Was ist ein CSIRT?

Foto: chaiyapruek youprasert – shutterstock.com

Eine Einsatztruppe für den Ernstfall – so könnte man die Funktion eines Computer Security Incident Response Teams (CSIRT) bezeichnen. CSIRT (oft auch CERT – Computer Emergency Response Team genannt) haben die Aufgabe, in Organisationen auf Security Incidents zu reagieren und die notwendigen Gegenmaßnahmen einzuleiten. Auch die Analyse und forensische Dokumentation von Angriffen ist ein wichtiger Bestandteil ihrer Arbeit. Ein Unternehmen kann ein CSIRT intern aufbauen oder eine externe Unterstützung durch einen Dienstleister beauftragen.

Jetzt kostenlos für den CSO-Newsletter anmelden

Welche Aufgaben hat das CSIRT?

Die Aufgaben eines CSIRT umfassen alle Aspekte, um den Schaden eines Security Incidents zu minimieren, Sicherheitsbedrohungen zu beseitigen sowie die Sicherheitsarchitektur für zukünftige Angriffe zu härten. Ein CSIRT ist damit sowohl in die strategische Prozessoptimierung als auch in die operative Angriffsbeseitigung involviert. Zu ersterem gehört die Vorbereitung auf potenzielle Angriffe und, falls der Ernstfall eintritt, die Nachbereitung des Vorfalls. Zu zweitem gehört die forensische Analyse eines Angriffs, die Kategorisierung des Incidents sowie die Einleitung von Gegenmaßnahmen und die Wiederherstellung der IT-Systeme.

Unternehmen sollten sich kontinuierlich damit auseinandersetzen, wie sie sich besser gegen Angriffe schützen können. Dafür bieten sich Incident-Response-Pläne und regelmäßigen Übungen an, die das Krisenmanagement für den Ernstfall vorbereiten. Ist dieser einmal eingetreten, sollten sich Verantwortliche die Frage stellen, welche Learnings aus dem Cyberangriff gezogen werden können. Denn klar ist: Das Krisenmanagement sollte mit jedem Incident deutlich besser werden.

Wann sollten Unternehmen ein CSIRT bilden oder beauftragen?

Die Bildung eines CSIRT ist für Unternehmen mit Kosten verbunden. Wie bei jeder betriebswirtschaftlichen Entscheidung müssen die interne Bereitstellung und die externe Beauftragung abgewogen werden. Nicht jedes Unternehmen benötigt ein intern aufgesetztes CSIRT, allerdings muss sich jedes Unternehmen auf Cybersecurity-Vorfälle vorbereiten. Bei der Abwägung von interner versus externer CSIRT-Bereitstellung spielt natürlich die Unternehmensgröße eine entscheidende Rolle. Aber auch branchen- und produktspezifische Sicherheitsrisiken sollten bei der Abwägung berücksichtigt werden.

Fällt die Entscheidung zugunsten einer externen Dienstleistung, kann diese im Kontext von CSIRT über sogenannte DFIR-Retainer (Digital Forensics Incident Response) umgesetzt werden. Dazu wird bei der Beauftragung eines externen Anbieters ein Stundenkontingent vordefiniert und bezahlt. Im Falle eines Cyberangriffs können diese Stunden dann über das Service-Level-Agreement (SLA) abgerufen werden. Die Kosten für einen DFIR-Retainer starten in der Regel bei 20.000 bis 30.000 Euro pro Jahr. Sowohl das DFIR-Team als auch das CSIRT werden nur im Falle eines Sicherheitsvorfalls aktiv. Die Beauftragung eines DFIR erfolgt dementsprechend als Absicherung für den Notfall. Zudem kann ein externer DFIR-Dienstleister dabei unterstützen, Prozesse für den Ernstfall aufzusetzen und diese mit dem Kunden üben. Im Idealfall wird dieses Training genauso alltäglich für Mitarbeitende werden, wie beispielsweise regelmäßige Probealarme der Brandmeldeanlage und die damit verbundene Gebäudeevakuierung.

Lesetipp: Gibt es bald den “CISO-as-a-Service”?

Welche Experten sollten in einem CSIRT vertreten sein?

Das zentrale Kriterium bei der Auswahl von Experten für ein CSIRT sollte deren Kenntnis von Security Incidents sein. Idealerweise sind die Mitarbeitenden in einem CSIRT in der Lage, sich in die Methodik und die Vorgehensweise von Angreifern hineinzuversetzen, um die Handlungsschritte des Gegenübers prognostizieren zu können. Dafür benötigt es einen breiten Überblick über IT-Systeme, verwendete Architekturen und die im Unternehmen eingesetzten Security-Lösungen.

Die Mitarbeitenden sollten zudem eine forensische Ausbildung haben, um gerichtsverwertbare Beweisaufnahmen durchzuführen und zu dokumentieren. So können wichtige Beweisstücke gesichert werden, um Ermittlungsbehörden zu unterstützen und mögliche Schadensersatzklagen führen zu können. In der Praxis bietet es sich daher an, Mitarbeitende der IT, wie beispielsweise Security Engineers oder Security Architects auf die Anforderungen des CSIRT zu schulen.

Lesetipp: So führen Sie IT-Forensik in der Praxis ein

Wie agiert ein CSIRT im Ernstfall?

Ein CSIRT handelt im Falle eines Security Incidents nach einem Playbook. In diesem Playbook ist für jede Art von Vorfall eine spezielle Vorgehensweise festgelegt, die dem Team hilft, schnell, schlagkräftig und koordiniert vorzugehen. Im ersten Schritt geht es deshalb darum, die Art des Incidents und seines Ausmaßes zu ermitteln und die richtige Einordnung im Playbook durchzuführen. Anschließend versucht das CSIRT, den Angriff einzudämmen, um die Ausbreitung zu stoppen und großen Schaden zu verhindern.

Im Rahmen dieser Tätigkeit fallen laufend neue Informationen darüber an, wie Angreifer die Sicherheitssysteme überwinden konnten und welche potenziellen Lücken im System noch vorhanden sind. Je eher diese Informationen vorliegen, umso schneller können weitere Zugriffswege blockiert und Sicherheitslücken geschlossen werden. Zeit ist hierbei ein elementarer und oft erfolgsentscheidender Faktor. Bei einem großen Incident, wie zum Beispiel dem Befall eines Unternehmens durch eine Ransomware, wird parallel mit dem Wiederaufbau begonnen. Dazu werden unternehmenskritische Anwendungen in einem zweiten IT-System parallel neu aufgesetzt, um die Arbeitsfähigkeit möglichst schnell wieder herzustellen. Dieser Wiederaufbau wird allerdings in der Regel nicht mehr durch das CSIRT, sondern durch die unternehmensinterne IT-Abteilung oder externe Dienstleister durchgeführt.

Lesetipp: Wie Hacker ihre Spuren verwischen

Welche Herausforderungen treten nach einem Incident auf?

Eine große Datenschutzverletzung kann sich schnell zu einer existentiellen Situation für Unternehmen entwickeln. Verantwortliche sollten daher nicht zögern, sich auf allen Ebenen Unterstützung im Bereich des Krisenmanagements zu holen. Gerade bei Cyberattacken steht die Gefahr eines Datenabflusses personenbezogener Daten im Raum. Da die Meldefristen sehr kurz sind und die Strafzahlungen für IT-Sicherheitsgesetz- und DSGVO-Verstöße von Seiten der Behörden jährlich höher ausfallen, müssen Unternehmen schnell handeln.

Für die Situationsbewertung braucht es daher möglichst schnell qualitative Analysen der betroffenen Systeme und Daten. Diese werden im Laufe des Incidents durch das CSIRT immer weiter verfeinert und belegt. Durch einen Abschlussbericht können auch Verbesserungsmaßnahmen vorgeschlagen werden, um einen gleichartigen Fall zukünftig zu verhindern. Darüber hinaus erfolgt auch immer ein Review des Security-Monitorings, um die Erkennung von Bedrohungen zu verbessern sowie ein Review der Prozesse. Alles mit dem Ziel, Incidents so früh wie nur möglich zu erkennen und so das Schadenspotenzial zu senken.

Lesetipp: So hoch waren die DSGVO-Bußgelder in 2022

Was sind das CERT-Bund und das Bürger-CERT?

Für Bundesbehörden steht das CERT-Bund zur Verfügung. Dieses CSIRT des Bundes unterstützt öffentliche Organisationen bei der Analyse und Bewältigung von Sicherheitslücken sowie dem Krisenmanagement im Ernstfall. Auch für interessierte Privatpersonen gibt es ein solches CERT, das Bürger-CERT, welches sie über aktuelle Schadsoftware, Cyberattacken und Sicherheitslücken informiert.