Incident Response
Der Incident-Response-Prozess beschreibt ein strukturiertes Vorgehen zur Vorbereitung, Erkennung, Eindämmung, Beseitigung und Nachbereitung von Sicherheitsvorfällen. Ziel ist es, Schäden zu minimieren, den Geschäftsbetrieb wiederherzustellen und aus Vorfällen nachhaltig zu lernen.
Preparation
Vorbereitung umfasst alle organisatorischen, technischen und personellen Maßnahmen, um auf Sicherheitsvorfälle reagieren zu können. In dieser Phase wird die Grundlage für eine effektive Incident Response geschaffen.
| Hilfe | Beschreibung |
|---|---|
| IR-Plan & Playbooks | Klar definierte Incident-Response-Pläne mit Rollen, Verantwortlichkeiten, Eskalationsstufen und Entscheidungsbefugnissen. Playbooks pro Szenario (Ransomware, Phishing, Insider, Cloud). |
| Rollen & Zuständigkeiten | Vorab festgelegte IR-Rollen (Lead, Technik, Kommunikation, Legal, Management). Stellvertreter definieren. Keine Mehrdeutigkeiten. |
| Logging & Sichtbarkeit | Zentrale Logsammlung (SIEM), ausreichende Log-Retention, Zeitsynchronisation (NTP) und Test der Log-Qualität. |
| Asset- & Dateninventar | Aktuelle Übersicht über Systeme, Anwendungen, Identit&äten, kritische Daten und Abhängigkeiten. Ohne Inventar keine Priorisierung. |
| Zugriff & Berechtigungen | Minimale Rechte (Least Privilege), getrennte Admin-Konten, Notfall-Accounts (“Break Glass“) regelmäßig testen. |
| Forensik-Bereitschaft | Vorbereitete Forensik-Toolsets, sichere Ablageorte, Prozesse für Beweissicherung und Chain of Custody. |
| Kommunikationswege | Alternative Kommunikationskanäle für den Krisenfall (Out-of-Band), klare interne und externe Kommunikationsregeln. |
| Backups & Restore-Tests | Regelmäßige, offline/immutable Backups und nachweislich getestete Wiederherstellungsverfahren für kritische Systeme. |
| Übungen & Tabletop | Regelmäßige Tabletop-Exercises und technische Übungen, um Abläufe, Entscheidungsfindung und Tooling zu testen. |
| Externe Unterstützung | Vorab Verträge/Kontakte zu externen DFIR-Dienstleistern, Rechtsberatung und PR. Im Incident ist es zu spät. |
| Recht & Compliance | Kenntnis von Meldepflichten (z. B. DSGVO), Abstimmung mit Datenschutz, Legal und Management. |
Identification
In der Identifikationsphase wird festgestellt, ob ein Sicherheitsvorfall vorliegt, wie schwerwiegend er ist und welche Systeme betroffen sind.
| Hilfe | Beschreibung |
|---|---|
| Alarme & Alerts | Eingang von Alerts aus SIEM, EDR, IDS/IPS, Cloud-Security-Tools oder Drittanbieter-Meldungen. |
| User-Reports | Meldungen von Anwendern zu verdächtigem Verhalten (Phishing, ungewöhnliche Pop-ups, Performance-Probleme). |
| Log-Analyse | Analyse von Authentifizierungs-, Netzwerk-, Applikations- und Systemlogs zur Bestätigung oder Widerlegung eines Incidents. |
| IOC-Abgleich | Abgleich beobachteter Artefakte mit bekannten IOCs (Hashes, IPs, Domains, URLs, Dateinamen). |
| Anomalie-Erkennung | Erkennung ungewöhnlicher Muster wie neue Admin-Accounts, atypische Login-Zeiten oder ungewöhnliche Netzwerkflüsse. |
| Scope-Bestimmung | Ermittlung betroffener Systeme, Benutzer, Daten und möglicher lateral movement Pfade. |
| Zeitliche Einordnung | Bestimmung des frühestmöglichen Kompromittierungszeitpunkts ("Initial Access") und der weiteren Ereignisabfolge. |
| Incident-Klassifizierung | Einordnung nach Typ (Malware, Ransomware, Phishing, Insider, Data Breach, Cloud Incident). |
| Schweregrad-Bewertung | Bewertung von Impact, Kritikalität und Dringlichkeit als Grundlage für Eskalation und Priorisierung. |
| False-Positive-Prüfung | Verifikation, ob es sich um einen echten Incident oder um einen Fehlalarm handelt. |
| Initiale Dokumentation | Lückenlose Dokumentation aller Beobachtungen, Entscheidungen und Zeitpunkte ab Erstmeldung. |
| Kommunikation & Eskalation | Informieren des IR-Teams, Managements oder externer Stellen gemäß Eskalationsmatrix. |
| Tooling | Einsatz von SIEM, EDR, SOAR, Threat-Intel-Plattformen, DFIR-Skripten und manuellen Abfragen. |
Containment
Ziel der Eindämmung ist es, die weitere Ausbreitung des Vorfalls zu stoppen und zusätzlichen Schaden zu verhindern.
| Hilfe | Beschreibung |
|---|---|
| Systemisolierung | Betroffene Hosts logisch vom Netzwerk trennen (EDR-Isolation, VLAN-Quarantäne), ohne sie sofort herunterzufahren. |
| Netzwerksegmentierung | Temporäre Blockierung der Kommunikation zwischen Segmenten, um laterale Bewegung zu unterbinden. |
| Firewall-Regeln | Sperren bekannter C2-IP-Adressen, Domains und Ports auf Perimeter- und internen Firewalls. |
| Account-Sperrung | Deaktivieren kompromittierter Benutzer-, Service- und Admin-Konten inklusive Token- und Session-Invalidierung. |
| EDR-Blocking | Blockieren oder Killen erkannter schädlicher Prozesse, Hashes und Command-Lines über EDR-Richtlinien. |
| IOC-Blocking | Umsetzung identifizierter IOCs (Hashes, Domains, IPs, URLs) in SIEM, EDR, Proxy und Mail-Gateways. |
| E-Mail-Maßnahmen | Rückzug (Recall) schädlicher E-Mails, Sperren von Absendern, Domains und Anhängen in Mail-Systemen. |
| Change-Freeze | Temporärer Stopp nicht notwendiger Änderungen, um weitere Risiken und Spurenverwischung zu vermeiden. |
| Beweissicherung | Vor tiefgreifenden Maßnahmen Sicherung von Speicherabbildern, Logs und relevanten Artefakten für die Forensik. |
Eradication
In dieser Phase wird die eigentliche Ursache des Vorfalls beseitigt, z. B. Malware, Backdoors, Fehlkonfigurationen oder Änderungen, welche der Angreifer verursacht hat
| Hilfe | Beschreibung |
|---|---|
| Root-Cause-Analyse | Identifikation des initialen Angriffsvektors (z. B. Phishing, Exploit, Credential Theft), um eine erneute Kompromittierung zu verhindern. |
| Malware-Entfernung | Vollständige Entfernung von Malware, Droppers, Loadern und Skripten mittels EDR, AV und manueller Analyse. |
| Persistenz beseitigen | Entfernen von Autostart-Einträgen, Scheduled Tasks, Services, Registry-Keys, WMI-Events und Backdoors. |
| Schwachstellen schließen | Patchen ausgenutzter Software, Betriebssysteme und Abhängigkeiten sowie Beheben von Fehlkonfigurationen. |
| Credential-Reset | Zurücksetzen aller potenziell kompromittierten Zugangsdaten, inklusive Service-Accounts, API-Keys und Zertifikate. |
| Golden-Image-Rebuild | Neuaufsetzen betroffener Systeme aus geprüften, sauberen Images, statt reinem “Cleaning“ kompromittierter Hosts. |
| Artefakt-Validierung | Prüfung, dass keine verdächtigen Dateien, Registry-Einträge, Nutzer oder Netzwerkverbindungen zurückgeblieben sind. |
| Threat-Hunting | Aktive Suche nach ähnlichen Indikatoren in der gesamten Umgebung, um versteckte oder sekundäre Infektionen aufzudecken. |
| Baseline-Wiederherstellung | Abgleich der Systeme mit bekannten Secure-Baselines (Hardening-Standards, CIS Benchmarks). |
Recovery
Wiederherstellung der Systeme und Dienste in einen sicheren Betriebszustand, inklusive verstärkter Überwachung.
| Hilfen | Beschreibung |
|---|---|
| Wiederherstellung | Systeme aus sauberen Backups wiederherstellen. |
| Monitoring | Erhöhte Überwachung nach dem Incident. |
| Tests | Funktionstests und Sicherheitsüberprüfungen. |
| Freigabe | Kontrollierte Rückkehr in den Produktivbetrieb. |
Lessons Learned
Abschlussphase zur Analyse des Vorfalls, Ableitung von Verbesserungen und Optimierung der Sicherheits- und IR-Prozesse.
| Hilfen | Beschreibung |
|---|---|
| Post-Incident-Review | Dokumentation des Ablaufs und der Erkenntnisse. |
| Prozessanpassung | Verbesserung von Playbooks, Richtlinien und Technik. |
| Schulungen | Gezielte Trainings auf Basis des Vorfalls. |
| Prävention | Maßnahmen zur Vermeidung ähnlicher Incidents. |
