IT-Forensik und Incident Response: Schutz vor Cyberangriffen

Der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) des vergangenen Jahres zeigt, dass sich Unternehmen in Deutschland mit immer komplexeren Bedrohungen konfrontiert sehen. In unserer dreiteiligen Serie erfahren Sie, wie Sie Ihr Unternehmen im Jahr 2025 gegen Cyberangriffe absichern und im Notfall richtig reagieren.

Es ist nur eine Frage der Zeit wann Ihr Unternehmen angegriffen wird

Das Fazit des BSI zur IT-Sicherheit in Deutschland ist eindeutig:

„Die Lage […] war und ist besorgniserregend.“

Die zunehmende Digitalisierung führt zu einer höheren Zahl an komplexen und verwundbaren Systemen. Da Angreifergruppen vermehrt auf erbeutete Zugangsdaten (Access Broker) und Zero-Day-Schwachstellen für kritische Systeme in einer Infrastruktur (VPN, Firewalls) setzen wird deutlich, wie wichtig eine mehrstufige Resilienz für Unternehmen ist.

Vorbeugende Maßnahmen und Erkennung: Wie gut ist Ihre Prävention?

Der Aufbau einer gut gesicherten IT-Infrastruktur ist ein oftmals langwieriges Projekt. Jedes Unternehmen ist unterschiedlich und hat ebenso viele Anforderungen an die eigenen Systeme. Dennoch ist das Ziel vergleichbar: Es potenziellen Angreifern so schwer wie möglich zu machen. Denn wenn kein 100-prozentiger Schutz möglich ist, so muss ein Unternehmen zumindest ein möglichst unattraktives Ziel abgeben.

Wie bereits beschrieben, bedienen sich viele Angreifergruppen Zero-Day-Schwachstellen. Haben sich die Angreifer hiermit den initialen Zugang zu einem Unternehmen gesichert, gilt es ihr weiteres Vorgeben so umständlich wie möglich zu machen. Beispiele hierfür können u. a. folgende Mechanismen sein:

• Verwendung einer internen Firewall eines anderen Herstellers als die der externen Firewall
• Segmentierung des Netzwerks in abgetrennte Bereiche
• Streng geregelte Benutzerrechte für jeden Mitarbeiter des Unternehmens
• Zugänge zu Systemen mit mehreren Faktoren absichern

Neben diesen Maßnahmen gibt es selbstverständlich noch unzählige weitere Absicherungen. Denn je komplexer die Struktur eines Unternehmens, desto höher die potentielle Angriffsfläche.

Gleichermaßen ist eine möglichst umfängliche Einsicht in alle Ereignisse innerhalb der eigenen Infrastruktur von enormer Bedeutung. Ist es zu einem Durchbruch der Angreifer gekommen, zählt jede Sekunde. Häufig verfügen Unternehmen nicht über ausreichende Logging-Kapazitäten. So können Bewegungen und Aktionen von Angreifern über Wochen oder sogar Monate unentdeckt bleiben.

Zudem fehlen damit auch die benötigten Daten, um im Ernstfall eine IT-forensische Untersuchung zeitnah durchzuführen, welche im nächsten Schritt eine sichere Wiederinbetriebnahme von bspw. Produktionssystemen gewährleisten würde.

Während ein SIEM für ein Unternehmen von großem Wert sein kann, um Angriffe frühzeitig zu erkennen, ist in vielen Fällen für eine IT-forensische Untersuchung nach u. a. dem Einfallstor des Angriffs eine gesonderte Konfiguration von Nöten.

Neben der technischen Prävention eines Cyberangriffs ist die organisatorische Vorbereitung innerhalb eines Unternehmens von ebenso hoher Bedeutung.

Emergency-Pläne: Sind Sie für den Notfall vorbereitet?

Im Augenblick des Notfalls müssen alle Beteiligten einem eindeutigen Fahrplan folgen können. Im Zweifelsfall zählt insbesondere bei einem Ransomware-Angriff mit einem Verschlüsselungstrojaner jede Minute. Dann sollten zuvor geplante und getestete Prozesse greifen und Kommunikationsketten eingehalten werden. Diese umfassen immer mehrere Abteilungen und Positionen. Gleichzeitig sollte dabei beachtet werden, dass der Kreis der zu informierenden Personen nicht zu umfangreich wird.

Gleiches gilt ebenso für Dienstleister und externe Experten für den jeweiligen Sicherheitsvorfall. Sind diese Positionen im Notfall nicht bereits abgeklärt und besetzt, verlieren Unternehmen wertvolle Zeit und Geld. Der Schaden kann sich potenziell weiter erhöhen und die Kosten für bspw. den Wiederaufbau steigen gleichermaßen.

Kommt bei einem Cyberangriff ein externer IR-Dienstleister (IR = Incident Response) zum Einsatz sollte dieser die vorliegende Infrastruktur bereits kennen um entsprechend schneller reagieren zu können. In vielen Fällen setzen Unternehmen hierbei auf Rahmenverträge, in denen die entsprechenden Leistungen bereits enthalten sind.

Nicht zuletzt müssen die genannten Prozesse getestet werden. Es gilt zu prüfen, ob alle wichtigen Prozesse ineinandergreifen, die gestalteten Kommunikationswege zueinander passen und ob externe Dienstleister zeitnah und effizient zum Einsatz kommen.

Wenn diese Notfallübung erfolgreich verlaufen ist, sollte im Rahmen eines Pentests abschließend ein simulierter Angriff auf das Unternehmen durchgeführt werden.

Pentest – Schwachstellen finden bevor es die Angreifer tun

Um die IT-Infrastruktur eines Unternehmens proaktiv zu schützen, werden Pentests durchgeführt. Hierbei wird ein Cyberangriff auf ein Unternehmen simuliert, um mögliche Schwachstellen aufzudecken, bevor diese von tatsächlichen Angreifern ausgenutzt werden können. Im Anschluss können anhand von Maßnahmenempfehlungen Sicherheitslücken geschlossen werden.

In Deutschland entstehen immer mehr regulatorische Anforderungen, die Unternehmen zur Durchführung von Pentests verpflichten. Ein Angriff mit Datenverlust kann weitreichende Folgen mit sich bringen. Neben wirtschaftlichen Konsequenzen, z. B. durch den Abfluss sensibler Unternehmensdaten oder verschlüsselte Systeme, drohen auch Imageschäden, interne Vertrauensbrüche und Bußgelder.

Alternativ zu Pentests können IT-Schwachstellenscans durchgeführt werden, die in der Regel deutlich zügiger geplant und ausgeführt werden können. Als Ergebnis gewinnt ein Unternehmen Einsicht über offene Sicherheitslücken sowie einen Leitfaden zur Schließung dieser Lücken.

Wenn der Tag des Angriffs kommt

Trotz aller Sicherheitsmaßnahmen wird es immer Sicherheitslücken geben, die schwer bis gar nicht zu schließen sind. Zum Beispiel:

• Ein Mitarbeiter erhält eine Phishing-Mail, folgt dem enthaltenen Link und gibt unbewusst den Angreifern die Zugangsdaten zu einem System.
• Eine der APT-Gruppen entdeckt eine neue Zero-Day-Schwachstelle.
• Ein Access-Broker hat Zugangsdaten zu Ihrer Umgebung und leitet sie an eine Ransomwaregruppe

Ein Eindringen von Angreifern in Ihr Unternehmen ist nie gänzlich auszuschließen. Vor allem der Faktor „Mensch“ wird immer eine zentrale Rolle spielen – egal, ob als Einfallstor ausgenutzt oder als raffinierter Angreifer selbst.

Wie ein Angriff und eine entsprechende Reaktion in einem Unternehmen aussehen kann, beschreiben wir dann im zweiten Teil unserer Incident Response Reihe.

In eigener Sache: Unser neues Portal it-forensik.de

Man sieht, die Methodiken und Entwicklungen in der IT-Forensik schreiten ständig voran. Um den Themen zukünftig mehr Raum geben zu können, haben wir uns entschieden, diese in vollem Umfang und übersichtlich an einer Stelle zu bündeln. Dafür haben wir in den vergangenen Monaten intensiv an unserer neuen Webseite it-forensik.de gearbeitet.

Das finden Sie auf unserer neuen Webseite:

• Präventionsmaßnahmen, um Cyberangriffen vorzubeugen
• Tipps für den Ernstfall
• viele wertvolle Informationen für Unternehmen zur Cybersicherheit

Sie haben weiterhin Interesse an spannenden Blog-Artikeln rund um das Thema IT-Forensik? Dann ist der Bereich Facts & Storys genau das Richtige für Sie. Das gibt es dort zu lesen:

Aktuelle Bedrohungen, News, echte Fallgeschichten, hilfreiche Whitepaper

Wir freuen uns über Ihren Besuch.