Startseite
Themen
Reaktion auf Vorfälle
Aktualisiert: 20. August 2024
Mitwirkende: Jim Holdsworth, Matthew Kosinski
Reaktion auf Vorfälle (manchmal auch Incident Response oder Reaktion auf Cybersicherheitsvorfälle genannt) bezieht sich auf die Prozesse und Technologien eines Unternehmens zur Erkennung und Reaktion auf Cyberbedrohungen, Sicherheitsverletzungen und Cyberangriffe. Ein formeller Notfallplan ermöglicht es den Cybersicherheitsteams, Schäden zu begrenzen oder zu verhindern.
Das Ziel der Incident Response ist es,Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren. Die Reaktion auf Vorfälle ist der technische Teil des Vorfallmanagements, das auch die Geschäftsführung, die Personalabteilung und die Rechtsabteilung bei einem schwerwiegenden Vorfall einbezieht.
Idealerweise definiert ein Unternehmen die Prozesse und Technologien zur Reaktion auf Vorfälle in einem formellen Notfallplan (IRP), der festlegt, wie verschiedene Arten von Cyberangriffen identifiziert, eingedämmt und gelöst werden sollten.
Ein effektiver Notfallplan kann den Teams zur Reaktion auf Cybervorfälle dabei helfen, Cyberbedrohungen zu erkennen und einzudämmen, betroffene Systeme wiederherzustellen und Einnahmeverluste, Bußgelder und andere Kosten zu reduzieren.
Der Cost of a Data Breach Report von IBM hat ergeben, dass Unternehmen mit einem Incident-Response-Team und formellen Plänen für die Reaktion auf Vorfälle die Kosten einer Datenschutzverletzung im Durchschnitt um fast eine halbe Million USD (473.706 USD) senken können.
Verbessern Sie die Möglichkeiten zur Vorfallsreaktion anhand dieses Berichts, der auf Erkenntnissen und Beobachtungen basiert, die durch die Überwachung von über 150 Milliarden Sicherheitsereignissen pro Tag in über 130 Ländern gewonnen wurden.
Ein Sicherheitsvorfall oder -ereignis ist jede digitale oder physische Verletzung, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationssysteme oder sensiblen Daten eines Unternehmens gefährdet. Sicherheitsvorfälle können von vorsätzlichen Cyberangriffen durch Hacker oder nicht autorisierte Benutzer bis hin zu unbeabsichtigten Verstößen gegen die Sicherheitsrichtlinie durch legitime autorisierte Benutzer reichen.
Zu den häufigsten Sicherheitsvorfällen gehören:
Ransomware ist eine Art von Schadsoftware oder Malware, die die Daten oder das Computergerät eines Opfers sperrt und damit droht, sie gesperrt zu lassen – oder Schlimmeres –, es sei denn, das Opfer zahlt ein Lösegeld. Der neueste X-Force Threat Intelligence Index von IBM berichtet, dass bei 20 % der Netzwerkangriffe Ransomware zum Einsatz kam und dass erpresserische Angriffe eine treibende Kraft in der Cyberkriminalität sind – nur übertroffen von Datendiebstahl und Datenlecks.
Phishing-Angriffe sind digitale Nachrichten oder Sprachnachrichten, die versuchen, die Empfänger dazu zu bringen, sensible Informationen preiszugeben, schädliche Software herunterzuladen, Geld oder Assets an die falschen Personen zu überweisen oder andere schädliche Maßnahmen zu ergreifen.
Angreifer gestalten Phishing-Nachrichten so, dass sie aussehen oder klingen, als ob sie von einer vertrauenswürdigen oder unbedenklichen Organisation oder Person stammen würden – manchmal sogar von einer Person, die dem Empfänger persönlich bekannt ist.
Phishing und gestohlene oder kompromittierte Zugangsdaten sind laut dem IBM Bericht über die Kosten einer Datenschutzverletzung die beiden häufigsten Angriffsvektoren. Phishing ist auch die häufigste Form des Social Engineering – eine Angriffsart, die sich die menschliche Natur zunutze macht, anstatt digitale Sicherheitslücken auszunutzen, um sich unbefugten Zugriff auf sensible persönliche oder Unternehmensdaten oder Assets zu verschaffen.
Bei einem DDoS-Angriff (Distributed Denial of Service) erlangen Hacker die Kontrolle über eine große Anzahl von Computern und nutzen diese, um das Netzwerk oder die Server eines Zielunternehmens mit fiktivem Datenverkehr zu überlasten, sodass diese Ressourcen für legitime Benutzer nicht mehr verfügbar sind.
Bei Angriffen auf die Lieferkette handelt es sich um Cyberattacken, die ein Zielunternehmen infiltrieren, indem sie dessen Zulieferer angreifen. Dies könnte beispielsweise den Diebstahl sensibler Daten aus den Systemen eines Lieferanten oder die Nutzung der Dienste eines Anbieters zur Verbreitung von Malware umfassen.
Es gibt zwei Arten von Insider-Bedrohungen. Böswillige Insider sind Mitarbeiter, Partner oder andere autorisierte Benutzer, die die Informationssicherheit eines Unternehmens absichtlich gefährden. Fahrlässige Insider sind autorisierte Benutzer, die unbeabsichtigt die Sicherheit gefährden, indem sie die Best Practices für die Sicherheit nicht befolgen, z. B. indem sie schwache Passwörter verwenden oder sensible Daten an unsicheren Orten speichern.
Dabei handelt es sich um einen Angreifer, der sich zunächst begrenzte Privilegien in einem System verschafft und diese nutzt, um sich seitlich zu bewegen, wobei er höhere Privilegien erhält und Zugriff auf sensiblere Daten erhält.
Gestohlene Zugangsdaten können dem Angreifer entweder beim ersten Zugang oder bei der Erhöhung seiner Privilegien helfen. Laut dem X-Force Threat Intelligence Index ist der Missbrauch gültiger Konten die häufigste Methode, mit der Angreifer heute in Systeme eindringen.
Bei einem MITM-Angriff fängt der Bedrohungsakteur eine Kommunikation ab – häufig eine E-Mail mit sensiblen Informationen wie Benutzernamen oder Passwörtern – und stiehlt oder verändert diese Kommunikation. Der Angreifer verwendet die gestohlenen Informationen entweder direkt oder schleust Malware ein, die an den beabsichtigten Empfänger weitergeleitet wird.
Die Maßnahmen eines Unternehmens zur Bewältigung von Vorfällen werden normalerweise von einem Notfallplan geleitet. In der Regel werden Pläne von einem Computer Security Incident Response Team (CSIRT) erstellt und ausgeführt, das sich aus Stakeholdern aus dem gesamten Unternehmen zusammensetzt.
Das CSIRT-Team kann aus dem Chief Information Security Officer (CISO), dem Security Operations Center (SOC), Sicherheitsanalysten und IT-Mitarbeitern bestehen. Dazu können auch Vertreter der Geschäftsleitung, der Rechtsabteilung, der Personalabteilung, der Einhaltung gesetzlicher Vorschriften, des Risikomanagements und möglicherweise externe Experten von Serviceanbietern gehören.
In dem Cost of a Data Breach Report wird festgestellt, dass „Unternehmen durch Investitionen in die Reaktionsbereitschaft dazu beitragen können, die kostspieligen und störenden Auswirkungen von Data Breaches zu verringern, die Geschäftskontinuität zu wahren und die Beziehungen zu Kunden, Partnern und anderen wichtigen Stakeholdern aufrechtzuerhalten.“
Ein Notfallplan umfasst in der Regel:
Ein Incident-Response-Playbook, das die Rollen und Verantwortlichkeiten jedes Mitglieds des CSIRT während des gesamten Lebenszyklus der Incident Response umfasst.
Die Sicherheitslösungen– Software, Hardware und andere Technologien – die im gesamten Unternehmen installiert werden müssen.
Ein Plan zur Geschäftskontinuität, der die Verfahren zur Wiederherstellung kritischer Systeme und Daten so schnell wie möglich im Falle eines Ausfalls beschreibt.
Eine Methodik für die Reaktion auf Vorfälle, in der die einzelnen Schritte, die in jeder Phase der Reaktion auf Vorfälle unternommen werden müssen, detailliert aufgeführt sind und von wem.
Ein Kommunikationsplan zur Information von Unternehmensleitung, Mitarbeitern, Kunden und Strafverfolgungsbehörden über Vorfälle.
Anweisungen zum Sammeln und Dokumentieren von Informationen über Vorfälle für die postmortale Überprüfung und (falls erforderlich) für Gerichtsverfahren.
Das CSIRT könnte verschiedene Reaktionspläne für verschiedene Arten von Vorfällen erstellen, da jede Art von Vorfall eine individuelle Reaktion erfordert. Viele Unternehmen verfügen über spezielle Notfallpläne für DDoS-Angriffe, Malware, Ransomware, Phishing und Insider-Bedrohungen.
Notfallpläne, die auf die Umgebung eines Unternehmens – oder mehrere Umgebungen – zugeschnitten sind, sind der Schlüssel zur Verkürzung der Zeit, die für die Reaktion, Behebung und Wiederherstellung nach einem Angriff benötigt wird.
Einige Unternehmen ergänzen ihre internen CSIRTs durch externe Partner, die Dienstleistungen zur Reaktion auf Vorfälle anbieten. Diese Partner arbeiten oft im Auftrag und unterstützen bei verschiedenen Aspekten des Vorfallmanagementprozesses, einschließlich der Vorbereitung und Durchführung von Notfallplänen.
Die meisten Notfallpläne folgen dem gleichen allgemeinen Framework für die Reaktion auf Vorfälle, der auf den vom National Institute of Standards and Technology (NIST)1 und dem SANS Institute2 entwickelten Modellen basiert. Zu den üblichen Schritten zur Reaktion auf Vorfälle gehören:
Diese erste Phase der Reaktion auf einen Vorfall ist auch eine kontinuierliche Phase. Das CSIRT wählt die bestmöglichen Verfahren, Tools und Techniken aus, um auf einen Vorfall zu reagieren, ihn zu identifizieren, einzudämmen und sich so schnell wie möglich und mit minimaler Betriebsunterbrechung davon zu erholen.
Durch regelmäßige Risikobewertungen identifiziert das CSIRT das zu schützende Geschäftsumfeld, die potenziellen Schwachstellen des Netzwerks und die verschiedenen Arten von Sicherheitsvorfällen, die ein Risiko für das Netzwerk darstellen. Das Team priorisiert jede Art von Vorfall nach seinen möglichen Auswirkungen auf das Unternehmen.
Das CSIRT könnte mehrere verschiedene Angriffsstrategien in „Wargames“ durchspielen und dann Vorlagen für die effektivsten Reaktionen erstellen, um bei einem echten Angriff schnell handeln zu können. Die Reaktionszeit kann verfolgt werden, um Metriken für zukünftige Übungen und mögliche Angriffe zu erstellen. Auf der Grundlage dieser vollständigen Risikobewertung kann das Notfallteam bestehende Notfallpläne aktualisieren oder neue erstellen.
Während dieser Phase überwachen die Mitglieder des Sicherheitsteams das Netzwerk auf verdächtige Aktivitäten und potenzielle Bedrohungen. Sie analysieren Daten, Benachrichtigungen und Alarme, die von Geräteprotokollen und verschiedenen Sicherheitstools (Antivirensoftware, Firewalls) gesammelt werden, um laufende Vorfälle zu identifizieren. Das Team arbeitet daran, Falschmeldungen aus echten Vorfällen herauszufiltern und ordnet die tatsächlichen Warnungen nach ihrem Schweregrad ein.
Heutzutage verwenden die meisten Unternehmen eine oder mehrere Sicherheitslösungen, wie z. B. Security Information and Event Management (SIEM) und Endpoint Detection and Response (EDR), um Sicherheitsereignisse in Echtzeit zu überwachen und die Reaktionsmaßnahmen zu automatisieren. (Weitere Informationen finden Sie im Abschnitt „Technologien zur Reaktion auf Vorfälle“.)
In dieser Phase kommt auch der Kommunikationsplan zum Tragen. Wenn das Notfallteam festgestellt hat, um welche Art von Bedrohung oder Sicherheitsverletzung es sich handelt, benachrichtigt es die zuständigen Mitarbeiter und geht dann zur nächsten Phase des Reaktionsprozesses über.
Das Notfallteam ergreift Maßnahmen, um zu verhindern, dass der Vorfall oder andere bösartigen Aktivitäten dem Netzwerk weiteren Schaden zufügt. Die Notfallpläne treten dann in Kraft. Es gibt zwei Kategorien von Eindämmungsaktivitäten:
Kurzfristige Eindämmungsmaßnahmen konzentrieren sich darauf, die Ausbreitung der aktuellen Bedrohung zu verhindern, indem die betroffenen Systeme isoliert werden, z. B. indem betroffene Geräte offline geschaltet werden.
Langfristige Eindämmungsmaßnahmen konzentrieren sich auf den Schutz nicht betroffener Systeme, indem sie stärkere Sicherheitskontrollen um sie herum einrichten, wie z. B. die Segmentierung sensibler Datenbanken vom Rest des Netzwerks.
In dieser Phase könnte das CSIRT auch Backups von betroffenen und nicht betroffenen Systemen erstellen, um weiteren Datenverlust zu verhindern und forensische Beweise des Vorfalls für zukünftige Untersuchungen zu sichern.
Nachdem die Bedrohung eingedämmt wurde, geht das Team zur vollständigen Beseitigung der Bedrohung aus dem System über. Dies könnte die Entfernung von Malware oder das Booten eines nicht autorisierten oder abtrünnigen Benutzers aus dem Netzwerk umfassen. Das Team überprüft außerdem sowohl die betroffenen als auch die nicht betroffenen Systeme, um sicherzustellen, dass keine Spuren der Sicherheitsverletzung zurückbleiben.
Wenn das Notfallteam davon überzeugt ist, dass die Bedrohung vollständig beseitigt wurde, werden die betroffenen Systeme wieder in den Normalbetrieb versetzt. Diese Sanierung kann die Installation von Patches, die Wiederherstellung von Systemen aus Backups und die Wiederinbetriebnahme von Systemen und Geräten umfassen. Eine Aufzeichnung des Angriffs und seiner Lösung wird für Analysen und Systemverbesserungen aufbewahrt.
In jeder Phase des Vorfallreaktionsprozesses erfasst das CSIRT Beweise für den Verstoß und dokumentiert die Schritte, die es zur Eindämmung und Beseitigung der Bedrohung unternimmt. In dieser Phase überprüft das CSIRT diese Informationen, um den Vorfall zu verstehen und „Lehren gezogen“ zu haben. Das CSIRT versucht, die Ursache des Angriffs zu ermitteln, herauszufinden, wie er erfolgreich in das Netzwerk eingedrungen ist, und Schwachstellen zu beheben, damit es in Zukunft nicht mehr zu solchen Vorfällen kommt.
Das CSIRT bewertet auch, welche Maßnahmen erfolgreich waren, und sucht nach Möglichkeiten, Systeme, Tools und Prozesse zu verbessern, um die Reaktionsfähigkeit bei zukünftigen Vorfällen zu stärken. Abhängig von den Umständen des Verstoßes kann die Strafverfolgung ebenfalls in die Untersuchung nach dem Vorfall involviert sein.
Neben der Beschreibung der Schritte, die CSIRTs während eines Sicherheitsvorfalls unternehmen sollten, werden in den Plänen für die Reaktion auf einen Vorfall in der Regel auch die Sicherheitslösungen beschrieben, die die Reaktionsteams verwenden sollten, um wichtige Arbeitsabläufe zu implementieren oder zu automatisieren, z. B. das Sammeln und Korrelieren von Sicherheitsdaten, die Erkennung von Vorfällen in Echtzeit und die Reaktion auf laufende Angriffe.
Einige der am häufigsten verwendeten Technologien zur Reaktion auf Vorfälle sind:
ASM-Lösungen automatisieren die kontinuierliche Erkennung, Analyse, Behebung und Überwachung von Schwachstellen und potenziellen Angriffsvektoren über alle Ressourcen der Angriffsfläche eines Unternehmens. ASM kann zuvor unbeobachtete Netzwerk-Assets aufdecken und Beziehungen zwischen Assets kartieren.
EDR ist dazu konzipiert, Endbenutzer, Endgeräte und IT-Assets im Unternehmen automatisch vor Cyberbedrohungen zu schützen, die Antiviren-Software und andere herkömmliche Tools für die Endpoint Security überwinden.
EDR erfasst kontinuierlich Daten von allen Endpunkten im Netzwerk. Es analysiert die Daten in Echtzeit nach Hinweisen auf bekannte oder vermutete Cyber-Bedrohungen und kann automatisch reagieren, um Schäden durch erkannte Bedrohungen zu verhindern oder zu minimieren.
SIEM aggregiert und korreliert Sicherheitsereignisdaten von unterschiedlichen internen Sicherheitstools (z. B. Firewalls, Schwachstellenscanner und Threat-Intelligence-Feeds) und von Geräten im Netzwerk.
SIEM kann Notfallteams dabei unterstützen, „Alarmermüdung“ (Alert Fatigue) zu bekämpfen, indem es Indikatoren für tatsächliche Bedrohungen von der riesigen Menge an Benachrichtigungen unterscheidet, die Sicherheitstools generieren.
SOAR ermöglicht es Sicherheitsteams, Playbooks zu definieren, formalisierte Workflows, die verschiedene Sicherheitsabläufe und Tools als Reaktion auf Sicherheitsvorfälle koordinieren. SOAR-Plattformen können, soweit möglich, auch Teile dieser Workflows automatisieren.
UEBA verwendet Verhaltensanalysen, Machine-Learning-Algorithmen und Automatisierung, um abnormales und potenziell gefährliches Benutzer- und Geräteverhalten zu erkennen.
UEBA ist besonders effektiv bei der Identifizierung von Insider Threats (d. h. Bedrohungen durch böswillige Insider oder durch Hacker, die kompromittierte Zugangsdaten von Insidern verwenden), die autorisierten Netzwerkverkehr nachahmen und daher von anderen Sicherheitstools möglicherweise nicht erkannt werden. UEBA-Funktionen sind häufig in SIEM-, EDR- und XDR-Lösungen enthalten.
XDR ist eine Cybersicherheitstechnologie, die Sicherheitstools, Kontrollpunkte, Daten- und Telemetriequellen sowie Analysen in der gesamten hybriden IT-Umgebung vereint. XDR schafft ein einziges, zentrales Unternehmenssystem für die Prävention, Erkennung und Reaktion auf Bedrohungen. XDR kann überlasteten Sicherheitsteams und SOCs dabei helfen, mit weniger mehr zu erreichen, indem es Silos zwischen Sicherheitstools beseitigt und Reaktionen in der gesamten Kill Chain von Cyberbedrohungen automatisiert.
Künstliche Intelligenz (KI) kann Unternehmen dabei unterstützen, eine stärkere Verteidigung gegen Cyberbedrohungen aufzubauen, genauso wie Datendiebe und Hacker KI nutzen, um ihre Angriffe zu optimieren.
Die Kosteneinsparungen durch zusätzlichen KI-basierten Schutz können erheblich sein. Laut dem Cost of a Data Breach Report von IBM können Unternehmen, die KI-gestützte Sicherheitslösungen einsetzen, bis zu 2,2 Millionen USD an Kosten für eine Datenschutzverletzung einsparen.
Unternehmenstaugliche, KI-gestützte Sicherheitssysteme können die Reaktionsfähigkeit auf Vorfälle durch folgende Maßnahmen verbessern:
KI-gestützte Systeme können die Erkennung und Abwehr von Bedrohungen beschleunigen, indem sie enorme Datenmengen überwachen, um die Suche nach verdächtigen Verkehrsmustern oder Benutzerverhalten zu beschleunigen.
KI-gestützte Systeme können proaktivere Prozesse zur Reaktion auf Vorfälle unterstützen, indem sie dem Cybersicherheitsteam Einblicke in Echtzeit gewähren, die Sichtung von Vorfällen automatisieren, die Abwehr von Cyberbedrohungen koordinieren und sogar angegriffene Systeme isolieren.
Die KI-gestützte Risikoanalyse kann Zusammenfassungen von Vorfällen erstellen, um die Untersuchung von Warnmeldungen zu beschleunigen und die Ursache für einen Ausfall zu finden. Diese Zusammenfassungen von Vorfällen können dabei helfen, vorherzusagen, welche Bedrohungen in Zukunft am wahrscheinlichsten sind, sodass das Notfallteam einen stärkeren Plan entwickeln kann, um diesen Bedrohungen zu begegnen.
Nutzen Sie die IBM-Lösungen zur Erkennung und Reaktion auf Bedrohungen, um Ihre Sicherheit zu erhöhen und die Erkennung von Bedrohungen zu beschleunigen.
Eine integrierte Lösungssuite, mit der Sie Richtlinien als Code definieren, Kontrollen für sichere Daten implementieren und die Sicherheit und Compliance in hybriden Multicloud-Umgebungen bewerten können.
Verwenden Sie DNS-Daten, um Fehlkonfigurationen und Sicherheitsprobleme schnell zu identifizieren.
Erfahren Sie, wie sich die heutige Sicherheitslandschaft verändert und wie Sie die Widerstandsfähigkeit der generativen KI nutzen können.
Analysieren Sie in dieser kostenlosen 3-stündigen Design-Thinking-Session, an der Sie virtuell oder persönlich teilnehmen können, Ihre Cybersicherheitslandschaft und priorisieren Sie Ihre nächsten Initiativen gemeinsam mit erfahrenen IBM Security Architects und Consultants.
Ransomware ist Malware, die Geräte und Daten von Opfern sperrt, bis ein Lösegeld bezahlt wird.
Alle Links befinden sich außerhalb von ibm.com.
1 Cybersecurity Framework's Five Functions, National Institute of Standards and Technology (NIST), 26. Februar 2024.
2 SANS Whitepaper: Incident Handler's Handbook, SANS Institute, 21. Februar 2012.