Cyber Security –
Incident Response

Incident Response – was passiert in den einzelnen Phasen?

Wenn Sie das Cyber-Notfall-Formular ausgefüllt haben, wird automatisch ein Service-Ticket bei uns erstellt.
In unseren erweiterten Servicezeiten sind wir im Cyber-Notfall von 7 bis 20 Uhr an Werktagen für Sie erreichbar.

Die SYSTAG verfügt über ein eigenes Labor, das von allen anderen Systemen physisch getrennt ist. Forensische und Threat Hunting-Tätigkeiten finden alle isoliert statt. Damit werden weitere Infektionen, durch die Tätigkeiten selbst, vermieden. Die von uns eingesetzte KI liegt komplett auf deutschen Rechenzentren im Großraum Frankfurt/Main.
Für Phase 1-3  setzen wir ca. 20 bis 40 Personen an. Je nach Umgebung und Angriffssituation kann der Aufwand auch höher ausfallen. Die Angriffsbekämpfung und Systemwiederherstellung sind in ihren Aufwänden schwer vorab einzuschätzen. Bei diesen Arbeiten hängt es stark davon ab, wie viele der Tätigkeiten die Kunden-IT und der IT-Partner des Kunden übernimmt.
Unsere Cybersicherheitsspezialisten lassen Sie auch sonst nicht allein. Rechtsberatung können wir zwar nicht leisten, aber Sie an entsprechend qualifizierte Anwälte verweisen. Auch die Daten der Landesdatenschutzbeauftragten für eine möglichst frühe Selbstanzeige haben wir vorliegen ebenso wie die Stellen bei den Landeskriminalämtern für die Stellung der entsprechenden Strafanzeigen.

Den Ablauf einer Incident Response haben wir in 5 Handlungsphasen und einer Vorbereitungsphase aufgegliedert. Phase 0 und 1 – finden meist weitgehend zeitgleich statt.

• Phase 0 – Aufnahme des Vorfalls
  Wir verschaffen uns einen Überblick und ergreifen erste Maßnahmen mit Ihnen und ggfs .Ihrem IT-Dienstleiter. Nichts geschieht ohne Ihre Freigabe. Alles erfolgt vertraulich, selbstverständlich mit NDA (Geheimhaltungsverpflichtung) und Datenverarbeitung nach der DSGVO.
• Phase 1 – Compromise Assessment
  Wir untersuchen den Vorfall und ermitteln den angerichteten Schaden. Dabei werden Werkzeuge eingesetzt, die aus dem Bereich des „Threat Hunting“ aus dem EDR (Endpoint Threat Detection & Response) bekannt sind. „Threat Hunting“ ist die gezielte Fahndung nach Schadsoftware und -code. Wie beim IT Sicherheitscheck arbeiten wir mit KI-basierten Werkzeugen.
• Phase 2 – Incident Response
  Wenn die Schadenslage transparent ist, werden Abwehrmaßnahmen eingeleitet. Dabei werden befallene Endpunkte isoliert oder in Quarantäne genommen. Kritische Systeme, bei denen das nicht möglich ist, werden besonders behandelt. Dabei können komplette Systeme und Netzwerksränge getrennt sowie die Verbindung zum Internet gekappt werden, wenn das erforderlich ist. Ein Vorort-Einsatz ist in der Regel nicht nötig.
• Phase 3 – Remediation
  Die SYSTAG stellt die Systeme und Netzwerksegmente wieder her, indem die Schadsoftware und der Schadcode entfernt und die Schäden, wo möglich, beseitigt werden.
• Phase 4 – Cyber Forensics
  Der Angriff und seine Auswirkungen werden forensisch, also möglichst komplett, aufgezeichnet. Die Ergebnisse dienen für die Berichte an die Sicherheits- und Polizeibehörden, um den Verursacher haftbar zu machen. Dabei wird die Berichtspflicht nach DSGVO an die jeweiligen Datenschutzbeauftragten beachtet. Ebenso werden die Daten für entsprechende Versicherungsanträge bereitgestellt.
• Phase 5 – Reporting
  Ein Bericht des IT-Sicherheitsvorfalls wird erstellt und Handlungsempfehlungen und Maßnahmen zur Vorbeugung werden gegeben. Wir sprechen unverbindlich darüber, wie wie Ihr Unternehmen professionell sicherer gemacht werden kann, z.B. durch einen regelmäßiger IT Sicherheitscheck oder der Einsatz von Managed Security Services.

.