Day-Zero-Readiness: Warum ein IR-Vertrag allein keinen Vorfall bewältigt

Zusammenfassung

Ein Incident-Response-Vertrag oder eine vorab freigegebene externe IR-Firma bedeutet nur, dass jemand ans Telefon geht – nicht, dass dieses Team im Ernstfall sofort sinnvoll arbeiten kann. Diesen Unterschied unterschätzen laut dem Leitfaden viele Organisationen erheblich. In den ersten Stunden eines Sicherheitsvorfalls warten Angreifer nicht darauf, dass das Identitätsteam Notfallkonten anlegt, die Rechtsabteilung über den Zugriff einer externen Firma entscheidet oder jemand klärt, wem die EDR-Konsole gehört. Jede Verzögerung verschafft dem Angreifer ungestörte Zeit in der Umgebung und erhöht die Wahrscheinlichkeit einer tieferen Kompromittierung, breiterer Auswirkungen und teurerer Wiederherstellung. Auch intern gilt: Eine Organisation kann einen Notfallplan, ein fähiges Sicherheitsteam und eine Eskalationsliste besitzen und unter Druck dennoch nicht reagieren können. Bereitschaft misst sich nicht daran, was auf dem Papier steht, sondern daran, wie schnell interne wie externe Einsatzkräfte Sichtbarkeit gewinnen, das Vorgehen des Angreifers nachvollziehen und fundierte Entscheidungen treffen können. Am Tag null verlangen sie zuerst Sichtbarkeit, erst danach Befugnisse: Ohne Einblick werden Eindämmungsentscheidungen blind getroffen und der wahre Umfang des Angriffs bleibt unbekannt.

Nicht jeder Zugriff ist gleich dringlich. Identität steht an erster Stelle, weil sie den Wirkungsradius offenlegt: Sie zeigt, wie der Angreifer eindrang, welche Zugangsdaten kompromittiert sind, wie sich Berechtigungen verändert haben und wohin sich der Angreifer als Nächstes bewegen dürfte. Moderne Angriffe laufen über Identität – gestohlene Zugangsdaten, missbrauchte Token, fehlkonfigurierte Privilegien und gekaperte Sitzungen sind zentral für Persistenz und laterale Bewegung. Am Tag null brauchen Einsatzkräfte lesenden und untersuchenden Zugriff auf Identitätsanbieter, Verzeichnisdienste, SSO-Plattformen und Föderationsschichten sowie Einblick in Authentifizierungslogs, MFA-Ereignisse, Token-Ausgabe, Sitzungsaktivität und privilegierte Konten. Für externe IR-Firmen ist der Identitätszugriff laut Leitfaden oft der erste große Engpass.

In Cloud-Umgebungen wirkt das Vorgehen von Angreifern ohne Kontext häufig normal – als API-Aufrufe, Konfigurationsänderungen, neue Rollenzuweisungen oder Missbrauch legitimer Automatisierung. Verzögerungen sind hier besonders schädlich, weil ein Teil der Telemetrie flüchtig ist und bei verspäteter Erfassung dauerhaft verloren gehen kann. Endpunkt-Telemetrie liefert oft das klarste Bild: Prozessausführung, Befehlszeilenaktivität, das Abgreifen von Zugangsdaten und laterale Bewegung zeigen sich zuerst im EDR. Ohne direkten Zugriff bleibt Einsatzkräften nur die Weitergabe von Screenshots und Zusammenfassungen durch ohnehin überlastete interne Teams – „stille Post“ während einer Krise.

Logs sind das Mittel, um den gesamten Verlauf eines Angriffs zu rekonstruieren. 14 Tage Aufbewahrung sind verbreitet, 90 Tage sollten das Minimum sein: War ein Angreifer sechs Wochen vor der Entdeckung aktiv, sind bei einem 14-Tage-Fenster der initiale Zugriff und ein Großteil der lateralen Bewegung bereits verschwunden. Benötigt werden zentrale SIEM- oder Log-Aggregationswerkzeuge, Firewall- und IDS/IPS-Logs, VPN-, E-Mail-Sicherheits- sowie Cloud- und SaaS-Audit-Trails.

Zugriff nützt nur, wenn er sofort aktivierbar ist. Operative Bereitschaft heißt: Konten existieren bereits über Identität, Cloud, EDR und Logging hinweg, MFA ist eingerichtet, Berechtigungen sind genehmigt und Rollen zugeordnet, und das zuständige Team hat das Verfahren geübt. Zugriff soll wie ein Schalter funktionieren – vordefiniert, kontrolliert, schnell.

Ebenso wichtig wie Zugriff ist die Kommunikation. Während eines aktiven Angriffs sollten Organisationen davon ausgehen, dass E-Mail, Chat und interne Kollaborationswerkzeuge nicht mehr privat sind. Nötig ist ein vom kompromittierten Umfeld unabhängiger Kommunikationskanal außerhalb des Bandes, der interne Einsatzkräfte und externe Kontakte einschließt, sicheren Austausch erlaubt und getestet ist. Jeder Einsatz braucht zudem einen Incident-Manager mit klarer operativer Verantwortung als zentrale Schnittstelle zur IR-Firma; Benachrichtigungsstufen müssen vorab definiert sein.

Eine vorab genehmigte IR-Zugriffsrichtlinie soll Entscheidungsaufwand im Ernstfall ausschalten. Ihr häufigster Fehler ist Vagheit: Eine Formulierung wie „Einsatzkräfte erhalten bei Vorfallserklärung angemessenen Zugriff“ ist keine operative Richtlinie, sondern ein Platzhalter. Sie sollte festlegen, wer einen Vorfall erklären darf, wer temporären Zugriff für Externe ohne erneute Beschaffung oder Rechtsprüfung freigibt, welchen Umfang die jeweilige Rolle hat und wie zeitlich befristeter Zugriff überprüft und entzogen wird. Hintergrundüberprüfungen und juristische Freigaben gehören in die Retainer-Setup-Phase, nicht in die ersten Stunden eines Angriffs.

Selbst reife Organisationen entdecken Lücken oft erst im Ernstfall. Backups gelten als abgeschlossen, sind aber häufig nicht nachweislich vom kompromittierten Umfeld isoliert; Eindämmungsbefugnisse fehlen, weil niemand ausdrücklich den Betrieb stören darf; Logs sind kurz oder fragmentiert; Pläne sind ungetestet; und ein aktuelles Asset-Inventar fehlt. Bereitschaft lässt sich mit einfachen Fragen prüfen: Lässt sich ein ruhendes IR-Konto binnen 30 Minuten aktivieren und für Authentifizierungslogs nutzen? Deckt die Aufbewahrung mindestens 90 Tage ab? Führt eine dieser Fragen zu Zögern oder zum Satz „das klären wir während des Vorfalls“, ist der Bereich nicht bereit.

Day-Zero-Readiness: Warum ein IR-Vertrag allein keinen Vorfall bewältigt

Ähnliche Artikel

Neueste Artikel