Incident Response

Schnelle Hilfe bei Cyber-Angriffen.
  • 24/7 Erreichbarkeit unserer zertifizierten Incident Response Experten.
  • Schnelle Hilfe für jedes Unternehmen. Garantierte Reaktionszeiten mit Rahmenvertrag.
  • Strukturiertes Vorgehen nach Best Practise & etablierten Standards.
100+
Incident Response
Einsätze seit 2017​
7.000+
Unternehmen setzen im Notfall auf SECUINFRA​
50+
Cyber Defense Experten
für schnelle Hilfe

Sie sind Opfer eines Cyberangriffs geworden? Wir helfen Ihnen schnell und effizient, rund um die Uhr an 365 Tagen im Jahr!

Incident Response - Made in Germany

Während eines Cyberangriffs ist eine professionelle Koordination und Kommunikation zur Eindämmung und Bewältigung des laufenden Angriffs essentiell wichtig. Auf Wunsch erarbeiten wir mit Ihnen einen Kommunikationsplan zur Optimierung der Reaktionszeiten und Identifizierung verantwortlicher Ressourcen. 

Eine regelmäßige Berichterstattung mit allen Stakeholdern über alle Phasen hinweg ist notwendig und kann durch uns übernommen werden. SECUINFRA steht Ihnen während eines Cyberangriffs beratend zur Seite und entwickelt Handlungsempfehlungen zum Wiederaufbau Ihrer IT-Systeme.

Die richtige Koordination und Kommunikation während eines Cyberangriffs vermeidet größere Schäden.

Sind Sie von einem Cybersecurity Incident betroffen, stehen unsere geschulten und erfahrenen Incident Manager Ihnen technisch, koordinativ und kommunikativ zur Seite. 

Wir übernehmen als spezialisierter Dienstleister gerne alle notwendigen Maßnahmen zur Erkennung, Analyse und Abwehr des Cyberangriffs. Sie können auf uns zählen. Wir helfen Ihnen, gezielte Angriffe durch professionelle Akteure (APTs) und organisierte Kriminalität zu erkennen und abzuwehren.

Ziel unseres Einsatzes ist ein ganzheitlicher Blick auf den durchgeführten Cyberangriff, um das Vorgehen der Täter detailliert zu analysieren. 

Folgende Erkenntnisse können aus unserem Einsatz resultieren:

Ziel unseres Incident Response Einsatzes ist ein ganzheitlicher Blick auf den durchgeführten Cyberangriff, um das Vorgehen der Täter detailliert zu analysieren.

Bei einem Cyberangriff reagieren Sie mit unserer Hilfe effizient, schnell und richtig. Dadurch vermeiden Sie unnötige Kosten und hohe Schäden.

Yasin Ilgar, Managing Cyber Defense Consultant

Yasin Ilgar, Cyber Defense Consultant

Zertifizierungen unserer Experten

Die wichtigsten FAQ aus dem Bereich Incident Response

Unser professioneller Incident Response Management Service unterstützt Ihr Unternehmen bei der Bewältigung von Krisensituationen im Zusammenhang mit Cyber-Angriffen und Sicherheitsbedrohungen. Wir bieten rund um die Uhr schnelle und effektive Hilfe bei der Eindämmung und Behebung von Sicherheitsproblemen. Mit unserem Service können Sie Ihr Unternehmen vor großen Schäden durch Cyber-Angriffen schützen und sicherstellen, dass Ihre IT-Infrastruktur stabil und sicher bleibt.

Unser Experten-Team ist rund um die Uhr für Sie verfügbar, um möglichst schnell auf einen Sicherheitsvorfall zu reagieren. In jedem Fall agieren wir schnellstmöglich, um die Auswirkungen des Vorfalls auf Ihr Unternehmen so gering wie möglich zu halten.

Unsere Experten unterstützen Sie bei der Analyse und Behebung eines Vorfalls auf vielfache Weise:

  • Wir sammeln und analysieren Informationen über den Vorfall, um das Ausmaß und die Ursache des Problems zu verstehen.
  • Bei Bedarf führen wir auch ein Compromise Assessment auf den vermeintlich betroffenen Systemen durch.
  • Wir unterstützen Sie bei der Eindämmung des Problems, um weitere Schäden zu vermeiden.
  • Wir arbeiten eng mit Ihnen zusammen, um eine schnelle Lösung für das Problem zu entwickeln und Sie bei der Umsetzung dieser zu unterstützen.
  • Sie helfen Ihnen bei der Wiederherstellung von Systemen und Daten, falls dies erforderlich ist.
  • Wir beraten Sie bei der Verbesserung von Sicherheitsmaßnahmen, um zukünftigen Vorfällen vorbeugen zu können.

Die Voraussetzungen für ein Incident Response Service hängen von verschiedenen Faktoren ab, wie z.B. der Komplexität Ihrer Umgebung oder des betroffenen Systems sowie den verfügbaren Ressourcen. Im Allgemeinen sollte Ihre Infrastruktur jedoch folgende Voraussetzungen erfüllen: 

  • Eine stabile, segmentierte und sichere IT-Infrastruktur, die die Analyse und Behebung von Problemen ermöglicht.
  • Detaillierte Dokumentationen und Aufzeichnungen, die die Analyse von Vorfällen unterstützen.
  • Sicherheitsmaßnahmen und -richtlinien, die das Risiko von Sicherheitsbedrohungen minimieren.
  • Eine ausreichende Anzahl von Ressourcen und Fachkräften, die bei der Analyse und Behebung von Problemen unterstützen können.
  • Eine Kommunikationsstrategie, um sicherzustellen, dass alle relevanten Stakeholder über den Vorfall und die Maßnahmen, die ergriffen werden, informiert sind.
  • Wir unterstützen Sie bei Bedarf im Vorfeld mit einem Workshop, um die genannten Voraussetzungen erfüllen zu können.

Unser Incident Response Service zeichnet sich durch folgende Merkmale aus:

  • 24/7 Erreichbarkeit: Unsere Experten sind zur Minimierung der Reaktionszeit rund um die Uhr an 365 Tagen im Jahr erreichbar und unterstützen Sie.
  • Hochqualifizierte Experten: Unsere Experten verfügen über umfassende Kenntnisse und Erfahrung in den Bereichen IT-Sicherheit und Incident Response. Wir sind in der Lage, auch komplexe Probleme zu analysieren und zu lösen.
  • Flexibilität: Wir sind in der Lage, uns an die spezifischen Bedürfnisse und Anforderungen unserer Kunden anzupassen und maßgeschneiderte Lösungen zu entwickeln.
  • Transparenz: Wir halten Sie während des gesamten Prozesses über den Fortschritt der Analyse und Behebung des Vorfalls auf dem Laufenden und informieren Sie über alle relevanten Entwicklungen.

Unser Vorgehen entspricht etablierten Standards und Best Practises

Unser Vorgehen basiert auf dem etablierten Incident Response Plan des SANS Institutes. Der SANS Incident Response Plan, oder auch Lifecycle, unterteilt sich in sechs Hauptphasen. Vorbereitung des Notfallplans (Preperation), Identifizierung der Bedrohung (Identification), Eindämmen der Infektion (Containment), Beheben und Zurückgewinnen der Systeme (Eradication), Wiederherstellen der verlorenen Systeme und Daten (Recovery) sowie Lehren ziehen und in den Notfallplan überführen (Lessons Learned).

In zahlreichen Incident Response Einsätzen konnten wir umfangreiche Erfahrungen sammeln und den SANS Standard mit unseren Best Practices ergänzen.

In zahlreichen Incident Response Einsätzen konnten wir umfangreiche Erfahrungen sammeln und den SANS Standard mit unseren Best Practices ergänzen.

Die Preparation Phase bezeichnet die Vorbereitung aller beteiligten Akteure für einen Cyber Security Incident. Wir unterscheiden zwischen einer internen und externen Preparation. Die interne Preparation bezieht sich auf alle zu treffenden Vorbereitungen innerhalb des DFIR-Teams der SECUINFRA (Dokumentation des Kundeninformationen, Schulungen/Zertifizierungen, Weiterentwicklung von Tools und Technologien, Recherche neuer Angriffsmethoden/Gruppen. 

Die externe Preparation geschieht mit Ihnen als Kunden, optimalerweise vor dem Eintreten eines Cyber Security Incidents. Wenn Sie sich für unseren DFIR-Rahmenvertrag entscheiden, bereiten wir Sie im Zuge des Onboardings auf einen Cyber Security Incident vor. Zusätzlich bieten und empfehlen Ihnen ein jährliches Service Review an, u.a. um Ihre Organisation auf veränderte Bedrohungslagen vorzubereiten. Sind Sie bereits von einem Cyber Security Incident betroffen, sind wir auch entsprechend vorbereitet, Sie Ad-Hoc professionell zu unterstützen.

Das Ziel der Identification Phase ist es Abweichungen in Ihrer Infrastruktur festzustellen. Wir ermitteln in diesem Zusammenhang, ob derartige Abweichungen für Sie als Kunde ein Cyber Security Incident darstellen. Dazu gehört auch die Einstufung des Vorfalls in die entsprechende Kritikalität.

U.a. können folgende Elemente zur Identifizierung von Cyber Secuirty Incidents dienen bzw. werden in Absprache mit Ihnen in Erwägung gezogen:

  • Einrichtung eines Monitorings für die Überwachung und Erkennung von Abweichungen der IT-Systeme und IT-Infrastruktur.
  • Identifikation kompromittierter Systeme mittels Compromise Assessment.
  • Analyse von Ereignissen aus verschiedenen Quellen wie z.B. Logdateien, Fehlermeldungen oder Warnungen aus Security-Tools.
  • Identifizierung eines Cyber Security Incidents durch Korrelation von Daten aus mehreren Quellen

Die Eindämmung des Schadens aber auch das Verhindern von weiteren Schäden durch den aktuellen Cyber Security Incident erfolgt in der Containment Phase. Es sind mehrere Schritte erforderlich, um den Cyber Security Incident vollständig einzudämmen und gleichzeitig die Zerstörung von Beweisen zu verhindern, die für die Strafverfolgung benötigt werden könnten.

Wir unterscheiden in diesem Zusammenhang zwischen kurzfristigen und langfristigen Containments.

Kurzfristige Containments begrenzen den Schaden, bevor sich der Cyber Security Incident verschlimmert. In der Regel geschieht das durch die Isolierung von Netzwerksegmenten und/oder kompromittierten Assets, durch eine Weiterleitung zum Failover1 oder durch die Abschaltung der kompromittierten Assets. Letzteres sollte nur dann in Betracht gezogen werden, wenn andere Containment Schritte nicht möglich sind oder zu lange dauern und ein zu hoher Schaden entstehen könnte.

1Failover ist ein Backup-Betriebsmodus, der automatisch zu einer Standby-Datenbank, einem Server oder einem Netzwerk wechselt, wenn das Hauptsystem ausfällt oder aufgrund von Wartungsarbeiten heruntergefahren wird.

Im langfristigen Containment werden unter anderem vorübergehende Korrekturen angewendet, um Produktionssysteme wieder in Betrieb nehmen zu können. Das Hauptaugenmerk liegt dabei auf der Beseitigung von User Accounts oder Backdoors, die Angreifer ggf. auf den Systemen hinterlassen haben. Ein weiteres Hauptaugenmerk liegt auf der Beseitigung der Root Cause, z.B. der Behebung eines defekten Authentifizierungsmechanismus oder der Behebung einer Sicherheitslücke, die zu dem Angriff geführt hat.

In der Eradication Phase gilt es, Malware oder andere Artefakte, die durch Angriffe eingebracht wurden, tatsächlich zu entfernen. Die Systeme werden, sofern möglich, komplett bereinigt oder eine sichere Wiederherstellung vorbereitet. Alle möglichen Maßnahmen für die Eradication werden mit beteiligten Ansprechpartnern erörtert und umgesetzt.

Folgende Elemente können, unter anderem als Eradication Steps, während eines Cyber Security Incidents angewandt werden bzw. werden in Absprache mit Ihnen in Erwägung gezogen:

  • Re-Imaging von kompromittierten Assets gewährleistet eine vollständige Löschung aller bösartigen Inhalte.
  • Eliminierung der Root Cause wie z.B. das Patchen der vom Angreifer ausgenutzten Sicherheitslücke.
  • Anwendung grundlegender bewährter Sicherheitspraktiken wie z.B. das Aktualisieren alter Softwareversionen oder das Deaktivieren nicht genutzter Dienste.
  • Scannen nach Malware oder verbliebener IOCs mittels Sicherheitslösungen wie z.B. Antivirus, EDR und/oder IOC-Scanner, damit sichergestellt ist, dass alle bösartigen Artefakte entfernt wurden.

Nach der vollständigen Bereinigung unterstützen wir Sie in der Recovery Phase bei der Wiederherstellung Ihrer Systemlandschaft. Gemeinsam mit Ihnen erstellen wir einen tragfähigen Recovery Plan. Ein Recovery-Plan sieht bspw. den gesicherten Aufbau der Systeme in einem abgeschotteten Netzbereich vor, der erst nach festgestellter Bereinigung in ein produktives Netz migriert wird.

Folgende Elemente können unter anderem als Recovery Maßnahme in Absprache mit Ihnen als Kunde umgesetzt werden:

  • Festlegung von Uhrzeit und Datum für die Wiederherstellung des Betriebs
  • Testen und Prüfen – Durch das Testen und Prüfen soll sichergestellt werden, dass die Systeme sauber und voll funktionsfähig sind, wenn sie in Betrieb gehen.
  • Monitoring – Fortlaufende Überwachung für einige Zeit oder auch permanent (dies wird mehr empfohlen) nach dem Cyber Security Incident, um den Betrieb zu beobachten und auf abnormales Verhalten zu prüfen.
  • Weitere Maßnahmen für die Verhinderung eines erneuten Cyber Security Incidents Wir können Ihnen in diesem Rahmen unsere Managed- bzw. Co-Managed Services mit 24/7 Monitoring bieten. Sprechen Sie uns an.

Nach Beendigung des Security Incidents werden in der letzten Phase alle relevanten Informationen über den Security Incident zusammengefasst und Lessons Learned für künftige Vorfälle und Maßnahmen abgeleitet.

Bei Bedarf werden in einem abschließenden Workshop alle relevanten Ergebnisse vorgestellt und mit Ihnen besprochen. Gewonnene Erkenntnisse fließen auf Wunsch wieder in die Preparation Phase, um den DFIR Life Cycle zur stetigen Verbesserung erneut anzustoßen.

Ergänzende Services

CA

Compromise Assessment

Der APT-Scanner ist die Kernkomponente unseres Service Compromise Assessment. Durch die professionelle Auswertung der Scanergebnisse des APT-Scanners ist es unseren Cyber-Defense-Experten möglich, effizient und zuverlässig kompromittierte IT-Systeme in Ihrer Infrastruktur aufzuspüren.

DF

Digital Forensics

Im Bereich Digital Forensics verwenden unsere Cyber-Defense-Experten APT-Scanner, um sich schnell einen ersten Überblick über das Ausmaß eines Cyberangriffs zu verschaffen. Weiterhin können erste Rückschlüsse auf den Tathergang geschlossen werden. Beides ist zwingend notwendig, um einen externen Cyberangriff oder internes Fehlverhalten lückenlos aufzuklären.

Auszeichnungen im Bereich Incident Response

Mehr als 7000 Unternehmen setzen in Deutschland direkt oder über Partner auf SECUINFRA im Bereich Digitale Forensik und Incident Response (DFIR)

Bestes Produkt im Bereich Advanced Persistent Threat (APT) Detection und Response

Gewinner des Cybersecurity Excellence Awards & ausgezeichnet als bestes Incident Response Service Unternehmen in Europa!

SECUINFRA zählt laut Enterprise Security Magazin seit 2020 zu den TOP 10 Digital Forensics Consulting/Service Unternehmen in Europa!

Darum SECUINFRA!

EXPERTISE

Einschlägige Schulungen und Zertifizierungen, aber vor allen ständige Incident-Response-Einsätze haben dazu beigetragen, dass unsere Incident Responder über die Jahre ein enormes Expertenwissen aufbauen konnten

VERFÜGBARKEIT

SECUINFRA verfügt über eines der schlagkräftigsten Incident-Response-Experten-Teams in Europa. Rahmenverträge garantieren Ihnen jederzeit die Verfügbarkeit unserer Incident-Response-Experten.

PROFESSIONALITÄT

Incident Response gehört zu den Kernkompetenzen von SECUINFRA - Made in Germany. Über die Jahre haben wir unsere Methoden, Prozesse und Tools immer weiter perfektioniert, um Ihnen jederzeit einen professionellen Service bieten zu können.

VORBEREITUNG

Bei allen Kunden im Bereich Incident Response führen wir ein Onboarding durch, um sie auf den Ernstfall vorzubereiten. Dies stellt sicher, dass sie im Ernstfall stets die Nerven behalten und die richtigen Entscheidungen treffen.

Referenzen im Bereich Incident Response

  • VERSCHWIEGENHEIT
    SECUINFRA benennt weder Kunden noch Referenzen öffentlich! Der Wunsch unserer Kunden nach Verschwiegenheit steht jederzeit über den Marketinginteressen von SECUINFRA.

  • ERFOLG DURCH EMPFEHLUNG
    Die SECUINFRA DFIR-Teams unterstützen seit Jahren Tag für Tag Unternehmen im Bereich digitale Forensik und Incident Response (DFIR).Mehr als 7000 Unternehmen in Deutschland vertrauen SECUINFRA direkt oder über Partner im Bereich digitale Forensik und Incident Response (DFIR).

  • REFERENZ AUF ANFRAGE
    Bei berechtigtem Interesse stellen wir den Kontakt zu passenden Referenzkunden her.

Nehmen Sie hier Kontakt zu uns auf!

Kontaktformular Seitenende

Kontaktformular am Seitenende

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Schnelle Hilfe im Notfall!

+49 30 555702 112
incident@secuinfra.com

Schnelle Hilfe im Notfall!

+49 30 555702 112 incident@secuinfra.com

Cookie Consent mit Real Cookie Banner