Incident Response & Forensik
Sofern die präventiven Maßnahmen nicht ausgereicht haben und Sie Opfer eines Cyberangriffs geworden sind, helfen wir Ihnen auch mittels reaktiver Maßnahmen wie forensische Analysen, kurzfristigen Behebungsmaßnahmen und langfristigen Mitigationsmaßnahmen, um das Risiko für entsprechende Cyberangriffe zu senken.
Folgende Leistungen bieten wir an:
- Investigation and Defense
- Gerichtsverwertbare Forensiken
- Anwendung und Verbesserung des Desaster-Recovery-Plans (DRP)
- Anwendung und Verbesserung des Business Continuity Management (BCM)
- System und Application Recovery
- Interne & externe Krisenkommunikation
- Cloud Forensiken
- Malware Analysis
Weiterhin unterstützen wir Sie bei Cyberangriffen wie: Ransomware, Crypto Trojan, CEO-Fraud
Incident Response & Desaster Recovery
Im Fall eines Cyberangriffs helfen wir Ihnen, die nötigen Maßnahmen zu treffen, um den Schaden einzudämmen, Ihre Systeme zu bereinigen und Sie vor weiteren Angriffen zu schützen. Unser Vorgehen basiert auf folgendem Modell, das sich in vielen Projekten bewährt hat:
- Sofortmaßnahmen: alle relevanten Personen informieren, Systeme isolieren, infizierte Benutzer deaktivieren
- Sicherung der Spuren: Logs und Datenträger sichern: Abbilder von Festplatten und Speichermedien, Arbeitsspeicher, Netzwerklogs, Snapshots von VMs
- Forensische Analysen: File-Disk-Forensik, Memory-Forensik, Netzwerk-Forensik, Mobile Device Management Forensik, SIEM
- Bereinigung und Recovery: C&C-IPs blocken, Schadcode auf Basis der Forensik entfernen, Systeme wiederherstellen (qualitatives Backup-Konzept erforderlich)
- Post-Incident Aktivitäten: Behebung der Schwachstellen, Meldung des Angriffs, Lessons Learned, Risiko- und Schwachstellen-Management und Notfallkonzept
Compromise Assessment & Forensik
Beim Compromise Assessment untersuchen wir, ob Ihr Netzwerk von einem Cyberangriff betroffen ist, welche Folgen dieser hatte und wie Sie sich davor schützen können. Compromise Assessment ist ein wichtiger Teil von Incident Response & Forensik, da es uns hilft, die folgenden Fragen zu beantworten:
- Wie ist der Angreifer in Ihr Netzwerk eingedrungen?
- Welche Systeme, Daten oder Anwendungen wurden kompromittiert oder gestohlen?
- Wie lange war der Angreifer in Ihrem Netzwerk aktiv?
- Welche Spuren hat der Angreifer hinterlassen?
- Wie können Sie die Sicherheitslücken schließen und die betroffenen Systeme bereinigen?
Compromise Assessment ist wichtig, weil es Ihnen ermöglicht, schnell und effektiv auf einen Cyberangriff zu reagieren, den Schaden zu minimieren, die Ursachen zu analysieren und die Sicherheit zu verbessern. Wir verwenden spezialisierte Tools und Fachwissen, um die Anzeichen eines Angriffs zu erkennen, zu sammeln und zu interpretieren. Compromise Assessment kann auch präventiv durchgeführt werden, um potenzielle Schwachstellen oder Anomalien in Ihrem Netzwerk zu identifizieren, bevor sie ausgenutzt werden.
Im Rahmen unserer forensischen Analyse werden die folgenden Komponenten untersucht, um zu evaluieren wie die Angreifer vorgegangen sind, welche Daten sie entwendet haben und welche Systeme betroffen sind:
- IT Systeme
- Datenträger (HDD, virtuelle HDDs, HDD-Images)
- Überprüfung und bedarfsweise Anpassung der Logspeicherdauer
- Logs (Systemlogs, Firewalls, IDS/IPS, WAF, Proxy, AV, Mail Server etc.)
- Cloud Forensics
- AWS
- Azure und MS 365
- GCP
Folgende Maßnahmen gewährleisten eine gerichtsverwertbare forensische Analyse:
- Unsere forensischen Analysen erfolgen stets ausschließlich auf Images der zu untersuchenden Datenträger.
- Bei Erstellung der Images werden Hardware Write Blocker eingesetzt, um sicherzustellen, dass die Beweismittel nicht verändert werden.
- Kryptographische Hash-Algorithmen gewährleisten die Integrität der Datenträger.
- Sicherere Verwahrung von Beweismitteln und Dokumentation der Beweismittelkette.
- Einsatz anerkannter Software zur Durchführung forensischer Analysen.
- Vier-Augen-Prinzip: Die forensische Analyse wird von zwei Forensikern durchgeführt, um mögliche Fehler zu vermeiden und zu gewährleisten, dass Vorgaben und Richtlinien eingehalten werden.
Durchführung von Krisenübungen
Wir führen mit Ihnen gemeinsam Cyber-Angriffssimulationen durch, die sich an der MITRE Att@ck Matrix orientieren. Dabei handelt es sich um ein Framework, das die gängigsten Angriffstechniken und -taktiken beschreibt, die von Cyberkriminellen verwendet werden. Wir erstellen für Sie maßgeschneiderte Szenarien, die Ihrem Kontext und Ihrer Situation entsprechen, und berücksichtigen dabei die aktuellen State-of-the-Art Cyber-Angriffe. Die Simulationen werden ohne vorheriges Briefing der Übungsteilnehmer durchgeführt, um die Realitätsnähe zu erhöhen. Die Übungsteilnehmer sind Mitarbeiter aus verschiedenen Abteilungen, Dienstleistern und Stakeholdern, die in die IT-Krisenbewältigung involviert sind. Die Simulationen umfassen verschiedene mögliche Szenarien, wie zum Beispiel:
- Ausfall der Kommunikationsinfrastruktur MS Teams / Azure AD Accounts
- Ransomware-Cyber-Angriff Supplier-Chain-Attack
- DDoS-Angriff
- Advanced-Persistent-Threat (APT)
Die Simulationen haben zum Ziel, die folgenden Aspekte zu trainieren und zu verbessern:
- Die Konkretisierung der Kriterien zur Ausrufung einer Krise: Monetär, Reputation, etc.
- Die Kommunikation zu allen betroffenen Konzernmarken, Kunden, Abteilungen und Stakeholdern
- Die Zusammenarbeit mit externen Schnittstellen und Dienstleistern, um den Impact zu minimieren
- Die Identifizierung und Behebung von operativen Schwächen bei der Krisenbewältigung
- Die Etablierung von Sofortmaßnahmen bei Verdacht auf Cyber-Angriffe
- Die Definition des Umgangs mit Lösegeldforderungen
- Die externe Kommunikation mit relevanten Behörden und Institutionen, wie zum Beispiel:
- Landesdatenschutzbehörde
- LKA
- BSI
- Die externe Kommunikation mit der Öffentlichkeit, wie zum Beispiel:
- Medien
- Soziale Medien
Die Simulationen werden von unseren zertifizierten Experten extern beobachtet und ausgewertet. Wir geben Ihnen ein umfassendes Feedback zu Ihren Stärken und Schwächen, sowie konkrete Empfehlungen zur Verbesserung Ihrer IT-Krisenbewältigung.