Monkey Business - stock.adobe.co
Incident Response: Auf Sicherheitsvorfälle richtig reagieren
Von der richtigen Reaktion auf Sicherheitsvorfälle hängt für Unternehmen viel ab. Grund genug, sich näher mit den Aufgaben von Incident-Response-Spezialisten zu beschäftigen.
Wenn es in einem Unternehmen zu einem Sicherheitsvorfall kommt – und das passiert irgendwann unweigerlich – dann ist die Reaktion darauf von entscheidender Bedeutung. Sei es im Hinblick auf die Bekämpfung der Bedrohungslage, die Weiterführung des Geschäftsbetriebs und auch die Eingrenzung des Schadens.
Dementsprechend wichtig ist ein Vorfallreaktionsplan oder auch Incident-Response-Plan (IRP). Und selbstverständlich gibt es Spezialisten, die sich genau mit diesen Themen beschäftigen. Diese können analysieren, was denn tatsächlich vorgefallen ist oder aktuell noch abläuft, um dann die richtigen Maßnahmen zu ergreifen. Aktuelle Umfragen zeigen häufig, dass sich hiesige Unternehmen nur so bedingt gut auf Cyberangriffe vorbereitet fühlen. Das Thema Incident Response ist ein wichtiger Baustein bei einer solchen Vorbereitung.
Im Gespräch im ComputerWeekly.de gewährt Rense Buijen einen Einblick in die Tätigkeit von Spezialisten für die Vorfallreaktion, oder kurz Incident Respondern. Rense Buijen ist Technical Director bei Trend Micro. Er leitet das europäische Incident-Response-Team des japanischen IT-Sicherheitsanbieters.
Was sind genau die Aufgaben eines Experten im Bereich Incident Response? Wie sehen typische Aufgabenstellungen aus?
Rense Buijen: Incident Responder haben eine Reihe von Aufgaben, hauptsächlich beschäftigen wir uns aber mit der Bekämpfung von schweren Bedrohungslagen und Breaches. Wird ein Unternehmen angegriffen (oder glaubt, angegriffen zu werden), helfen wir dabei festzustellen, was vor sich geht, wie das Problem gelöst und die Bedrohung beseitigt werden kann. Zudem stellen wir sicher, dass ein solcher Zwischenfall zukünftig durch bessere Sicherheitsmaßnahmen verhindert werden kann.
Was genau wir tun, hängt vom konkreten Fall ab. Zu unseren möglichen Aufgaben zählt dabei die Beratung zum Umgang mit einem Vorfall ebenso wie tatsächliches Threat Hunting, also die direkte Bekämpfung von Bedrohungen beziehungsweise Hackern in einem Unternehmensnetzwerk.
Zudem leisten wir digitale Forensik, um den Ursprung und die Funktionsweise von Bedrohungen wie Malware zu ermitteln, den Modus Operandi von Hackern zu verfolgen und Beweise für die Verfolgung von Straftaten zu sammeln. Außerdem führen wir die Installation und Konfiguration von zusätzlichen Sicherheitslösungen und -maßnahmen durch – und vieles mehr.
In welchen Bereichen kommen Spezialisten für die Vorfallreaktion zum Einsatz?
Buijen: Wir werden typischerweise in Situationen eingesetzt, in denen es entweder zu einer schwerwiegenden Störung des Geschäftsbetriebs eines Unternehmens kommt – zum Beispiel bei großen Ransomware-Angriffen – oder bei schweren Breaches, bei denen Daten gestohlen worden sein könnten. Zudem gehen wir gegen Hacker vor, die potentiell im Auftrag fremder Staaten agieren. Wir versuchen dann, diese aufzuspüren, Beweise für ihre Aktivitäten zu sammeln und sie aus dem Netzwerk zu entfernen.
Etwas seltener kommen wir schon zu einem früheren Zeitpunkt zum Einsatz: Nämlich dann, wenn es gerade erste Anzeichen für eine schwere Malware-Infektion im Netzwerk gibt, die zu einem umfassenderen Angriff oder zur Exfiltration von Daten führen könnten.
Bei welcher Art von Unternehmen werden Experten im Bereich Incident Response beschäftigt?
Buijen: Spezialisten im Bereich Incident Response werden, wie in unserem Fall, von den großen IT-Sicherheitsanbietern beschäftigt. Daneben gibt es entsprechende Stellen auch bei einigen IT-Service-Providern sowie bei Dienstleistern, die sich auf Incident Response spezialisiert haben. Zudem haben auch einige Großunternehmen und staatliche Stellen eigene Spezialisten in diesem Bereich.
„Incident Responder haben eine Reihe von Aufgaben, hauptsächlich beschäftigen wir uns aber mit der Bekämpfung von schweren Bedrohungslagen und Breaches.“
Rense Buijen, Trend Micro
Unser Team unterstützt dabei grundsätzlich jede Art von Unternehmen, die der Meinung sind, dass sie Hilfe benötigen, um mit einer bestimmten Bedrohung fertig zu werden.
Welche Fähigkeiten und Eigenschaften sollten die Incident-Response-Fachleute mitbringen?
Buijen: Leidenschaft für die Arbeit und eine gewisse Neugier sind die wichtigsten Eigenschaften. Darüber hinaus benötigen unsere Experten aber auch umfangreiches technisches Wissen zu einer Vielzahl von Themen, einschließlich Netzwerk-, Endpunkt- und Serversicherheit sowie Mail- und Gateway-Technologien. Dazu kommen Kenntnisse in digitaler Forensik sowie der aktuellen Bedrohungslandschaft und dem Bereich Malware.
Welche Tools und Ausrüstung verwenden Spezialisten im Bereich Incident Response?
Buijen: Jeder Incident Responder hat seine bevorzugten Tools oder wurde auf einen bestimmten Satz von Werkzeugen geschult. Abgesehen von einigen proprietären Tools und Lösungen, sind die meisten unserer Werkzeuge Open Source. Es gibt eine breite Gemeinschaft, die gemeinsam an diesen Tools arbeitet. Die SIFT Workstation des SANS Institute ist eine solche Sammlung von Werkzeugen, die viele Incident Responder bei ihrer täglichen Arbeit verwenden.