Wenn die herkömmlichen Schutzmassnahmen bei einem Cyberangriff nicht mehr greifen, kommt das Computer Security Incident Response Team (CSIRT) zum Einsatz. Doch was machen die IT-Security-Spezialisten der «IT-Feuerwehr» eigentlich?
Text: Andreas Heer, Bilder: Adobe Stock,
Am heutigen Tag ist Antoine Neuenschwander ganz vorne mit dabei. Als einer der IT-Security-Spezialisten im CSIRT-Team von Swisscom arbeitet er heute als Incident Handler. Das heisst, er geht sicherheitsrelevanten Vorfällen nach, die im regulären Betrieb des Security Operations Center (SOC) nicht behandelt werden können. Neuenschwander sitzt vor den zwei Monitoren seines Computers und tippt in eines der zahlreichen Fenster auf dem Bildschirm Befehle ein. «Die Arbeit im CSIRT gleicht einer Wundertüte», sagt er. «Jeder Tag ist anders, du weisst nie, was auf dich zukommt.»
Neuenschwander ist seit zehn Jahren in der IT-Security tätig und einer jener raren Fachleute, die mit zunehmender Digitalisierung umso gesuchter sind. Die Gründe für den Mangel sieht der Spezialist vor allem in den hohen Anforderungen an seinen Job: «Neben der Neugierde, den Dingen auf den Grund zu gehen, braucht es profundes Fachwissen, gute Analysefähigkeiten und Softskills im Umgang mit Arbeitskollegen und Kunden.» Hinzu kommt, dass Security-Spezialisten auch in hektischen Situationen einen kühlen Kopf bewahren und überlegt handeln müssen. Das ist gar nicht so anders als bei der richtigen Feuerwehr.
Im Moment untersucht Neuenschwander grad eine Brute-Force-Attacke auf SSH-Zugänge. Hierbei versuchen Angreifer, schwache Passwörter zu knacken und sich so Fernzugriff auf die Infrastruktur zu verschaffen. Ein solcher gehackter Server kann dann auf interessante Firmendaten untersucht oder für weitere Angriffe missbraucht werden, etwa für DDoS-Attacken (Distributed Denial of Service Attack, dabei werden Systeme überlastet und ausser Gefecht gesetzt). «Schlecht abgesicherte Systeme, die übers Internet zugänglich sind, gehören in unserem Alltag zu den häufigen Sicherheitsproblemen», beschreibt Neuenschwander seine Erfahrungen im Umgang mit verschiedenen Unternehmen.
In diesem Fall hat Neuenschwander übers SOC vom Vorfall erfahren. Doch er sucht auch selbst nach Muster, die auf Cyberattacken hindeuten. Mit diesem Threat Hunting findet der Security-Spezialist heraus, ob die eigene Infrastruktur auch von einer aktuellen, noch unentdeckten Angriffswelle betroffen ist. Und kann so frühzeitig Abwehrmassnahmen ergreifen – idealerweise, bevor die Cyberkriminellen erfolgreich waren.
Bei der Rückverfolgung von Attacken geht es darum, die TTP zu erkennen: Taktiken, Techniken und Prozeduren der Cyberkriminellen. «Damit können wir bei einem erneuten Angriff mit ähnlichen Methoden viel schneller reagieren», sagt der Security-Profi. «Von dieser Erfahrung profitieren dann wiederum unsere Kunden.»
Hierbei hilft auch, dass Neuenschwander auf Erfahrungen aus dem Schutz der Swisscom eigenen Infrastruktur zurückgreifen kann. «Immerhin hat Swisscom seit 1995 ein IT-Security-Team», sagt er dazu. «Da ist einiges an Erfahrung und Reife eingeflossen.»
Doch nicht bei jeder Meldung handelt es sich um eine Cyberattacke mit Malware. Vermehrt erhält das CSIRT Meldungen zu Mails vom «Chef» mit der dringlichen Bitte, eine Zahlung auszulösen – ganz ohne verdächtige Links und täuschend echt gemacht: «Business E-Mail Compromise ist eine häufige Masche von Cyberkriminellen, um mittels Social Engineering Gelder abzuzweigen», sagt Neuenschwander. Auch der Faktor Mensch spielt also in der Cyberabwehr und im Alltag von Neuenschwander eine Rolle.
Das Security Operation Center (SOC) ist gewissermassen die Kommandobrücke bei Cyberangriffen. Es überwacht die Infrastruktur nach standardisierten Prozessen und koordiniert die Abwehrmassnahmen bei Vorfällen. Im Rahmen dieses Alert Handlings entscheiden die Security-Spezialisten, ob ein Vorfall direkt im SOC erledigt werden kann oder ans CSIRT eskaliert werden muss.
Im Computer Security Incident Response Team (CSIRT) übernehmen die IT-Security-Spezialisten Abwehr- und Beseitigungsmassnahmen, die eine vertiefte Analyse benötigen. Dazu gehören auch forensische Aufgaben und Threat Hunting, also die aktive Suche nach Sicherheitsvorfällen. Zudem unterstützt das CSIRT betroffene Unternehmen bei der Kommunikation des Vorfalls an Kunden und Partner. Das CSIRT erweitert also die Aufgaben des SOC.
Erfahren Sie im Whitepaper, wie Sie mit einem SOC und einem CSIRT eine strategische Cyberabwehr für Ihr Unternehmen aufbauen.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
Andere Leser interessierte auch: