Drohen bei einem IT-Sicherheitsvorfall Datenverlust und Imageschaden, muss es schnell gehen. Die meisten Organisationen benötigen dann schnelle und professionelle Unterstützung. Das BSI nimmt hier seine Rolle als zentrale Anlaufstelle bei IT-Sicherheitsvorfällen für Verwaltung, Betreiber Kritischer Infrastrukturen und Unternehmen wahr. In besonders schwerwiegenden Fällen kann das BSI mit einem Team aus Expertinnen und Experten von CERT-Bund auch unmittelbar vor Ort bei der Bewältigung eines IT-Sicherheitsvorfalls unterstützen. Dann rückt das MIRT, als mobiler Arm des CERT-Bund aus. Das MIRT verfügt über eine umfangreiche Ausstattung, um Betroffene vor Ort kompetent unterstützen zu können. Oberstes Ziel ist dabei zunächst, die betroffene Institution in die Lage zu versetzen, kritische Prozesse aufrecht zu erhalten bzw. zeitnah wiederherzustellen.

Ablauf eines typischen MIRT-Einsatzes

Eine von Ransomware betroffene Organisation kontaktiert das BSI über das Nationale IT-Lagezentrum, weil Daten auf zentralen Systemen verschlüsselt wurden. Nach einer ersten Lageeinschätzung erhält das Unternehmen wichtige Informationen, die bei der Bewältigung des Vorfalls unterstützen. Aufgrund der besonderen Schwere des Vorfalls koordiniert das BSI einen MIRT-Einsatz: Ein Team aus BSI-Expertinnen und Experten wird entsendet, aus dem BSI unterstützen weitere Fachleute mit Analysen und Expertisen aus ihrem jeweiligen Spezialgebiet. Nach einer Erstbewertung und einer Konsequenzen-Abschätzung führt das MIRT technische Analysen durch und berät die betroffene Organisation bei der Vorfallbewältigung. Dazu gehören beispielsweise die Sichtung von Logdaten, die technische Beweissicherung und die gemeinsame Erarbeitung einer Strategie zur Eindämmung und Behebung des Vorfalls. Damit die betroffene Organisation nicht erneut Opfer eines Angriffs wird, übergibt das BSI-Team nach Abschluss der Analysen Maßnahmenempfehlungen, um einen weiteren Angriff zu verhindern. Die konkrete Umsetzung der Empfehlungen kann anschließend durch die IT-Verantwortlichen der Organisationen geprüft und veranlasst werden.

Austausch und Erkenntnisse

Die Arbeit der Experten in den Mobile Incident Response Teams liefert einen wichtigen Beitrag zum Aufbau von Know-how und Expertise zu Detektion und Reaktion bei IT-Sicherheitsvorfällen. Der enge Kontakt der BSI-Experten zu IT-Sicherheits-Experten in Unternehmen und anderen Organisationen sowie ein intensiver Austausch zu Angriffen ermöglichen eine aktuelle Lageeinschätzung im BSI. Diese fließt in die Sicherheitsempfehlungen ein und leistet damit einen wichtigen Beitrag zur effizienten Vorbeugung von IT-Sicherheitsvorfällen sowie einer erhöhten Reaktionsfähigkeit im Ernstfall. Die Arbeit der Mobile Incident Response Teams ist eine wichtige Säule innerhalb der reaktiven Aufgaben, die das BSI wahrnimmt. Mit dem Nationalen IT-Lagezentrum , CERT-Bund und dem Nationaen Cyber-Abwehrzentrum ist das BSI bei der Lagebeobachtung bis hin zum MIRT-Einsatz für alle Herausforderungen gut aufgestellt.