Freigeben über


Planen der Reaktion auf Vorfälle

Verwenden Sie diese Tabelle als Prüfliste, um Ihr Security Operations Center (SOC) auf die Reaktion auf Cybersicherheitsvorfälle vorzubereiten.

Vorgehensweise Aktivität Beschreibung Vorteil
Planübungen Führen Sie regelmäßige Planübungen für vorhersehbare geschäftsrelevante Cybersicherheitsvorfälle durch, die das Management Ihrer Organisation zwingen, schwierige risikobasierte Entscheidungen zu erwägen. Cybersicherheit wird als Geschäftsproblem etabliert und als solches dargestellt. Es wird ein „Reaktionsgedächtnis“ aufgebaut, und schwierige Entscheidungen und Probleme im Zusammenhang mit Entscheidungsrechten innerhalb der Organisation werden aufgedeckt.
Entscheidungen vor Angriffen und Entscheidungsträger festlegen Legen Sie ergänzend zu den Table-Top-Übungen risikobasierte Entscheidungen fest, Kriterien für die Entscheidungsfindung und wer diese Entscheidungen treffen und ausführen muss. Beispiel:

Strafverfolgungsbehörden um Unterstützung bitten? Wer/wann?

Verantwortliche für die Reaktion auf Vorfälle hinzuziehen? Wer/wann?

Lösegeld zahlen? Wer/wann?

Externe Prüfer benachrichtigen? Wer/wann?

Datenschutzbehörden benachrichtigen? Wer/wann?

Wertpapierregulierungsbehörden benachrichtigen? Wer/wann?

Vorstand oder Prüfungsausschuss benachrichtigen? Wer/wann?

Wer ist berechtigt, unternehmenskritische Workloads herunterzufahren?
Parameter für die erste Reaktion und Kontaktpersonen, die hinzugezogen werden müssen, um die Reaktion auf einen Vorfall zu optimieren, werden definiert.
Berechtigungen verwalten In der Regel kann eine Beratung berechtigt sein, aber Fakten sind auffindbar. Schulen Sie wichtige, für Vorfälle zuständige Führungskräfte in der Kommunikation von Empfehlungen, Fakten und Meinungen, die nur von berechtigten Personen geteilt werden dürfen, damit Berechtigungen gewahrt werden und das Risiko verringert wird. Die Verwaltung von Berechtigungen kann angesichts der Vielzahl von Kommunikationskanälen (z. B. E-Mail, Plattformen für die Zusammenarbeit, Chats, Dokumente und Artefakte) ein arbeitsintensiver und unübersichtlicher Prozess sein. Sie können beispielsweise Microsoft Teams-Räume verwenden. Ein konsistenter Ansatz für Mitarbeiter, die für Vorfälle zuständig sind, und unterstützende externe Organisationen kann dazu beitragen, das Risiko potenzieller rechtlicher Konflikte zu reduzieren.
Überlegungen zu Insidergeschäften Überlegen Sie, in welchen Fällen das Management benachrichtigt werden sollte, um das Risiko von Sicherheitsverletzungen zu reduzieren. Vorstände und externe Prüfer wissen es in der Regel zu schätzen, wenn Sie über Maßnahmen zur Minderung des Risikos fragwürdiger Wertpapiergeschäfte in turbulenten Zeiten verfügen.
Playbook für Rollen und Zuständigkeiten bei Vorfällen Definieren Sie grundlegende Rollen und Zuständigkeiten, die es erlauben, bei verschiedenen Prozessen den Fokus beizubehalten und Fortschritte zu erzielen.

Wenn Ihr Einsatzteam aus der Ferne arbeitet, müssen Sie möglicherweise andere Zeitzonen und die richtige Übergabe an die Ermittler berücksichtigen.

Unter Umständen müssen Sie über andere Teams kommunizieren, die ggf. ebenfalls beteiligt sind, z. B. Anbieterteams.
Technischer Leiter für Vorfälle: Ist in jeder Phase eines Vorfalls präsent, fasst Eingaben und Ergebnisse zusammen und plant die nächsten Aktionen.

Kontaktperson für die Kommunikation: Entbindet den technischen Leiter für Vorfälle von der Kommunikation mit dem Management, damit dieser sich uneingeschränkt auf den Vorfall konzentrieren kann.

Diese Tätigkeit sollte auch die Verwaltung von Mitteilungen der Geschäftsführung und die Interaktion mit anderen Dritten, wie z. B. Aufsichtsbehörden, umfassen.

Vorfallsprotokollant: Entbindet einen für die Reaktion auf Vorfälle Verantwortlichen von der Protokollierung von Ergebnissen, Entscheidungen und Aktionen und erstellt von Anfang bis Ende eine genaue Aufzeichnung des Vorfalls.

Planer: Formuliert in Zusammenarbeit mit den Besitzern unternehmenskritischer Geschäftsprozesse Aktivitäten und vorbereitende Maßnahmen zur Aufrechterhaltung der Geschäftskontinuität im Fall von Beeinträchtigungen des Informationssystems, die 24, 48, 72, 96 Stunden oder länger andauern.

Öffentlichkeitsarbeit – Im Falle eines Vorfalls, der wahrscheinlich die Aufmerksamkeit der Öffentlichkeit auf sich ziehen wird, überlegt und entwirft Forward Planner Ansätze für die öffentliche Kommunikation, die die wahrscheinlichen Folgen berücksichtigen.
Playbook für die Reaktion auf Datenschutzvorfälle Um die immer strengeren Datenschutzbestimmungen zu erfüllen, sollten Sie ein gemeinsames Playbook von SecOps und dem Datenschutzbüro entwickeln. Dieses Playbook ermöglicht eine schnelle Bewertung potenzieller Datenschutzprobleme, die sich aus Sicherheitsvorfällen ergeben könnten. Es ist schwierig, Sicherheitsvorfälle im Hinblick auf ihre potenziellen Auswirkungen auf die Privatsphäre zu bewerten, da die meisten Sicherheitsvorfälle in einem hochtechnischen SOC auftreten. Die Vorfälle müssen schnell einer Datenschutzbehörde gemeldet werden (oft mit einer 72-Stunden-Benachrichtigungsfrist), die das Risiko für die Regulierung festlegt.
Penetrationstests Führen Sie simulierte Point-in-Time-Angriffe auf unternehmenskritische Systeme, kritische Infrastrukturen und Sicherungen durch, um Schwachstellen im Sicherheitsstatus zu ermitteln. In der Regel wird diese Aktivität von einem Team externer Experten durchgeführt, die sich darauf konzentrieren, präventive Kontrollen zu umgehen und wichtige Schwachstellen aufzudecken. Angesichts der jüngsten Vorfälle mit von Menschen platzierter Ransomware sollten Penetrationstests für einen größeren Bereich der Infrastruktur durchgeführt werden. Insbesondere sollte dabei geprüft werden, ob Sicherungen unternehmenskritischer Systeme und Daten angegriffen und gesteuert werden können.
Red Team/Blue Team/Purple Team/Green Team Führen Sie kontinuierlich oder regelmäßig simulierte Angriffe auf unternehmenskritische Systeme, kritische Infrastrukturen und Sicherungen durch, um Schwachstellen im Sicherheitsstatus zu ermitteln. In der Regel wird diese Aktivität von internen Angriffsteams (rote Teams) durchgeführt, die sich auf das Testen der Wirksamkeit von Detektivkontrollen und Teams (blaue Teams) konzentrieren.

Beispielsweise können Sie Angriffssimulationsschulungen für Microsoft Defender XDR für Office 365 und Tutorials und Simulationen zu Angriffen für Microsoft Defender XDR für Endpunkte nutzen.
Angriffssimulationen für rote, blaue und violette Teams dienen, wenn sie gut gemacht sind, einer Vielzahl von Zwecken:
  • Techniker aus der gesamten IT-Organisation können Angriffe auf ihre eigenen Infrastrukturbereiche simulieren.
  • Lücken bei der Sichtbarkeit und Erkennung werden erkannt.
  • Die Kenntnisse und Fähigkeiten in Bezug auf die Sicherheitsentwicklung werden allgemein verbessert.
  • Der Prozess ist kontinuierlicher und umfassender.


Das Green Team implementiert Änderungen der IT- oder Sicherheitskonfiguration.
Geschäftskontinuität planen Entwerfen und testen Sie Kontinuitätsprozesse für unternehmenskritische Geschäftsprozesse, mit denen die mindestens erforderlichen Funktionen für den Geschäftsbetrieb während einer Beeinträchtigung des Informationssystems aufrechterhalten werden können.

Verwenden Sie beispielsweise einen Azure Sicherungs- und Wiederherstellungsplan, um Ihre kritischen Geschäftssysteme während eines Angriffs zu schützen und eine schnelle Wiederherstellung des Geschäftsbetriebs zu gewährleisten.
  • Hebt die Tatsache hervor, dass es keine Kontinuitätslösung für die Beeinträchtigung oder den Ausfall von IT-Systemen gibt.
  • Kann verdeutlichen, dass anstelle einfacher Sicherungen und Wiederherstellungen eine komplexe digitale Resilienz erforderlich ist, und als Begründung für die Finanzierung einer solchen Lösung dienen.
Notfallwiederherstellung Für Informationssysteme, die unternehmenskritische Geschäftsprozesse unterstützen, sollten Sie Sicherungs- und Wiederherstellungsszenarien für heiße/kalte und heiße/warme Daten unter Berücksichtigung der Stagingzeiten entwerfen und testen. Unternehmen, die Bare-Metal-Builds durchführen, stoßen oft auf Aktivitäten, die nicht replizierbar sind oder nicht zu den Service-Level-Zielen passen.

Unternehmenskritische Systeme, die auf nicht unterstützter Hardware laufen, können oft nicht auf moderner Hardware wiederhergestellt werden.

Die Wiederherstellung von Sicherungen wird häufig nicht getestet und führt zu Problemen. Die Backups können weiter offline sein, sodass die Bereitstellungszeiten bei den Wiederherstellungszielen nicht berücksichtigt wurden.
Out-of-Band-Kommunikation Bereiten Sie sich darauf vor, wie Sie in den folgenden Szenarien kommunizieren würden:
  • Beeinträchtigung der E-Mail- und Kollaborationsdienste
  • Ransom von Dokumentations-Repositories
  • Nichtverfügbarkeit der Telefonnummern der Mitarbeiter.
Auch wenn es eine schwierige Aufgabe ist, sollten Sie herausfinden, wie Sie wichtige Informationen unveränderbar auf Offline-Geräten und an Orten speichern können, an denen sie in großem Umfang verteilt werden. Beispiel:
  • Telefonnummern
  • Topologien
  • Dokumente anlegen
  • Verfahren zur IT-Wiederherstellung
Härtung, Pflege und Lebenszyklusverwaltung Härten Sie Ihre Infrastruktur gemäß den Top 20-Sicherheitskontrollen des Center for Internet Security (CIS), und führen Sie gründliche Aktivitäten zur Pflege der Infrastruktur durch. Als Reaktion auf die jüngsten Ransomware-Vorfälle, die von Menschenhand gesteuert wurden, hat Microsoft spezielle Richtlinien zum Schutz jeder Stufe der Kill Chain von Cyberangriffen herausgegeben. Diese Richtlinie gilt für Microsoft-Funktionen oder die Funktionen anderer Anbieter. Besonders hervorzuheben sind:
  • Erstellung und Wartung unveränderlicher Sicherungskopien im Falle des Kidnappings von Systemen. Sie könnten auch überlegen, wie Sie unveränderliche Protokolldateien aufbewahren, die es dem Angreifer erschweren, seine Spuren zu verwischen.
  • Risiken im Zusammenhang mit nicht unterstützter Hardware für die Notfallwiederherstellung.
Planen der Reaktion auf Vorfälle Entscheiden Sie sich zu Beginn des Vorfalls:
  • Wichtige organisatorische Parameter
  • Zuweisung von Personen zu Rollen und Zuständigkeiten
  • Dringlichkeit (z. B. 24 x 7 und Geschäftszeiten)
  • Mitarbeiter für die Aufrechterhaltung des Betriebs während der Dauer des Vorfalls
Es besteht die Tendenz, anfangs alle verfügbaren Ressourcen auf einen Vorfall zu werfen, in der Hoffnung auf eine schnelle Lösung. Sobald Sie erkennen oder davon ausgehen, dass ein Vorfall länger andauern wird, sollten Sie eine andere Lösung finden, mit der sich Ihre Mitarbeiter und Lieferanten langfristig arrangieren können.
Zuständige für die Reaktion auf Vorfälle Setzen Sie klare Erwartungen bei allen Beteiligten. Ein beliebtes Format für die Berichterstattung über laufende Aktivitäten sind:
  • Was haben wir unternommen (und was waren die Ergebnisse)?
  • Was unternehmen wir (welche Ergebnisse erzielen wir damit und wann)?
  • Welche Schritte planen wir als Nächstes (und wann können wir realistischer Weise Ergebnisse erwarten)?
Die für die Reaktion auf Vorfälle zuständigen Personen verfügen über verschiedene Techniken und Ansätze, darunter Dead Box-Analyse, Big Data-Analyse und die Möglichkeit, inkrementelle Ergebnisse zu erzeugen. Mit klaren Erwartungen, die von Anfang gesetzt werden, sorgen Sie für eine problemlose Kommunikation.

Ressourcen zur Reaktion auf Vorfälle

Wichtige Sicherheitsressourcen von Microsoft

Resource Beschreibung
Microsoft Digital Defense Report 2021 Ein Bericht, der Informationen von Sicherheitsexperten, Praktikern und Verteidigern bei Microsoft umfasst, um es Menschen weltweit zu ermöglichen, sich vor Cyberbedrohungen zu schützen.
Referenzarchitekturen für Microsoft-Cybersicherheit Eine Reihe von visuellen Architekturdiagrammen, die Microsofts Cybersecurity-Funktionen und deren Integration mit Microsoft Cloud-Plattformen wie Microsoft 365 und Microsoft Azure sowie Cloud-Plattformen und -Anwendungen von Drittanbietern zeigen.
Infografik zum Thema „Jede Minute zählt“: Download Eine Übersicht über die Reaktion des SecOps-Teams von Microsoft auf Vorfälle, um derzeit aktive Angriffe zu entschärfen.
Azure Cloud Adoption Framework: Sicherheitsvorgänge Strategische Anleitung für Führungskräfte, die eine Funktion für Sicherheitsvorgänge einrichten oder modernisieren.
Bewährte Methoden für Microsoft-Sicherheit für Sicherheitsvorgänge Hier erfahren Sie, wie Sie Ihr SecOps Center am besten einsetzen, damit Ihre Organisation Angreifern immer einen Schritt voraus ist.
Microsoft Cloud Security für IT-Architekten: Modell Informationen zur Sicherheit für Microsoft-Clouddienste und -Plattformen in Bezug auf Identitäts- und Gerätezugriff, Bedrohungsschutz und Information Protection.
Microsoft-Dokumentation zur Sicherheit Enthält zusätzliche Sicherheitsinformationen von Microsoft.