Incident Response: Aufklärung und Reaktion bei Sicherheitsvorfällen

Bei der Incident Response geht es um die ordnungsgemäße Behandlung eines IT-Sicherheitsvorfalls. Dies umfasst sowohl das rechtzeitige Einleiten der richtigen Gegenmaßnahmen als auch die Suche nach der Ursache, um eine Wiederholung des Vorfalls zu verhindern.

Incident Response wird grundsätzlich immer dann empfohlen, wenn es begründete Hinweise gibt, dass die Sicherheit Ihrer IT-Infrastruktur oder Ihrer Daten gefährdet ist. Wir unterstützen Sie sowohl bei einem Anfangsverdacht als auch bei einer akuten Kompromittierung. Unser Ziel ist es dabei immer, Ursachen zu ermitteln, um die Sicherheit Ihrer Infrastruktur schnell wiederherzustellen.

Sie wollen proaktiv den Sicherheitsstatus Ihres Netzwerk prüfen? Dann empfehlen wir stattdessen ein Threat Hunting.

Wir analysieren in der Regel Server- und Clientsysteme aus einer IT-Infrastruktur und decken dabei alle gängigen Betriebssystemfamilien ab. Hinzu kommen Mobilgeräte und externe Datenträger, wenn diese für den Vorfall relevant sind.

Die Dauer der Untersuchung hängt von der Art des Vorfalls und von der Menge der zu untersuchenden Systeme ab. In der Regel ist mit einer Dauer von zwei bis fünf Tagen zu rechnen. Bei einer Verschlüsselung mit Ransomware bieten wir Ihnen unsere Unterstützung während der gesamten Krisensituation vom Tag der Verschlüsselung, über die Verhandlungen mit den Angreifern bis hin zur Wiederherstellung Ihrer Systeme an. Dies ist ein längerer Prozess, dessen Dauer erfahrungsgemäß nicht unter 10 Tagen liegt.

Wir empfehlen die Erstellung eines eins-zu-eins Abbildes der in den kompromittierten Systemen verbauten Datenträger. Diese müssen dazu ausgebaut werden. Wir führen die Sicherung grundsätzlich in unserem Labor durch, können nach Absprache jedoch auch eine Sicherung bei Ihnen vor Ort anbieten. Die Datenträger werden anschließend von uns nicht mehr benötigt. Dieses Vorgehen ist insbesondere für Client-Systeme üblich. Ist das Ausbauen der Datenträger nicht möglich, führen wir eine forensische Live-Analyse durch. Dafür muss ein Tool auf den zu untersuchenden Systemen installiert werden. Die Datenakquise ist sowohl auf online-, als auch auf offline-Systemen möglich. In der Regel wird dieser Ansatz bei Servern verwendet.

Wir empfehlen eine Wiederverwendung potenziell kompromittierter Systeme erst nach expliziter Freigabe durch unsere Analysten. Dabei berücksichtigen wir Ihre Wünsche und können einzelne Systeme priorisieren. Wenn die Entscheidung getroffen wird, einen Client unabhängig vom Analyseergebnis neu aufzusetzen, kann dies bereits unmittelbar nach Erstellung des Datenträgerabbildes geschehen. Wir empfehlen dies allerdings nicht, wenn lediglich eine logische Sicherung durchgeführt wurde.

Sie erhalten die Ergebnisse nach Abschluss der Untersuchung in Form eines IT-forensischen Auswerteberichtes. Zudem stehen wir mit Ihnen während der Analysephase in ständigem Austausch und informieren Sie, auf Wunsch auch schriftlich, über aktuelle Zwischenstände. Dies ermöglicht Ihnen, notwendige Maßnahmen rechtzeitig umzusetzen.

Der IT-forensische Auswertebericht protokolliert einerseits unsere Vorgehensweise in allen Phasen der Analyse und erläutert andererseits die ermittelten Details zum Kompromittierungshergang. Abschließend geben wir Ihnen basierend auf den gewonnenen Erkenntnissen Empfehlungen mit, damit Sie eventuelle Sicherheitslücken schließen und zukünftige Vorfälle vermeiden können. Der Bericht wird auf Grundlage der forensischen Methodik angefertigt und kann daher als gerichtsfestes Gutachten verwendet werden.