Team zur Reaktion auf Computersicherheitsvorfälle
Version vom 15. September 2025, 15:41 Uhr von Thomas.will (Diskussion | Beiträge)
Team zur Reaktion auf Computersicherheitsvorfälle
- Definition und Bedeutung
- Ein Team zur Reaktion auf Computersicherheitsvorfälle, meist als CSIRT (Computer Security Incident Response Team) oder CERT (Computer Emergency Response Team) bezeichnet, ist ein zentrales Element der Cybersicherheitsstrategie.
- Ziel ist die schnelle Erkennung, Eindämmung, Analyse und Nachbereitung von Sicherheitsvorfällen.
- Ein Security Operations Center (SOC) dient primär der Überwachung und Alarmierung, während das CSIRT für die eigentliche Reaktion zuständig ist.
Vorfallbearbeitung
- Phasen nach NIST / ISO
- Erkennung und Meldung: Alarmierung durch IDS/IPS, SIEM, Mitarbeiter oder externe Hinweise.
- Bewertung: CSIRT analysiert die Kritikalität und entscheidet über Eskalation.
- Eindämmung: Sofortmaßnahmen zur Begrenzung (Isolierung, Segmentierung).
- Analyse: Forensik, Malware-Analyse, Ursachenforschung.
- Wiederherstellung: Systeme säubern, Backups einspielen, Patching.
- Nachbereitung: Incident Report, Lessons Learned, Prozessverbesserung.
![Bearbeiten](javascript:editDrawio("1524423240", "It-gs1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("435026372", "It-gs2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Struktur des Incident-Response-Teams
- Incident Manager: Koordination und Verantwortung für den Vorfall.
- Forensik-Analysten: Analyse kompromittierter Systeme und Beweissicherung.
- Netzwerksicherheitsspezialisten: Untersuchung von Netzwerkverkehr.
- Malware-Analysten: Analyse und Gegenmaßnahmen bei Schadsoftware.
- Kommunikationsteam: Interne und externe Kommunikation, Krisen-PR.
- Recht & Compliance: Prüfung regulatorischer Vorgaben (DSGVO, BSIG).
- IT-Operations & Admins: Unterstützung bei Eindämmung und Wiederherstellung.
Wer macht was im Incident Response
| Rolle | Aufgaben |
|---|---|
| SOC | * Überwachung (SIEM, IDS/IPS) * Erkennung von Vorfällen * Erste Alarmierung an CSIRT |
| CSIRT | * Bewertung der Kritikalität * Koordination der Maßnahmen * Forensische Analyse * Erstellung Incident Report * Lessons Learned & Anpassung der Prozesse |
| IT-Operations | * Umsetzung technischer Maßnahmen * Isolierung betroffener Systeme * Firewall-Regeln setzen * Recovery: Backups einspielen, Systeme säubern |
| Management | * Entscheidung über Eskalation * Freigabe von Ressourcen * Information interner Stakeholder * Kommunikation nach außen (z. B. Presse) |
| BSI / CERT-Bund | * Externe Meldestelle für Vorfälle nach §8b BSIG * Unterstützung bei Analyse schwerer Vorfälle * Koordination mit internationalen CERTs |
Nachbereitung und Analyse
- Ursachenanalyse zur Schließung der Sicherheitslücke.
- Erstellung eines Lessons Learned Reports zur Verbesserung von Prozessen.
- Anpassung der IT-Sicherheitsrichtlinien und Incident-Response-Pläne.
- Schulung und Sensibilisierung von Mitarbeitern.
Kontinuierliche Verbesserung
- Regelmäßige Incident-Response-Übungen (Tabletop, Red/Blue-Team).
- Nutzung von Threat Intelligence zur Früherkennung.
- Laufende Verbesserung von SIEM- und Detection-Systemen.
- Kooperation mit externen Partnern (BSI, CERT-Bund, internationale CERTs).
BSI-konforme Sicherheitsmaßnahmen
- Umsetzung der BSI IT-Grundschutz-Methodik zur strukturierten Vorfallbehandlung.
- Orientierung an NIST SP 800-61 (Incident Handling Guide).
- Umsetzung von ISO/IEC 27035 für das Management von Sicherheitsvorfällen.
- Berücksichtigung von KRITIS-Vorgaben, falls zutreffend.
Externe Meldepflichten
- Sicherheitsvorfälle mit hoher Kritikalität sind gemäß § 8b BSIG an das BSI zu melden.
- Kooperation mit nationalen und internationalen CERTs.
- Falls personenbezogene Daten betroffen sind: Meldung an die Datenschutzbehörde nach Art. 33 DSGVO.