Das BSI unterstützt Behörden und Unternehmen bei IT-Sicherheitsvorfällen: Was genau ist passiert? Welche Maßnahmen sind zu ergreifen? Wer muss informiert werden? Mit zahlreichen Angeboten hilft das BSI weiter, wenn eine Organisation in den Krisenmodus gerät. Wird ein IT-Sicherheitsvorfall gemeldet, nehmen das Nationale IT-Lagezentrum und CERT-Bund eine Erstbewertung vor. Im Gespräch mit der betroffenen Organisation werden erste Maßnahmen diskutiert. Neben den akuten Maßnahmen, die technisch umgesetzt werden sollten, gibt das BSI auch erste Hinweise für das IT-Krisenmanagement und die Krisenkommunikation. Den Austausch mit dem BSI ergänzen zahlreiche Anleitungen und Empfehlungen, die betroffene Institutionen durch einen IT-Sicherheitsvorfall leiten können. Maßnahmen für Ransomware-Vorfälle oder Empfehlungen zu Advanced Persistent Threat (APT) Angriffen helfen dabei, die technischen und organisatorischen Aspekte in den Griff zu bekommen.

Expertise für die Krise

Bei einem IT-Sicherheitsvorfall kann das BSI betroffene Organisationen auch bei der Lagefeststellung und Lagebeurteilung unterstützen. Hierzu können Besprechungen mit technischen Experten durchgeführt werden. Für die Bundesverwaltung und Kritische Infrastrukturen kann weitere BSI-Expertise in den Bereichen Schadprogramm-Analyse, Digitale Forensik oder Logdatenanalyse ergänzend in die Vorfallanalyse eingebracht werden. In besonders herausgehobenen Fällen kann das BSI ein Mobile Incident Response Team (MIRT) zur Unterstützung vor Ort entsenden. Das Angebot steht primär der Bundesverwaltung und Unternehmen aus dem Bereich Kritischer Infrastrukturen offen.

BSI-Erkenntnisse zu bereits bekannten IT-Sicherheitsvorfällen können technische Indikatoren zur Angriffserkennung und Aufklärung des Vorfalls liefern und bei Abschluss der Analyse spezifisch auf den Vorfall definiert werden. Die Ergebnisse können nach Zustimmung der betroffenen Organisation in geeigneter Form an Dritte zur Detektion der Angriffsmuster weitergegeben werden, um weiteren Schaden bei anderen Organisationen entdecken und abzuwenden zu können. Zusätzlich kann das BSI Organisationen auch bei der Suche nach geeigneten Dienstleistern zur Unterstützung bei Vorfallbearbeitung, Detektion oder Analyse unterstützen. Sollte die betroffene Organisation Kontakt zu Strafverfolgungsbehörden und/oder zum Bundesamt für Verfassungsschutz benötigen, so kann das BSI auch hier die passenden Ansprechpartner vermitteln.