Das sogenannte CSIRT (Computer Security Incident Response Team) ist eine Gruppe von Mitarbeitern, die eigens für die Reaktion auf Sicherheitsvorfälle eingesetzt wird. Sie ist spezialisiert auf eine zeitnahe Reaktion und möglichst effektive Lösungen. Das CSIRT ist ein wenig wie das SWAT-Team für IT-Systeme, also eine Art Spezialeinheit im Unternehmen, welche sich auf nur eine Aufgabe konzentriert und diese im Notfall dann bestmöglich ausführt.
Wir werden uns dieses »Sonderkommando« der IT-Sicherheit heute mal ein wenig umfassender anschauen und Sie darüber aufklären, wo genau die praktischen Aufgaben des CSIRT zu finden sind. Auf diese Weise möchten wir, wie schon mehrmals zuvor, ganz besondere Gruppierungen der Cybersicherheit entsprechend beleuchten und Fakten schaffen, wo zuvor nur Unwissenheit herrschte.
Was ist das Computer Security Incident Response Team?
Die Hauptaufgabe des CSIRT besteht darin, die Reaktion auf mögliche Hackerangriffe, Sicherheitsvorfälle, Datenverlustmeldungen oder Infektionen der IT-Systeme einzuleiten. Es ist also für die Incident Response (Reaktion auf Cybersicherheitsvorfälle) verantwortlich und muss zeitnah entsprechende Maßnahmen einleiten, sobald dies notwendig wird.
Wie Unternehmen auf einen Incident Response reagieren, hängt in erster Linie allerdings von dem Incident Response-Plan (IR-Plan) ab. Genau dieser muss allerdings erst einmal erstellt werden, wofür sich ebenfalls das Computer Security Incident Response Team (CSIRT) verantwortlich zeichnet. Gleichzeitig führt das CSIRT den IR-Plan anschließend auch aus, sollte es zu einem Sicherheitsvorfall kommen, bei dem dies notwendig wird.
Neben der gängigen Bezeichnung in der Kurzform »CSIRT« für Computer Security Incident Response Team, existieren weitere Namen wie zum Beispiel Computer Emergency Response Team (CERT), Computersicherheits-Ereignis- und Reaktionsteam und noch einige andere Bezeichnungen. Etabliert hat sich innerhalb der Branche jedoch überwiegend der Begriff CSIRT für Security Incident Response Team.
Wer im Unternehmen ist Teil des CSIRT?
Cybersicherheit ist längst nicht mehr nur das, was einige wenige IT-Experten und Sicherheitsspezialisten betrifft. Weder die Geschäftsführung noch gängige Stakeholder können sich bei der Incident Response ausschließlich auf andere verlassen. Heutzutage sind sie vielmehr Teil eines großen Teams, welches sich um selbige kümmert. Doch schauen wir uns das noch einmal genauer an.
Zu einem Computer Security Incident Response Team (CSIRT) gehören unternehmensweit viele Entscheidungsträger. Teil des CSIRT ist unter anderem der CISO, also der Chief Information Security Officer. Auch der Security Operater sowie die meisten IT-Mitarbeiter gehören fest zu dem Team der Incident Response. Gleichzeitig ist es ebenso wichtig, dass auch die Geschäftsleitung und die Rechtsabteilung involviert sind. Ebenso wie übrigens die Compliance-Abteilung, die sich um gesetzliche Vorschriften und das Risikomanagement kümmert.
Wer genau Teil des Teams ist, hängt von der Größe des jeweiligen Unternehmens und der dortigen Aufstellung ab. Heutzutage ist es zum Beispiel nicht ungewöhnlich, dass das interne CSIRT durch externe Partner und Sicherheitsexperten oder Sicherheitsfirmen ergänzt wird. Gerade wenn es um den grundlegenden Aufbau geht oder die erstmalige Erstellung eines ISMS, helfen auch wir Unternehmen bei der Realisierung.
Wie funktioniert ein Incident Response mit CSIRT?
Der Incident Response ist Teil einer größeren Strategie im Bereich der Cybersicherheit. Er beinhaltet die Erkennung und gleichzeitig die sofortige Reaktion auf Bedrohungen im Bereich der IT-Sicherheit. Wird eine solche erkannt, greift der Incident Response, wofür wiederum das CSIRT zuständig ist, welches gleichzeitig den bereits erwähnten Incident Response Plan (IR-Plan) erstellt hat.
Ziel aller Incident Response Bemühungen ist es, die Sicherheitsvorfälle und Cyberangriffe von vornherein zu verhindern, sie also gar nicht erst stattfinden zu lassen. Damit soll bei Weitem nicht nur die IT-Sicherheit selbst erhöht werden, sondern auch dafür gesorgt werden, dass der Geschäftsbetrieb dauerhaft aufrechterhalten werden kann.
Das CSIRT legt zu diesem Zweck einen sehr umfangreichen IR-Plan an. Also einen Plan, wie bei einem Incident Response seitens des CSIRT vorgegangen wird. Und weil das Thema des IR-Plans überaus relevant erscheint, wollen wir uns genau den jetzt noch einmal genauer ansehen.
Was genau ist ein IR-Plan und wozu ist er gut?
Der IR-Plan dient, wie zuvor schon beschrieben, für die bestmögliche Incident Response. Aus der IT-Welt wissen Sie sicherlich, wie kompliziert verschiedene Systeme und unternehmensinterne Richtlinien ausfallen können. Der IR-Plan verhindert, dass Sie sich im Ernstfall über all das Gedanken machen müssen. Vielmehr hat das CSIRT dies bereits im Vorfeld getan und darauf aufbauend den Plan erstellt.
Halten wir also kurz fest, dass der Incident Response mithilfe des Incident Response-Plan (IR-Plan) gesteuert wird, welcher wiederum vom Computer Security Incident Response Team (CSIRT) erstellt wurde. Der IR-Plan umfasst dabei unter anderem die folgenden Punkte:
- Verantwortlichkeiten und Rollenverteilung von jedem einzelnen Teammitglied des CSIRT.
- Eine Planung zur Aufrechterhaltung des Geschäftsbetriebs und Maßnahmen, um diesen bei einem Ausfall kritischer Systeme schnellstmöglich gewährleisten zu können.
- Genaue Anleitung und Planung der Incident Response und der einzelnen Prozesse, mitsamt genauer Personenzuordnung.
- Nachträgliche Bereitstellung und Sammlung notwendiger Daten, um Gerichtsverfahren zu stützen oder eine Analyse der Ereignisse vornehmen zu können.
Es gibt, je nach Größe des Unternehmens und der jeweiligen Branche, durchaus noch weitere Punkte und Bereiche, die mit in einen IR-Plan aufgenommen werden sollten. Es ist auch nicht ungewöhnlich, dass mehrere solche IR-Pläne existieren, die jeweils auf einen spezifischen Anwendungsfall oder Angriff angepasst wurden. Das ergibt aufgrund der Komplexität einiger Cyberattacken auch Sinn, kommt jedoch auf den jeweiligen Einzelfall an.
Wie funktioniert der Incident Management-Prozess?
Die meisten der verfügbaren Incident Response-Modelle stammen vom SANS Institute, dem National Institute of Standards and Technology (NIST) oder der Cybersecurity and Infrastructure Agency (CISA). Darauf aufbauend kreiert jedes CSIRT seinen eigenen IR-Plan, hält sich aber für gewöhnlich an die geltenden Leitlinien, die innerhalb der Sicherheitsbranche bereits existieren. Das ist mitunter auch notwendig, um die einwandfreie Kommunikation sicherstellen zu können. Dazu gehören fünf typische Phasen einer Incident Response.
Vorbereitung:
Am Anfang jeder Incident Response steht eine bestmögliche Vorbereitung auf Sicherheitsvorfälle. Diese beinhaltet die kontinuierliche Überwachung aller Systeme und den Einsatz modernster Verfahren und Softwarelösungen, um Sicherheitsvorfälle entsprechend zeitnah oder sogar vorab erkennen zu können. Nur dann, wenn das CSIRT schnellstmöglich über Angriffe Bescheid weiß, kann es auch entsprechend reagieren. Und nur wenn es schnell genug reagieren kann, lässt sich der Geschäftsbetrieb entsprechend aufrechterhalten. IR-Pläne werden dabei konstant optimiert und korrigiert, sodass jede neue Erkenntnis auch gleich in den IR-Plan mit aufgenommen werden kann. Hier wird dann ebenfalls deutlich, wie wichtig es ist, einen IR-Plan regelmäßig zu aktualisieren.
Erkennung:
Die Erkennung erfolgt während der routinemäßigen Analyse von Vorfällen und Netzwerken. Verdächtige Aktivitäten, potenzielle Bedrohungen und merkwürdige Vorkommnisse gilt es stets genauer zu untersuchen. Erleichtert wird solch eine Erkennung durch unterschiedliche Tools, Firewalls und Log-Files, sodass es meist mehr als genug Daten gibt, die vor dem eigentlichen Vorfall schon darauf hindeuten, dass etwas nicht stimmt. Moderne Systeme wie das SIEM (Security Information and Event Management) und die EDR (Endpoint Detection and Response) unterstützen das CSIRT zusätzlich dabei, alle Vorkommnisse bestmöglich und in Echtzeit analysieren zu können. Wichtig innerhalb der Erkennungsphase ist eine tadellose Kommunikation, die weitere Incident Response-Prozesse einleitet oder die Vorfälle an die entsprechenden Mitarbeiter übergibt.
Isolation:
Um weiteren Schaden im Unternehmensnetz zu verhindern, muss das CSIRT schnell reagieren und die notwendigen Schritte einleiten. Hier beginnt die Isolation. Zu den ersten Maßnahmen gehört vornehmlich eine Isolation der betroffenen IT-Systeme. Diese gilt es, so schnell wie nur möglich, vom restlichen Netzwerk zu trennen, um eine Ausbreitung der Bedrohung entsprechend verhindern zu können. Für gewöhnlich werden angegriffene oder bereits infizierte Geräte erst einmal vom Netz genommen. Auf lange Sicht ergibt es zudem häufig Sinn, Systeme, Datenbanken oder Teile der IT-Struktur zu segmentieren. Das schafft kleinere Angriffsflächen, die vom CSIRT zudem besser kontrolliert und instand gehalten werden können. Während der Isolation müssen zudem Datenverluste vermieden werden. Zu diesem Zweck werden meist unverzüglich etwaige Backups erstellt. Forensische Beweise müssen hier natürlich ebenfalls gesammelt werden. Diese können bei kommenden Gerichtsverhandlungen oder Nachforschungen später noch überaus hilfreich sein. Damit ist der Angriff isoliert und abgegrenzt, sodass zum nächsten Schritt übergegangen werden kann.
Entfernung:
Der Fokus des CSIRT sollte zunächst einmal darauf liegen, die Bedrohung entsprechend zu erkennen und zu isolieren. Ist dies geschehen, besteht für die anderen Systeme größtenteils keine direkte Gefahr mehr. Nun kann mit der Entfernung oder auch der Vernichtung begonnen werden. Dazu gehört es beispielsweise, Malware restlos zu beseitigen und betroffene Systeme genaustens zu analysieren, um Spuren und Überbleibsel jeglicher Art aufspüren und löschen zu können. Manchmal muss auch komplette Hardware ausgetauscht werden, wenn es gar nicht anders geht oder die Angriffe zu tief sitzen, um sie sicher und vollständig entfernen zu können.
Wiederherstellung:
Innerhalb der Wiederherstellungsphase übernimmt das Incident Response Team die Rückführung in den vorherigen Betrieb. Dafür muss es zuvor jedoch ganz sicher sein, dass die Bedrohungen rückstandslos entfernt werden konnten. Erst dann lassen sich IT-Systeme wieder in ihren ursprünglichen Zustand versetzen, sodass auch hier der Geschäftsbetrieb weiterlaufen kann. Zur Wiederherstellung gehört es auch, neue Patches aufzuspielen oder die Schwachstellen durch zusätzliche Maßnahmen zu schließen, um eine erneute Attacke zu vermeiden oder aber gekonnt abzuwehren. Backups garantieren hier, dass während all dieser Phasen keinerlei Daten verloren gehen.
Sind die verschiedenen Phasen vom CSIRT soweit erfolgreich abgeschlossen worden, kann die Incident Response als beendet betrachtet werden. Zumindest fast, denn für das CSIRT ist hier nicht Schluss. Vielmehr sollte das Incident Response Team die gesammelten Erkenntnisse des Angriffs auswerten und versuchen zu verstehen, wie es überhaupt zu dem Angriff kam, wie dieser durchging und welche Schwachstellen dafür verantwortlich waren.
Da in jeder der unterschiedlichen Phasen genügend Daten gesammelt werden sollten, sind diese nun genaustens zu analysieren. Mit den gewonnenen Erkenntnissen kann das CSIRT die IT-Systeme, die verwendeten Tools und entsprechende Prozesse optimieren und auf diese Weise dafür sorgen, dass derartige Cyberbedrohungen in Zukunft keine Rolle mehr spielen. Am Ende der eigentlichen Incident Response fängt die Arbeit für das CSIRT also noch einmal so richtig an, auch weil die gesammelten Beweise jetzt erst vollständig an Strafverfolgungsbehörden übergeben werden.
Ein Team für alle Sicherheitsvorfälle im Unternehmen
Das CSIRT ist am Ende ein Team für alle Sicherheitsvorfälle in Ihrem Unternehmen. Es setzt sich aus ganz unterschiedlichen Positionen zusammen, sodass eine große fachliche Kompetenz in allen Bereichen entsteht. Durch diese Vielfalt ist das CSIRT entsprechend handlungsstark und leitet unzählige Maßnahmen ein, die zu einer erhöhten Cybersicherheit in den jeweiligen Unternehmen beitragen. Damit wird das CSIRT unverzichtbar in modernen Organisationen und stellt einen wichtigen Eckpfeiler von Cybersicherheitsstrategien dar.
Mit dem Computer Security Incident Response Team steht also eine Einheit gemeint, die sich um die wichtigsten Belange der Sicherheit kümmert. Kommt es zu einem unerwarteten Zwischenfall, springt dieses Team ein, sorgt für Ordnung und analysiert am Ende auch noch die Ereignisse. Damit finden die Reaktionen auf Vorfälle bestmöglich statt und Sie müssen sich zudem keine gesonderten Gedanken mehr darüber machen, wer sich um was genau kümmert. Das CSIRT ist für alle Belange in diesen Bereichen zuständig.