Bei Hacker- und Cyberangriffen schnell reagieren können

Während eines IT-Vorfalls zählt jede Minute. Die Frage, was bei einem Hackerangriff zu tun ist, sollte demnach nicht erst dann gestellt werden, wenn der Ernstfall bereits eingetreten ist. Um effektiv und effizient darauf reagieren zu können, braucht es im Vorfeld festgelegte Strukturen, Prozesse und Entscheidungsbäume. Besonders wichtig ist ein gemeinsames Verständnis der beteiligten Personen im Unternehmen sowie eine klare Verteilung der Rollen und Entscheidungskompetenzen. Forensic-Readiness (dt.: Forensische Bereitschaft) steigert die Reaktionsfähigkeit des internen IT-Teams: Gemeinsam entwickelte und im Nachgang laufend geübte Vorgaben, Verfahrensanweisungen und Prozesse verhindern, dass im entscheidenden Moment Fehler gemacht werden.

Neben allgemeiner Beratung unterstützen wir Sie konkret durch individuelle Workshops, die Erstellung von – auf Ihre Organisation angepassten – Schulungsunterlagen sowie einem umfangreichen Abschlussbericht mit Empfehlungen zum weiteren Vorgehen. Mittels Forensic-Readiness sind Sie somit in der Lage, schnell auf einen Cyberangriff zu reagieren.

Jetzt beraten lassen

Der Ursprung jedes Incidents ist ein einzelnes kompromittiertes System, der sogenannte „Patient Zero“. Ist dieses System bekannt, kann es im Rahmen einer Analyse, genannt Forensic-Investigations, untersucht werden. Dabei wird zunächst eine 1:1 Kopie der Datenträger des Systems erzeugt. Alle weiteren Arbeiten werden auf dieser Kopie durchgeführt, um die Beweismittelkette zu erhalten.

Basierend auf den Kopien der Datenträger werden Timelines aus Informationen des Dateisystems, lokaler Prozesse und vorhandener Logdaten erzeugt. Diese Timelines werden dann von unseren IT-Forensik-Fachkräften analysiert und somit Rückschlüsse auf den Hergang des Incidents ermittelt.

Forensic-Investigations sind im Falle eines Hackerangriffs von entscheidender Bedeutung. Mittels der Durchführung einer forensischen Untersuchung können Sie das Ausmaß des Angriffs und die Art und Weise, wie er durchgeführt wurde, feststellen. Diese Informationen können Ihnen dabei helfen, Schritte zu unternehmen, um zukünftige Angriffe zu verhindern und die Daten Ihres Unternehmens zu schützen.

Ein Incident kommt selten allein. Meistens beschränkt sich dieser selten auf ein einzelnes System, sondern kann sich in kurzer Zeit auf große Teile der Unternehmens-IT ausbreiten. Die Identifikation des Ursprungs ist hier durch manuelle Arbeiten allein nicht mehr zu bewältigen und somit ist ein Compromise Assessment notwendig. Dabei werden alle aktiven Systeme durch eine Spezialsoftware analysiert, welche nach Fragmenten von Malware und verdächtigen Prozessen sucht. Bei diesem Vorgehen werden außerdem gelöschte Dateien wiederherstellt, um verborgene Hinweise auf eine mögliche Kompromittierung zu finden. 

Die Ergebnisse der Analysephasen werden dann zentral gesammelt, miteinander in Korrelation gebracht und damit ein ganzheitliches Lagebild der vom Incident betroffenen Systeme erstellt. Anhand dieses Lagebildes können die weiteren Forensic-Investigations effektiv geplant und die Ursache des Incidents erarbeitet werden.

Das Ziel eines Compromise Assessment ist es also, das Ausmaß der Kompromittierung zu bestimmen, die betroffenen Ressourcen zu identifizieren und Korrekturmaßnahmen zu empfehlen.

Auch unabhängig von einem konkreten Hackerangriff bieten wir Ihnen die Möglichkeit eines umfassenden Cybersecurity Checks, um ein detailliertes Lagebild Ihres Sicherheitsniveaus zu erstellen und somit die Chancen potenzieller Angreifer zu verringern.