17.01.2022

Was ist ein CSIRT? (Computer Security Incident Response Team)

CSIRT.jpg

Und wieso es vorteilhaft sein kann, IRR-Leistungen (Incident Response Retainer) einzukaufen.

Ein Computer Security Incident Response Team (CSIRT) ist eine Gruppe von IT-Fachleuten, die einer Organisation Dienstleistungen und Unterstützung bei der Bewertung, Verwaltung und Vorbeugung von Notfällen im Zusammenhang mit der Cybersicherheit sowie bei der Koordinierung von Maßnahmen zur Reaktion auf Vorfälle bietet.

Das Hauptziel eines CSIRT besteht darin, schnell und effizient auf Computersicherheitsvorfälle zu reagieren und so die Kontrolle wiederzuerlangen und den Schaden zu minimieren. Dabei werden die vier Phasen der Reaktion auf Vorfälle des National Institute of Standards and Technology (NIST) befolgt:

  •     Vorbereitung
  •     Erkennung und Analyse
  •     Eindämmung, Ausmerzung und Wiederherstellung
  •     Aktivitäten nach einem Vorfall

Zu diesem Zweck können CSIRTs viele Aufgaben übernehmen, darunter die folgenden:

  •     Erstellung und Aktualisierung von Reaktionsplänen für Vorfälle
  •     Pflege und Weitergabe von Informationen an interne und externe Stellen;
  •     Identifizieren, Bewerten und Analysieren von Vorfällen;
  •     Koordinieren und Kommunizieren von Reaktionsmaßnahmen;
  •     Behebung von Vorfällen;
  •     Berichterstattung über Vorfälle;
  •     Verwaltung von Audits;
  •     Überprüfung der Sicherheitsrichtlinien und
  •     Empfehlung von Änderungen zur Vermeidung künftiger Vorfälle

CSIRT-Attribute und -Prozesse

Zwar ist jedes CSIRT einzigartig für seine Organisation, aber im Allgemeinen haben CSIRTs drei Eigenschaften, die sie von anderen Incident Response Teams unterscheiden: ihr Leitbild, ihr Kundenkreis und ihre Dienstleistungsliste.

Leitbild

Die Mission eines CSIRT ist eine Erklärung über den Zweck oder den Grund für seine Existenz. Ein Beispiel für ein CSIRT-Leitbild könnte lauten: "Es ist die Aufgabe von CSIRT XY, die Firma XY zu schützen, indem es die Fähigkeit schafft und aufrechterhält, Computer- und Informationssicherheitsvorfälle zu erkennen, darauf zu reagieren und sie zu lösen.

Kundenkreis

Der Kundenkreis eines CSIRT muss klar definiert werden. Dabei handelt es sich um den Kundenstamm oder die Empfänger von Incident Response Services. Es wird davon ausgegangen, dass der Kundenkreis nur für ein bestimmtes CSIRT gilt und oft die Mutterorganisation ist.

Liste der Dienste

Der CSIRT-Auftrag wird durch die Bereitstellung von CSIRT-Diensten für den Kundenkreis erfüllt. CSIRTs können mehrere Dienste anbieten, aber es gibt einige grundlegende Dienste, die ein CSIRT anbieten muss, um als offizielles Incident Response Team zu gelten. Auf der grundlegendsten Ebene muss ein CSIRT in der Lage sein, Folgendes zu tun:

In manchen Situationen kann das CSIRT einer Organisation Strategien und Dienste zur Reaktion auf Vorfälle nur entwickeln und überwachen, anstatt sie zu implementieren. So können beispielsweise andere Gruppen oder Abteilungen, wie Netzwerktechniker oder System- und Dateneigentümer, die Reaktionsstrategie umsetzen, während das CSIRT die Bemühungen verwaltet.

CSIRT Strukturen

Wie ein CSIRT strukturiert ist, hängt von den Bedürfnissen der Mutterorganisation ab. So ist beispielsweise zu berücksichtigen, ob eine Rund-um-die-Uhr-Abdeckung erforderlich ist, ob geschulte Mitarbeiter zur Verfügung stehen, ob Voll- oder Teilzeitmitarbeiter benötigt werden und welche Betriebskosten anfallen.

Es gibt mehrere gängige CSIRT-Strukturen, darunter die folgenden:

Zentralisiertes CSIRT

Bei einem zentralisierten CSIRT ist ein einziges Incident Response Team für die gesamte Organisation zuständig, und alle Ressourcen für die Reaktion auf Vorfälle befinden sich in dieser speziellen Einheit. Dieses Modell eignet sich gut für kleine Organisationen oder Organisationen mit begrenzter geografischer Ausdehnung.

Verteiltes CSIRT

In einem verteilten CSIRT gibt es mehrere unabhängige Vorfallsreaktionsteams. Die Verteilung der CSIRT-Ressourcen kann von der geografischen Ausdehnung der Organisation oder dem Standort ihrer wichtigsten Einrichtungen abhängen. Andere Attribute, wie z. B. die Tatsache, ob ein Unternehmen nach einer Geschäftsbereichsstruktur oder einfach nach der Verteilung von Mitarbeitern und Informationsbeständen organisiert ist, können die Verteilung des CSIRT ebenfalls beeinflussen. Außerdem erfordern die meisten verteilten CSIRT-Modelle ein koordinierendes CSIRT.

Hybrides CSIRT

Ein hybrides CSIRT kombiniert Eigenschaften von zentralisierten und verteilten CSIRTs. Die zentrale CSIRT-Komponente ist häufig hauptamtlich tätig, während die dezentrale Komponente aus Fachexperten (KMU) besteht, die nur bei Bedarf während eines Sicherheitsereignisses an der Reaktion auf einen Zwischenfall beteiligt sind. Bei diesem Modell analysiert das zentrale CSIRT, wenn es ein potenzielles Ereignis feststellt, den Vorfall und bestimmt den Reaktionsbedarf. Dann können die entsprechenden verteilten CSIRT-Experten zur Unterstützung dieser Aktivitäten herangezogen werden.

CSIRT/SOC-Hybrid

Bei diesem spezialisierten Hybridmodell ist das Security Operations Center (SOC) für den Empfang aller Warnungen, Alarme und Berichte zuständig, die auf potenzielle Vorfälle hinweisen. Benötigt das SOC Hilfe bei zusätzlichen Analysen, wird das CSIRT aktiviert. Im Allgemeinen fungiert das SOC als Front-End für das CSIRT, indem es Vorfälle erkennt und diese dann an das CSIRT zur Bearbeitung weiterleitet.

Ausgelagertes CSIRT

Ein ausgelagertes CSIRT kann eine hilfreiche Option für Unternehmen sein, die nicht über die Ressourcen oder das Personal verfügen, um ein eigenes Team aufzubauen. Bei diesem CSIRT-Modell wird ein internes CSIRT mit Auftragnehmern statt mit Mitarbeitern besetzt oder es werden CSIRT-Aufgaben und -Dienste ausgelagert, die nur gelegentlich benötigt werden, wie z. B. die digitale Forensik.

CSIRT Management

Die meisten CSIRTs sind so strukturiert, dass eine 24/7-Überwachung gewährleistet ist. Dazu werden die Betriebszeiten in drei Schichten unterteilt, für die jeweils ein Schichtleiter bestimmt wird. Während ihrer Schicht sollten die Schichtleiter ihre Arbeit und ihre Ergebnisse mit den anderen Schichtleitern besprechen. Diese Informationen sollten dann an den Leiter des CSIRT-Teams oder einen leitenden Angestellten weitergeleitet werden, um die Transparenz gegenüber dem Rest des Unternehmens zu gewährleisten.

Größere Unternehmen sollten ihre Mitarbeiter nicht nur zeitlich, sondern auch geografisch trennen. Für kleinere Unternehmen kann es kosteneffizienter sein, CSIRT-Prozesse für die Zeit nach der Arbeit auszulagern.

SOC vs. CSIRT vs. CERT

Organisationen können einen oder mehrere der drei Haupttypen von Notfallteams einsetzen: CSIRTs, SOCs und CERTs. Manchmal werden diese Begriffe synonym verwendet, aber es gibt auch Unterschiede, je nachdem, wie die Organisation den Begriff/die Begriffe verwendet.

Das einzigartigste der drei ist das SOC. Diese spezielle Einrichtung überwacht und schützt Technologie und Hardware und fungiert als Befehls- und Kontrollzentrum für ein Unternehmen, eine Region oder ein Land. Sie schützt Netzwerke, Server, Anwendungen und Endpunkte. Die Aufgaben eines SOC gehen jedoch über die reine Reaktion auf Vorfälle hinaus.

Weitere Informationen zur Funktionsweise eines SOC finden Sie in unserem Blog-Artikel «Wie funktioniert ein SOC».

CSIRT, CERT und das seltener verwendete Computer Incident Response Team (CIRT) werden oft synonym verwendet. Im Allgemeinen sind CSIRTs, CERTs und CIRTs alle für die Reaktion auf Vorfälle zuständig, auch wenn ihre spezifischen Aufgaben je nach Organisation variieren können. Die von einer Organisation verwendete Terminologie sollte angemessen definiert werden, ebenso wie die Ziele, die Struktur und der Einsatz von Ressourcen, die für eine angemessene Reaktion auf Zwischenfälle erforderlich sind.

Es ist wichtig zu beachten, dass CERT eine eingetragene Marke der Carnegie Mellon University (CMU) ist. Organisationen dürfen das CERT-Zeichen verwenden, nachdem sie eine Genehmigung erhalten haben. Einige Organisationen, die wahrscheinlich nicht wissen, dass es sich um ein Warenzeichen handelt, verwenden es dennoch, um ihre Incident Response Teams zu definieren.

Cyber Incident Response-Retainer

Die Vorbereitung sowie Reaktion auf Cyber-Angriffe erfordert neben ausgereiften Policies und Guidelines vor allem qualifiziertes Personal, welches allerdings für kleine und mittelständische Unternehmen nur schwer zu finden ist.

Hierfür stellt das sogenannte „Cyber Incident Response-Retainer“-Modell einen für die meisten Unternehmen lukrativen Ansatz zur Bekämpfung bzw. Behebung von Incidents dar, wobei neben einer stetigen Verbesserung des Schutzniveaus von Unternehmensinformationen eine kurzfristige Unterstützung im Falle eines Cyber-Notfalls gewährleistet wird.

Dieser Ansatz ist auf eine mehrjährige Zusammenarbeit (in der Regel mindestens 3 Jahre) zwischen Unternehmen und einem Incident Response-Provider ausgelegt mit dem Ziel, einander Kennenzulernen und Schwächen bei der Erkennung und Abhandlung potentieller Incidents gemeinsam effektiv und nachhaltig zu beheben.

Für die schnelle Reaktion auf Cyber-Incidents stellt der Provider eine 24/7-Hotline zur Verfügung, über die Unterstützung angefordert werden kann. Dadurch, dass Vertragsmodalitäten im Vorfeld erledigt werden, kann die Unterstützung im Falle eines Vorfalls innerhalb von vordefinierten Service Level Agreements (SLA) kurzfristig (i.d.R. 2-4 Stunden) bereitgestellt werden.

Wird das Retainer-Budget in einem Jahr nicht vollständig ausgeschöpft, steht dieses im Folgejahr weiterhin für andere, proaktive Beratungsleistungen bereit.

Der Fokus liegt auf einer Erhöhung der Widerstandsfähigkeit (Resilienz): Ein Assessment bestehender Prozesse und die Ableitung von Verbesserungsmaßnahmen und Übungen (Table top, Red/Blue/Purple-Teaming, Phishing-Kampagnen) zur Erhöhung der Mitarbeiter-Awareness, Cyber Compromise-Assessments oder Penetration Testing & Vulnerability-Assessments zur Identifikation potentieller Breach-Indikatoren im Unternehmensnetzwerk, und vieles Weiteres. Somit wird gewährleistet, dass sich die Resilienz eines Unternehmens kontinuierlich steigert.

Fazit

Ein CSIRT trägt massgeblich zur Sicherheit eines Unternehmens bei, indem präventive Massnahmen ergriffen werden, um das Risiko für Cyber-Sicherheits-Vorfälle zu minimieren. Bei einem Vorfall wird zudem sichergestellt, dass Prozesse und Massnahmen implementiert sind, um entsprechend auf einen Vorfall reagieren zu können.

Für KMU die sich kein eigenes CSIRT leisten können, stellt der Incident-Response-Retainer eine Möglichkeit dar, die Leistungen eines CSIRT einzukaufen, um nicht selbst ein CSIRT aufbauen zu müssen.

 

Gerne unterstützen wir Sie mit unseren CSIRT- und IRR-Services bei der kontinuierlichen Verbesserung Ihrer Cyber-Sicherheit.

 

Quellen:
https://whatis.techtarget.com/definition/Computer-Security-Incident-Response-Team-CSIRT
https://www2.deloitte.com/de/de/pages/risk/articles/cyber-incident-response-retainer.html