Incident Response (manchmal auch als Reaktion auf Cybersicherheitsvorfälle bezeichnet) bezieht sich auf die Prozesse und Technologien eines Unternehmens zur Erkennung von und Reaktion auf Cyberbedrohungen, Sicherheitsverletzungen oder Cyberangriffe. Das Ziel der Incident Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.

Im Idealfall definiert ein Unternehmen Prozesse und Technologien für die Incident Response in einem formellen Incident Response- Plan (IR-Plan), der genau festlegt, wie die verschiedenen Arten von Cyberangriffen identifiziert, eingeschränkt und gelöst werden sollen. Ein effektiver IR-Plan kann Cybersicherheitsteams dabei helfen, Cyberbedrohungen zu erkennen und einzuschränken, betroffene Systeme schneller wiederherzustellen und die mit diesen Bedrohungen verbundenen Umsatzeinbußen, Bußgelder und anderen Kosten zu reduzieren. IBMs „Cost of a Data Breach 2022“-Bericht ergab, dass Unternehmen, die über Incident Response-Teams und regelmäßig getestete IR-Pläne verfügen, die durchschnittlichen Kosten für Datenschutzverletzungen um 2,66 Millionen US-Dollar niedriger lagen als bei Unternehmen ohne Incident Response-Teams und IR-Pläne.

Ein Sicherheitsvorfall oder ein Sicherheitsereignis ist eine digitale oder physische Verletzung, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationssysteme oder der sensiblen Daten eines Unternehmens bedroht. Sicherheitsvorfälle können von vorsätzlichen Cyberangriffen durch Hacker oder unautorisierten Benutzern bis hin zu unbeabsichtigten Verstößen gegen Sicherheitsrichtlinien durch rechtmäßig befugte Benutzer reichen.

Einige der häufigsten Sicherheitsvorfälle umfassen:

Ransomware. Ransomware ist eine Art der Schadsoftware oder Malware, die die Daten oder das EDV-Gerät eines Opfers sperrt und damit droht, es gesperrt zu halten. Oder sie droht noch Schlimmeres, wenn das Opfer sich weigert, dem Angreifer ein Lösegeld zu zahlen. IBMs „Cost of a Data Breach 2022“-Bericht enthüllte, dass Ransomware-Angriffe zwischen 2021 und 2022 um 41 Prozent anstiegen.

Mehr zu Ransomware.

Phishing und Social Engineering. Bei Phishing-Angriffen handelt es sich um digitale Nachrichten oder Sprachnachrichten, mit denen versucht wird, die Empfänger zur Weitergabe vertraulicher Informationen, zum Herunterladen bösartiger Software, zur Überweisung von Geldern oder Vermögenswerten an die falschen Personen oder zu einer anderen schädlichen Handlung zu verleiten. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder klingen, als kämen sie von einer vertrauenswürdigen oder glaubwürdigen Institution oder Person - manchmal sogar von einer Person, die der Empfänger persönlich kennt.

Phishing ist die kostspieligste und zweithäufigste Ursache für Datenschutzverletzungen, laut IBMs „Cost of a Data Breach 2022“-Bericht. Es ist auch die häufigste Form des Social Engineering - eine Angriffsklasse, die eher die menschliche Natur als digitale Sicherheitsschwachstellen ausnutzt, um unbefugten Zugriff auf sensible personenbezogene oder Unternehmensdaten oder -anlagen nehmen zu können.

Mehr zu Social Engineering.

Mehr zu DDoS-Angriffen. Bei einem DDoS-Angriff (Distributed Denial of Service) erlangen Hacker die Fernkontrolle über eine große Anzahl von Computern. Sie nutzen diese, um das Netz oder die Server eines Zielunternehmens mit Datenverkehr zu überschwemmen, damit diese Ressourcen für legitime Benutzer nicht mehr verfügbar sind.

Mehr zu DDoS-Angriffen.

Supply-Chain-Angriffe. Bei Supply-Chain-Angriffen handelt es sich um Cyberattacken, die ein Zielunternehmen infiltrieren, indem sie dessen Lieferanten angreifen. Dies geschieht beispielsweise durch den Diebstahl sensibler Daten aus den Systemen eines Lieferanten oder durch die Nutzung der Services eines Lieferanten zur Verbreitung von Malware. Im Juli 2021 nutzten Cyberkriminelle eine Schwachstelle in der VSA-Plattform von Kaseya  (Link befindet sich außerhalb von ibm.com), um Ransomeware unter dem Deckmantel eines legitimen Software-Updates an Kunden zu verteilen. Obwohl Angriffe auf die Supply-Chain immer häufiger vorkommen, verfügen nur 32 Prozent der Unternehmen über IR-Pläne gegen diese spezielle Cyberbedrohung, laut IBMs „2021 Cyber Resilient Organization Study“.

Mehr zu Transparenz in der Supply-Chain.

Gefahren durch Insider Es gibt zwei Arten von Insider-Bedrohungen. Böswillige Insider sind Mitarbeiter, Partner oder andere autorisierte Benutzer, die absichtlich die Informationssicherheit eines Unternehmens gefährden. Fahrlässige Insider sind autorisierte Benutzer, die unbeabsichtigt die Sicherheit gefährden, indem sie sich nicht an bewährte Sicherheitspraktiken halten, z. B. indem sie schwache Passwörter verwenden oder sensible Daten an unsicheren Orten speichern. 

Mehr zu Bedrohungen durch Insider.

Incident Response-Planung

Wie oben erwähnt, werden die Maßnahmen eines Unternehmens zur Incident Response durch einen Incident Response-Plan (IR-Plan) gesteuert. Diese werden in der Regel von einem Computer Security Incident Response-Team (CSIRT) erstellt und durchgeführt. Es setzt sich aus Beteiligten aus dem gesamten Unternehmen zusammen - dem Chief Information Security Officer (CISO), dem Security Operations Center (SOC) und den IT-Mitarbeitern, aber auch aus Vertretern der Geschäftsleitung, der Rechtsabteilung, der Personalabteilung, der Compliance-Abteilung für gesetzliche Vorschriften und der Abteilung für Risikomanagement.

Ein IR-Plan umfasst in der Regel:

• Die Rollen und Verantwortlichkeiten jedes Mitglied des CSIRT;
• Die Sicherheitslösungen - Software, Hardware und andere Technologien - die im gesamten Unternehmen installiert werden müssen.
• Ein Business Continuity-Plan zur Aufrechterhaltung des Geschäftsbetriebs, in dem Verfahren zur schnellstmöglichen Wiederherstellung kritischer betroffener Systeme und Daten im Falle eines Ausfalls festgelegt werden;
• Eine detaillierte Incident Response-Vorgehensweise, in der die spezifischen Schritte festgelegt sind, die in jeder Phase des Incident Response-Prozesses (siehe unten) durchgeführt werden müssen und von wem;
• Ein Kommunikationsplan über Vorfälle zur Information von Führungskräften des Unternehmens, Mitarbeitern, Kunden und sogar Strafverfolgungsbehörden;
• Anweisungen für die Erfassung von Informationen und die Dokumentation von Vorfällen für die nachträgliche Untersuchung und (falls erforderlich) für Gerichtsverfahren. 

Es ist nicht ungewöhnlich, dass das CSIRT verschiedene IR-Pläne für verschiedene Arten von Vorfällen erstellt, da jede Art von Vorfall eine besondere Reaktion erfordern kann. Laut IBMs „2021 Cyber Resilient Organization Study“ verfügen die meisten Unternehmen über spezielle IP-Pläne gegen DDoS-Angriffe, Malware und Ransomware sowie Phishing, und beinahe die Hälfte verfügt über Pläne gegen Insider-Bedrohungen.

Einige Unternehmen ergänzen ihre internen CSIRTs durch Hilfe von externen Partnern, die Incident Response-Services anbieten. Diese Partner arbeiten oft auf Honorarbasis und leisten Unterstützung bei verschiedenen Aspekten des Incident Management-Prozesses, einschließlich der Vorbereitung und Durchführung von IR-Plänen.

Der Incident Management-Prozess

Die meisten IR-Pläne folgen auch dem gleichen allgemeinen Rahmen für die Incident Response auf der Grundlage von Incident Response-Modellen, die vom SANS Institute, dem National Institute of Standards and Technology (NIST) und der Cybersecurity and Infrastructure Agency (CISA) entwickelt wurden.

Vorbereitung. Diese erste Phase der Incident Response ist auch eine kontinuierliche, um sicherzustellen, dass das CSIRT immer über die bestmöglichen Verfahren und Tools verfügt, um einen Vorfall so schnell wie möglich und mit minimaler Betriebsunterbrechung zu erkennen, einzudämmen und zu beheben.

Durch regelmäßige Risikobewertungen identifiziert das CSIRT Schwachstellen im Netz, definiert die verschiedenen Arten von Sicherheitsvorfällen, die ein Risiko für das Netz darstellen, und priorisiert jede Art von Vorfällen entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen. Basierend auf dieser Risikobewertung kann das CSIRT bestehende IR-Pläne aktualisieren oder neue IR-Pläne erstellen.

Erkennung und Analyse. In dieser Phase überwachen die Mitglieder des Sicherheitsteams das Netz auf verdächtige Aktivitäten und potenzielle Bedrohungen. Sie analysieren Daten, Benachrichtigungen und Warnungen, die von Geräteprotokollen und verschiedenen im Netz installierten Sicherheitstools (Antiviren-Software, Firewalls) erfasst werden, filtern die falsch-positiven Meldungen heraus und ordnen die tatsächlichen Warnungen nach ihrem Schweregrad.

Heutzutage verwenden die meisten Unternehmen eine oder mehrere Sicherheitslösungen wie SIEM (Security Information and Event Management) und EDR (Endpoint Detection and Response), um Sicherheitsteams bei der Überwachung und Analyse von Sicherheitsereignissen in Echtzeit zu unterstützen und die Prozesse zur Erkennung von und Reaktion auf Vorfälle zu automatisieren. (Siehe „Incident Response-Technologien“ unten für weitere Informationen.)

In dieser Phase kommt auch der Kommunikationsplan ins Spiel. Sobald das CSIRT festgestellt hat, mit welcher Art von Bedrohung oder Sicherheitsverletzung es zu tun hat, benachrichtigt es die zuständigen Mitarbeiter, bevor es zur nächsten Phase des Incident Response-Prozesses übergeht. 

Abgrenzung. Das Incident Response-Team ergreift Maßnahmen, um zu verhindern, dass die Sicherheitsverletzung weiteren Schaden im Netz verursacht. Abgrenzungen können in zwei Kategorien unterteilt werden:

• Kurzfristige Abgrenzungsmaßnahmen konzentrieren sich darauf, die Ausbreitung der aktuellen Bedrohung zu verhindern, indem die betroffenen Systeme isoliert werden, z. B. indem infizierte Geräte aus dem Netz genommen werden.
• Langfristige Abgrenzungsmaßnahmen konzentrieren sich auf den Schutz nicht betroffener Systeme durch stärkere Sicherheitskontrollen, z. B. die Segmentierung sensibler Datenbanken vom Rest des Netzes.

In dieser Phase kann das CSIRT auch Sicherungskopien der betroffenen und nicht betroffenen Systeme erstellen, um weitere Datenverluste zu verhindern und forensische Beweise des Vorfalls für zukünftige Ermittlungen zu sichern. 

Beseitigung. Sobald die Sicherheitsbedrohung eingedämmt wurde, geht das Team zur vollständigen Beseitigung der Sicherheitsbedrohung aus dem System über. Dazu gehört die aktive Beseitigung der Bedrohung selbst, z. B. die Vernichtung der Malware, das Booten eines nicht autorisierten oder skrupellosen Benutzers aus dem Netz und die Überprüfung betroffener und nicht betroffener Systeme, um sicherzustellen, dass keine Spuren der Verletzung zurückbleiben. 

Wiederherstellung. Wenn das Incident Response-Team sicher ist, dass die Bedrohung vollständig beseitigt wurde, stellt es den regulären Betrieb der betroffenen Systeme wieder her. Dies kann die Bereitstellung von Patches, die Wiederherstellung von Systemen anhand von Backups und die Wiederinbetriebnahme korrigierter Systeme und Geräte umfassen.

Überprüfung nach einem Vorfall. In jeder Phase des Incident Response-Prozesses sammelt das CSIRT Beweise für die Sicherheitsverletzung und dokumentiert die Schritte, die es zur Eingrenzung und Beseitigung der Bedrohung ergreift. In dieser Phase überprüft das CSIRT diese Informationen, um den Vorfall besser zu verstehen. Das CSIRT versucht, die Ursache des Angriffs zu ermitteln und herauszufinden, wie das Netz erfolgreich angegriffen wurde. Es versucht auch, die Schwachstellen zu beheben, damit es in Zukunft nicht mehr zu solchen Vorfällen kommt. 

Das CSIRT überprüft auch, was funktioniert hat und sucht nach Möglichkeiten zur Verbesserung von Systemen, Tools und Prozessen, um Incident Response-Initiativen gegen künftige Angriffe zu stärken. Je nach den Umständen der Verletzung können auch Strafverfolgungsbehörden in die Untersuchung, die nach der Verletzung stattfindet, einbezogen werden. 

Zusätzlich zur Beschreibung von Schritten, wie oben erwähnt, die CSIRTs im Falle eines Sicherheitsvorfalls unternehmen sollten, beschreiben Incident Response-Pläne in der Regel auch die Sicherheitslösungen, die Incident Response-Teams haben sollten, um wichtige Workflows zur Incident Response durchzuführen oder zu automatisieren. Das umfasst beispielsweise die Erfassung und die Wechselbeziehung von Sicherheitsdaten, die Erkennung von Vorfällen in Echtzeit und die Reaktion auf laufende Angriffe.

Zu den am häufigsten verwendeten Technologien für die Incident Response gehören:

• SIEM (Security Information and Event Management): SIEM aggregiert und korreliert Daten des Sicherheitsereignisses von verschiedenen internen Sicherheitstools (z. B. Firewalls, Schwachstellen-Scanner, Threat Intelligence- Feeds) und von Geräten im Netz. SIEM kann Incident Response-Teams dabei helfen, die „Alarmmüdigkeit“ zu bekämpfen, indem es Indikatoren für tatsächliche Bedrohungen aus der riesigen Menge der von diesen Tools generierten Benachrichtigungen bereitstellt.
• SOAR (Security Orchestration, Automation and Response): SOAR ermöglicht es den Sicherheitsteams, Playbooks zu definieren (wobei es sich um formalisierte Workflows handelt, die verschiedene Sicherheitsmaßnahmen und -tools als Reaktion auf Sicherheitsvorfälle koordinieren) und Teile dieser Workflows nach Möglichkeit zu automatisieren.
• EDR (Endpoint Detection and Response): EDR ist eine Software, die entwickelt wurde, um die Endbenutzer, Endgeräte und IT-Ressourcen eines Unternehmens automatisch vor Cyberbedrohungen zu schützen, die von Antivirensoftware und anderen herkömmlichen Endpunkt-Sicherheitstools nicht entdeckt werden. EDR erfasst kontinuierlich Daten von allen Endpunkten im Netz. Sie analysiert die Daten in Echtzeit nach Hinweisen auf bekannte oder vermutete Cyberbedrohungen und kann automatisch reagieren, um Schäden durch erkannte Bedrohungen zu verhindern oder zu minimieren.
• XDR (Extended Detection and Response): XDR ist eine Technologie der Cybersicherheit, die Sicherheitstools, Kontrollpunkte, Daten- und Telemetriequellen sowie Analysen in der gesamten hybriden IT-Umgebung (Endpunkte, Netze, private und öffentliche Clouds) vereint, um ein einziges, zentrales Unternehmenssystem zur Abwehr, Erkennung und Reaktion auf Bedrohungen zu schaffen. Die noch junge XDR-Technologie hat das Potenzial, überlasteten Sicherheitsteams und Security Operations Centers (SOCs) dabei behilflich zu sein, mit weniger mehr zu erreichen, indem sie Silos zwischen den Sicherheitstools beseitigt und die Reaktion über die gesamte Angriffskette von Cyberbedrohungen automatisiert.
• UEBA (User and Entity Behavior Analytics): (UEBA) setzt Verhaltensanalysen, Algorithmen für maschinelles Lernen und Automatisierung ein, um abnormales und potenziell gefährliches Benutzer- und Geräteverhalten zu erkennen. UEBA ist besonders effektiv bei der Identifizierung von Insider-Bedrohungen - also böswillige Insider oder Hacker, die kompromittierte Insider-Zugriffsdaten verwenden - die durch andere Sicherheitstools nicht erkannt werden können, weil sie autorisierten Netzverkehr imitieren. UEBA-Funktionalität ist häufig in SIEM-, EDR- und XDR-Lösungen enthalten.
• ASM (Attach Surface Management): ASM-Lösungen automatisieren die kontinuierliche Erkennung, Analyse, Beseitigung und Überwachung von Schwachstellen und potenziellen Angriffsvektoren für alle Vermögenswerte innerhalb der Angriffsfläche eines Unternehmens. ASM kann bisher nicht überwachte Netzressourcen aufdecken und Beziehungen zwischen Ressourcen aufzeigen.