Incident Response

Pendel reaktion

Ein Sicherheitsvorfall betrifft heute meistens nicht nur einen Rechner und stellt in der Bearbeitung für die involvierten IT-Verantwortlichen eine große Herausforderung dar. Eine Unterstützung durch Spezialisten, die in der Bearbeitung solcher Vorfälle erfahren und geschult sind, kann in dieser Situation von großem Vorteil sein, um den Schaden zu begrenzen und die Beeinträchtigung der Arbeit so gering wie möglich zu halten.

Das GU-CERT hat für den Bereich der Incident Response Erfahrungen und Wissen aufgebaut, dabei zu unterstützen die Auswirkungen und den Umfang von einem Vorfall betroffener Systeme gezielt zu ermitteln. Wir können dazu Hardware und Softwarelösungen zum Einsatz bringen, die speziell für diesen Fall vorgehalten werden. Durch eine forensische Untersuchung eines bekannten betroffenen Systems können dabei beispielsweise Schlüsse darauf gezogen werden, welche weiteren Systeme betroffen sein können und wie der Vorfall eingedämmt werden kann. Weiterhin können Indikatoren bestimmt werden, mit deren Hilfe weitere Systeme darauf untersucht werden können, ob sie von einem Angriff betroffen waren. Durch Ermitteln von Vorgehen und Ursachen eines Vorfalls können weiterhin Empfehlungen für Maßnahmen abgeleitet werden, um dieses Vorgehen in Zukunft zu erschweren oder zu verhindern.

Durch die enge Vernetzung mit dem Sicherheits-Management-Team und dem Hochschulrechenzentrum, entsteht bei einem Vorfall außerdem ein Lagebild über die einzelnen Bereiche hinaus, so dass Gegenmaßnahmen koordiniert durchgeführt werden können. Auf Basis dieser Lage kann das GU-CERT bei größeren Vorfällen dann auch wieder Empfehlungen für Betreiber von potentiell gefährdeten Systemen geben.