Viele Unternehmen fürchten Cyberattacken auf ihre Infrastruktur, sind aber schon mit dem Monitoring dieser Angriffe überfordert. Deshalb rückt beim TÜV Rheinland jetzt eine schnelle Eingreiftruppe aus. Das Computer Security Incident Response Team ist eine Art Feuerwehr, die Unternehmen rufen können, wenn sie glauben, gehackt worden zu sein.

Bild: © Grafissimo / istock.com / TÜV Rheinland i-sec GmbH

Rund 95 Prozent aller Unternehmensnetzwerke sind mehr oder weniger hochgradig durch Advanced Malware und gezielte komplexe Angriffe gefährdet. Viele Unternehmen können Opfer eines Hacker-Angriffs geworden sein, ohne es zu wissen. Denn traditionelle, signaturabhängige Sicherheitslösungen sind häufig machtlos gegen raffinierte Cyberattacken. Unternehmen und Behörden, die ihre digitalen Werte vor unbefugtem Zugriff schützen wollen, müssen investieren: in Personal, Prozesse, technische Lösungen und ständige Weiterbildung. Doch die Ressourcen in der IT-Abteilung sind im Tagesgeschäft oft begrenzt. Deshalb steht bei TÜV Rheinland nun eine Eingreiftruppe bereit, die Cyberattacken schnell erkennen und begrenzen soll: das Computer Security Incident Response Team (CSIRT). In Anspruch genommen wird das Informatiker-Team bereits sowohl von mittelständischen Unternehmen als auch Dax-Konzernen. Da die Angreifer erfahrungsgemäß unterhalb des Radars ins Unternehmensnetzwerk eindringen und unbemerkt großen Schaden anrichten können, sollte die Zeitspanne zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst kurz sein. Zeit für ‚Trial and Error‘ bleibt in der Regel keine.

IT-Experten auf Abruf

Der Kern der Eingreiftruppe besteht aus fünf stets verfügbaren IT-Sicherheitsfachleuten, die Vorgänge aus unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang bringen und daraus Schlussfolgerungen auf einen potenziellen Angriff ziehen können. Nach Bedarf greift das Team auf weitere interne Fachleute zurück. 15 Informatiker stehen derzeit zur Verfügung. Je nach Bedarf lassen sich Teams mit Kenntnissen etwa in Kryptographie, unterschiedlichen IT Security-Systemen wie Advanced Persistent Threat-Sensoren (APT), Firewalls, Proxies, Security Information and Event Management (SIEM) sowie IDS/IPS und Antivirus-Systemen zusammenstellen.

Cyberangriffe melden

Grundlage für einen Einsatz ist der Abschluss eines Service Level Agreement (CSIRT SLA) mit TÜV Rheinland. Nimmt die Organisation Hinweise auf einen sicherheitsrelevanten Vorfall wahr, meldet sie dies dem Support Center des Dienstleisters, das den Vorfall qualifiziert und den IT-Fachkräften vor Ort erste Anweisungen zum Vorgehen gibt. Oft genügt der Blick auf die betroffenen Systeme in einer Webkonferenz mit dem Kunden. Ein Vor-Ort-Einsatz ist notwendig, wenn noch kein CSIRT-Sensorsystem in die Infrastruktur integriert oder eine tiefere Analyse betroffener Systeme gewünscht ist oder angemessen erscheint. Es geht darum, das Angriffsszenario zu verstehen, um Gegenmaßnahmen festzulegen und umzusetzen. Das Sensorsystem analysiert den Netzwerkverkehr und führt auf Basis einer ‚Multi-flow‘-Analysemethode verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Programmen aus.

Aus deren Verhalten lässt sich ermitteln, welche Systeme im Unternehmensnetzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern sie kommunizieren und welche Daten übermittelt werden. Auf der Basis dieser Erkenntnisse und unter Einbezug weiterer Sicherheitskomponenten wie Proxies, Firewalls, Antivirus-Software und so weiter entwickelt die Eingreiftruppe Strategien und Aktionen, um den Angriff einzudämmen und zu bekämpfen. Sie schafft eine isolierte Umgebung, um mit möglichem Schadcode zu arbeiten, wenn eine virtuelle Umgebung nicht sinnvoll erscheint. Je nach Tiefe der Analysen kommen Disassembler zum Einsatz. Zu besseren Vorbereitung lässt sich ein Assessment durchführen. Mit einer Blackbox überwacht der Anbieter vier Wochen die Datenströme, um anschließend zu berichten, ob und wo die Organisation bereits angegriffen wurde und was dagegen zu tun ist.

Das könnte Sie auch interessieren:

Neuer Vorstand
Wechsel an der Spitze bei DMG Mori

Christian Thönes, Vorstandsvorsitzender bei DMG Mori, hat am Donnerstag sein Amt niedergelegt. Sein Vertrag wurde im Rahmen einer Aufsichtsratssitzung einvernehmlich beendet. Alfred Geißler wurde vom Aufsichtsrat zum Nachfolger bestellt.‣ weiterlesen

40 Jahre Microsoft in Deutschland
Microsoft feiert Geburtstag und eröffnet Experience Center

Microsoft feiert 40. Geburtstag in Deutschland und eröffnet ein europäisches Experience Center in München. Es ist eines von vier Experience Centern weltweit.‣ weiterlesen

Neues Whitepaper der Plattform Lernende Systeme
Wo bleiben die europäischen KI-Sprachmodelle?

Expertinnen und Experten der Plattform Lernende Systeme beleuchten in einem neuen Whitepaper, wie es um die Entwicklung europäischer bzw. deutscher KI-Sprachmodelle bestellt ist.‣ weiterlesen

Ifo Geschäftsklimaindex im Mai
Skeptischer Blick auf den Sommer

Nach 93,4 Punkten im Vormonat, fällt der Ifo Geschäftsklimaindex im Mai auf 91,7 Punkte – der erste Rückgang in sechs Montanen. ‣ weiterlesen

Neuer Sonderforschungsbereich am KIT
Schnellere Updates für Cyber-physikalische Systeme

Cyber-physikalische Systeme (CPS), wie etwa Autos oder Produktionsanlagen, stecken voller elektronischer und mechanischer Komponenten, die von Software gesteuert werden. Jedoch ist es eine Herausforderung, die Systemarchitekturen solcher Systeme fortwährend konsistent zu halten. Neue Methoden dafür soll ein Sonderforschungsbereich (SFB) am Karlsruher Institut für Technologie (KIT) entwickeln.‣ weiterlesen

Transport und Logistik
G+D erweitert IoT-Portfolio mit Erwerb von Mecomo

Mit der Akquisition der Pod Group hat G+D bereits 2021 sein Portfolio im IoT-Bereich erweitert. Durch den Erwerb von Mecomo geht das Unternehmen nun einen weiteren Schritt in Richtung IoT-Komplettanbieter im Transport- und Logistikbereich.‣ weiterlesen

17. Produktionstechnisches Kolloquium
PTK diskutiert Herausforderungen für die Industrie

Im September laden Fraunhofer IPK und IWF der TU Berlin zum Produktionstechnischen Kolloquium. Im Fokus der Veranstaltung stehen Digitalisierung und Dekarbonisierung der Industrie. ‣ weiterlesen

Datenanalyse
Qlik übernimmt Talend

Mit der Übernahme von Talend will das Softwareunternehmen Qlik das eigene Portfolio erweitern. Die Leitung des neuen Unternehmens übernimmt Qlik-CEO Mike Capone.

‣ weiterlesen

Webbasiertes Anfragemanagement
Kundenanfragen schneller bearbeiten

Die Grimme-Gruppe produziert individuell konfigurierte Landmaschinen. Was für den Wettbewerb Vorteile bringt, ist allerdings mit großem Aufwand verbunden - so verwaltete Grimme Kundenanfragen lange über ein Excel-Tool. Mit dem Softwareanbieter Slashwhy zusammen wurde dies durch ein webbasiertes Anfragemanagement-Programm abgelöst.‣ weiterlesen

Mit Moryx modulare Fertigungsanlagen steuern
Linie ohne Stau

Die Software Moryx hilft der Fertigungssteuerung, Maschinen schnell auf einen neuen Kurs zu bringen oder sie für den nächsten Auftrag anzupassen. Mit seinen einheitlichen Bedienoberflächen und seiner niedrigen Einstiegshürde ist das Tool von Phoenix Contact insbesondere auf den Einsatz in Fertigungen mit der Losgröße 1 ausgerichtet.‣ weiterlesen

Gartner-Umfrage
CEOs sehen KI als wichtigste disruptive Technologie

Eine Umfrage von Gartner unter CEOs und leitenden Angestellten hat ergeben, dass künstliche Intelligenz (KI) die Top-Technologie ist, von der die Befragten glauben, dass sie ihre Branche in den nächsten drei Jahren erheblich beeinflussen wird. 21 Prozent der Studienteilnehmer geben dies an.‣ weiterlesen