Systeme<br>Firewall-Regeln setzen<br>Recovery: Backups einspielen, Systeme säubern | ||
| + | |- | ||
| + | | '''Management''' || Entscheidung über Eskalation<br>Freigabe von Ressourcen<br>Information interner Stakeholder<br>Kommunikation nach außen (z. B. Presse) | ||
| + | |- | ||
| + | | '''BSI / CERT-Bund''' || Externe Meldestelle für Vorfälle nach §8b BSIG<br>Unterstützung bei Analyse schwerer Vorfälle<br>Koordination mit internationalen CERTs | ||
| + | |} | ||
| + | |||
| + | = Phasen-Rollen-Matrix (praktischer Ablauf) = | ||
| + | |||
| + | Diese Matrix zeigt, welche Rolle in welcher Phase des Incident Response aktiv wird. | ||
{| class="wikitable" style="width:100%; text-align:center;" | {| class="wikitable" style="width:100%; text-align:center;" | ||
| − | ! | + | ! Phase !! SOC !! CSIRT !! IT-Operations !! Management / BSI |
| + | |- | ||
| + | | '''Erkennung''' || Alarm durch IDS / SIEM || || || | ||
| + | |- | ||
| + | | '''Bewertung''' || || Bewertung Vorfall<br>Kritikalität feststellen || || | ||
|- | |- | ||
| − | | ''' | + | | '''Eindämmung''' || || Vorgabe Maßnahmen || Systeme isolieren<br>Firewall-Regeln setzen || |
|- | |- | ||
| − | | ''' | + | | '''Analyse''' || || Forensik<br>Malware-Analyse<br>Ursache feststellen || Logfiles liefern<br>Systeme bereitstellen || |
|- | |- | ||
| − | | ''' | + | | '''Recovery''' || || Freigabe Recovery-Plan || Systeme säubern<br>Backups einspielen || |
|- | |- | ||
| − | | ''' | + | | '''Kommunikation''' || Statusbericht || Vorfallbericht erstellen || || Info an Mgmt / BSI |
|- | |- | ||
| − | | ''' | + | | '''Nachbereitung''' || || Lessons Learned Report<br>Anpassung Policies || Input zu technischen Verbesserungen || Maßnahmen beschließen |
|} | |} | ||
Aktuelle Version vom 15. September 2025, 15:46 Uhr
Team zur Reaktion auf Computersicherheitsvorfälle
- Definition und Bedeutung
- Ein Team zur Reaktion auf Computersicherheitsvorfälle, meist als CSIRT (Computer Security Incident Response Team) oder CERT (Computer Emergency Response Team) bezeichnet, ist ein zentrales Element der Cybersicherheitsstrategie.
- Ziel ist die schnelle Erkennung, Eindämmung, Analyse und Nachbereitung von Sicherheitsvorfällen.
- Ein Security Operations Center (SOC) dient primär der Überwachung und Alarmierung, während das CSIRT für die eigentliche Reaktion zuständig ist.
Vorfallbearbeitung
- Phasen nach NIST / ISO
- Erkennung und Meldung: Alarmierung durch IDS/IPS, SIEM, Mitarbeiter oder externe Hinweise.
- Bewertung: CSIRT analysiert die Kritikalität und entscheidet über Eskalation.
- Eindämmung: Sofortmaßnahmen zur Begrenzung (Isolierung, Segmentierung).
- Analyse: Forensik, Malware-Analyse, Ursachenforschung.
- Wiederherstellung: Systeme säubern, Backups einspielen, Patching.
- Nachbereitung: Incident Report, Lessons Learned, Prozessverbesserung.
![Bearbeiten](javascript:editDrawio("16917103", "It-gs1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("836372723", "It-gs2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Struktur des Incident-Response-Teams
- Incident Manager: Koordination und Verantwortung für den Vorfall.
- Forensik-Analysten: Analyse kompromittierter Systeme und Beweissicherung.
- Netzwerksicherheitsspezialisten: Untersuchung von Netzwerkverkehr.
- Malware-Analysten: Analyse und Gegenmaßnahmen bei Schadsoftware.
- Kommunikationsteam: Interne und externe Kommunikation, Krisen-PR.
- Recht & Compliance: Prüfung regulatorischer Vorgaben (DSGVO, BSIG).
- IT-Operations & Admins: Unterstützung bei Eindämmung und Wiederherstellung.
Rollenübersicht (generelle Aufgaben)
Diese Tabelle zeigt die grundsätzlichen Aufgaben jeder Rolle im Incident Response.
| Rolle | Aufgaben |
|---|---|
| SOC | Überwachung (SIEM, IDS/IPS) Erkennung von Vorfällen Erste Alarmierung an CSIRT |
| CSIRT | Bewertung der Kritikalität Koordination der Maßnahmen Forensische Analyse Erstellung Incident Report Lessons Learned & Anpassung der Prozesse |
| IT-Operations | Umsetzung technischer Maßnahmen Isolierung betroffener Systeme Firewall-Regeln setzen Recovery: Backups einspielen, Systeme säubern |
| Management | Entscheidung über Eskalation Freigabe von Ressourcen Information interner Stakeholder Kommunikation nach außen (z. B. Presse) |
| BSI / CERT-Bund | Externe Meldestelle für Vorfälle nach §8b BSIG Unterstützung bei Analyse schwerer Vorfälle Koordination mit internationalen CERTs |
Phasen-Rollen-Matrix (praktischer Ablauf)
Diese Matrix zeigt, welche Rolle in welcher Phase des Incident Response aktiv wird.
| Phase | SOC | CSIRT | IT-Operations | Management / BSI |
|---|---|---|---|---|
| Erkennung | Alarm durch IDS / SIEM | |||
| Bewertung | Bewertung Vorfall Kritikalität feststellen |
|||
| Eindämmung | Vorgabe Maßnahmen | Systeme isolieren Firewall-Regeln setzen |
||
| Analyse | Forensik Malware-Analyse Ursache feststellen |
Logfiles liefern Systeme bereitstellen |
||
| Recovery | Freigabe Recovery-Plan | Systeme säubern Backups einspielen |
||
| Kommunikation | Statusbericht | Vorfallbericht erstellen | Info an Mgmt / BSI | |
| Nachbereitung | Lessons Learned Report Anpassung Policies |
Input zu technischen Verbesserungen | Maßnahmen beschließen |
Nachbereitung und Analyse
- Ursachenanalyse zur Schließung der Sicherheitslücke.
- Erstellung eines Lessons Learned Reports zur Verbesserung von Prozessen.
- Anpassung der IT-Sicherheitsrichtlinien und Incident-Response-Pläne.
- Schulung und Sensibilisierung von Mitarbeitern.
Kontinuierliche Verbesserung
- Regelmäßige Incident-Response-Übungen (Tabletop, Red/Blue-Team).
- Nutzung von Threat Intelligence zur Früherkennung.
- Laufende Verbesserung von SIEM- und Detection-Systemen.
- Kooperation mit externen Partnern (BSI, CERT-Bund, internationale CERTs).
BSI-konforme Sicherheitsmaßnahmen
- Umsetzung der BSI IT-Grundschutz-Methodik zur strukturierten Vorfallbehandlung.
- Orientierung an NIST SP 800-61 (Incident Handling Guide).
- Umsetzung von ISO/IEC 27035 für das Management von Sicherheitsvorfällen.
- Berücksichtigung von KRITIS-Vorgaben, falls zutreffend.
Externe Meldepflichten
- Sicherheitsvorfälle mit hoher Kritikalität sind gemäß § 8b BSIG an das BSI zu melden.
- Kooperation mit nationalen und internationalen CERTs.
- Falls personenbezogene Daten betroffen sind: Meldung an die Datenschutzbehörde nach Art. 33 DSGVO.