## Dokumentation von Sicherheitsvorfällen ### Zielsetzung Diese Arbeitsanweisung soll SOC-Analysten dabei helfen, einen umfassenden Bericht über einen Sicherheitsvorfall zu verfassen. Der Bericht sollte genaue und detaillierte Informationen über den Vorfall enthalten, die bei der Untersuchung, Behebung und Vorbeugung künftiger Sicherheitsvorfälle hilfreich sind. >[!Voraussetzungen] >Vertrautheit mit dem Meldeverfahren für Vorfälle >Zugang zu den erforderlichen Unterlagen und Beweisen für den Vorfall >Kenntnis der einschlägigen Verfahren und Protokolle zur Reaktion auf Sicherheitsvorfälle ### Schreibstil Verwende klare und prägnante einfache Sätze. Vermeide hochtechnische Begriffe, die von deinen Kunden, der breiten Öffentlichkeit oder Nicht-Sicherheitsexperten nicht verstanden werden. Berichte sollten in der ersten Person geschrieben werden. Die Verwendung der ersten Person macht den Bericht klarer und einfacher zu lesen und zu verstehen. Die chronologische Darstellung des Berichts in Form eines Zeitstrahls ist eine ausgezeichnete und leicht nachvollziehbare Methode. >[!Wichtig] >1. Gebe diese Informationen auf der Grundlage dessen an, was du weißt, und nicht, was du glaubst, was passiert sein könnte. >1. Fülle die Lücken nicht selbst aus. >1. Wenn dir jemand Informationen mitgeteilt hat, die du mit aufnimmst, geben an, wer dir diese Informationen gegeben hat, welche Position er/sie innehat (Manager, Mitarbeiter, Gast usw.) und von wo aus er/sie den Vorfall beobachtet hat. ### Schritt 1: Sammeln von Informationen 1. Prüfe alle verfügbaren Unterlagen über den Vorfall, einschließlich Meldungen über den Vorfall, Protokolle und aller relevanten Beweise. 2. Sammle alle notwendigen Informationen über den Vorfall, z. B. Datum, Uhrzeit, Ort und beteiligte Personen. 3. Identifiziere alle Zeugen oder Personen, die relevante Informationen über den Vorfall haben könnten, und halte deren Kontaktinformationen fest. ### Schritt 2: Details des Vorfalls dokumentieren 1. Beginne den Bericht mit einem klaren und prägnanten Titel, der den Vorfall genau beschreibt. 2. Fasse den Vorfall kurz zusammen und gebe einen groben Überblick über die Geschehnisse. 3. Füge eine detaillierte Beschreibung des Vorfalls hinzu, die die Ereignisse, die zum Vorfall führten, die während des Vorfalls ergriffenen Maßnahmen und die Nachwirkungen umfasst. 4. Verwende eine objektive Sprache und vermeide Annahmen oder Meinungen, es sei denn, sie werden durch Beweise untermauert. 5. Gebe die Auswirkungen und den Schweregrad des Vorfalls an, einschließlich aller finanziellen, betrieblichen oder rufschädigenden Folgen. ### Schritt 3: Technische Details einbeziehen 1. Dokumentiere alle relevanten technischen Details im Zusammenhang mit dem Vorfall, z.B. Systemprotokolle, Analysen des Netzwerkverkehrs oder Malware-Analysen. 2. Gebe Informationen über die betroffenen Systeme, Software oder Hardware an, einschließlich Versionen, Konfigurationen und Schwachstellen, die zu dem Vorfall beigetragen haben könnten. 3. Gebe alle verfügbaren Informationen über die Techniken, Tools oder Methoden des Angreifers an, die während des Vorfalls verwendet wurden. ### Schritt 4: Dokumentieren der Antwortmaßnahmen 1. Beschreib die Sofortmaßnahmen, die zur Eindämmung und Entschärfung des Vorfalls ergriffen wurden, wie z. B. die Isolierung der betroffenen Systeme, die Sperrung des Netzzugangs oder die Schließung der kompromittierten Konten. 2. Dokumentiere die an der Reaktion auf den Vorfall beteiligten Personen oder Teams, einschließlich ihrer Rollen und Verantwortlichkeiten. 3. Gebe alle Kommunikations- oder Koordinationsbemühungen an, die während der Reaktion auf den Vorfall unternommen wurden, wie z. B. die Kontaktaufnahme mit der Geschäftsführung, dem IT-Support oder externen Sicherheitsexperten. ### Schritt 5: Empfehlungen aussprechen 1. Identifiziere Schwachstellen oder Sicherheitslücken, die während des Vorfalls entdeckt wurden, und erarbeite Empfehlungen zur Verbesserung der Sicherheit. ### Schritt 6: Überprüfen und Einreichen 1. Überprüfe den Bericht auf Klarheit, Genauigkeit und Vollständigkeit. 2. Vergewissere dich, dass alle erforderlichen Anhänge, Nachweise oder Belege enthalten sind und ordnungsgemäß darauf verwiesen wird. 3. Übermittle den Bericht gemäß dem festgelegten Meldeverfahren an das für den Vorfall zuständige Team oder die zuständige Behörde. >[!Hinweis] >Es ist wichtig, dass du beim Verfassen eines Berichts über einen Sicherheitsvorfall alle spezifischen Berichtsvorlagen, Richtlinien oder Vorschriften befolgst, die von deinem Unternehmen oder Branche vorgegeben werden. --- ## Anwendung der 6Ws auf Untersuchungsberichte **Was** - Was ist der Zweck dieser Untersuchung? Worum geht es bei der Anschuldigung? Was ist geschehen? Welche Parteien waren beteiligt (Beteiligte)? Was benötige ich, um den Vorfall oder das Ereignis zu untersuchen (welche Ressourcen)? Gegen welche Richtlinien, Verfahren oder Gesetze wurde möglicherweise verstoßen? **Warum** - Warum gehe ich der Sache nach (Untersuchungsauftrag)? Warum ist dies geschehen (systemische Lücken oder Schwachstellen)? Warum haben die Akteure in diesem Fall getan, was sie getan haben (Motiv oder Anreiz)? **Wer** - Wer ist involviert? Mit wem sollte ich sprechen (zur Befragung)? Wem erstatte ich Bericht? Wer ist für die Untersuchung privilegiert? Wer arbeitet mit mir zusammen (Kollege, allein arbeitend, Fachexperte oder externer Dienstleister)? **Wo** - Wo hat sich der Vorfall/die Vorfälle ereignet (interne und externe Standorte)? Woher stammt der Fall (Monitoring Alarm, Portal für Hinweisgeber, externe Anfrage usw.)? Wo könnte der Fall enden (internes Disziplinargremium, Aufsichtsbehörde, Fall von Medieninteresse oder Gerichtsverfahren)? **Wann** - Wann hat sich der Vorfall/die Vorfälle ereignet? Wann wurde die Behauptung aufgestellt? Wann ist mein Bericht fällig (Zeitplan, Notizen für Mandate)? **Wie** - Wie werde ich die Untersuchung durchführen (Methodik, Verfahren und Untersuchungsplan)? Wie werden die Beweise gesichert? Wie werde ich meine Ergebnisse präsentieren, nachdem ich sie schriftlich dokumentiert habe (durch mündliche Erzählung, Präsentation oder schriftlich)? --- ## Struktur eines Berichts über einen Sicherheitsvorfall >[!Hinweis] >Ein gut strukturierter Bericht über einen Sicherheitsvorfall sollte einem logischen Ablauf folgen und sicherstellen, dass alle relevanten Informationen enthalten und leicht verständlich sind. Im Folgenden findest du eine empfohlene Struktur für einen Bericht über einen Sicherheitsvorfall: ### Titel Gebe einen klaren und prägnanten Titel an, der den Vorfall genau beschreibt. ### Details zum Vorfall 1. **Beschreibung des Vorfalls**: Gebe eine detaillierte Beschreibung des Vorfalls, einschließlich der Ereignisse, die dazu geführt haben, der Maßnahmen, die während des Vorfalls ergriffen wurden, und der Nachwirkungen. Verwende eine objektive Sprache und vermeide Annahmen oder Meinungen, sofern diese nicht durch Beweise belegt sind. 1. **Auswirkung und Schweregrad**: Gebe die Auswirkungen des Vorfalls an, einschließlich finanzieller, betrieblicher oder rufschädigender Folgen. Beurteile den Schweregrad des Vorfalls anhand vordefinierter Kriterien, um die Priorisierung der Reaktionsmaßnahmen zu erleichtern. 1. **Einstufung des Vorfalls**: Kategorisiere den Vorfall auf der Grundlage vordefinierter Vorfallsklassifizierungsarten, wie z. B. Datenschutzverletzung, unbefugter Zugriff, Malware-Infektion usw. ### Technische Details 1. **Betroffene Systeme**: Geben an, welche Systeme, Software oder Hardware von dem Vorfall betroffen sind. Gebe Einzelheiten wie Versionen, Konfigurationen und etwaige Schwachstellen an, die zu dem Vorfall beigetragen haben könnten. 1. **Angriffstechniken**: Dokumentiere alle bekannten oder vermuteten Techniken, Tools oder Methoden des Angreifers, die während des Vorfalls verwendet wurden. Diese Informationen können helfen, Muster oder Ähnlichkeiten mit früheren Vorfällen zu erkennen. 1. **Beweise**: Füge technische Beweise im Zusammenhang mit dem Vorfall bei, z.B. Systemprotokolle, Analysen des Netzwerkverkehrs, Screenshots oder Malware-Proben. Beschrifte jedes Beweisstück ordnungsgemäß und verweisen darauf. ### Maßnahmen zur Reaktion auf Vorfälle 1. **Sofortige Maßnahmen**: Beschreibe die ersten Maßnahmen, die ergriffen wurden, um den Vorfall einzudämmen und abzuschwächen, wie z. B. die Isolierung der betroffenen Systeme, die Sperrung des Netzzugangs oder die Schließung der kompromittierten Konten. 1. **Vorfall-Reaktionsteam**: Nenne die Personen oder Teams, die an der Reaktion auf den Vorfall beteiligt sind, einschließlich ihrer Aufgaben und Zuständigkeiten. Gebe Kontaktinformationen für die wichtigsten Mitarbeiter an. 1. **Kommunikation und Koordinierung:** Dokumentiere alle Kommunikations- oder Koordinationsbemühungen, die während der Reaktion auf den Vorfall unternommen wurden, z. B. die Kontaktaufnahme mit der Geschäftsleitung, dem IT-Support oder externen Sicherheitsexperten. ### Empfehlungen Identifizierte Schwachstellen oder Sicherheitslücken, die während des Vorfalls aufgedeckt wurden, und erarbeite Empfehlungen zur Verbesserung der Schutzmaßnahmen. Diese Empfehlungen sollten sich darauf konzentrieren, ähnliche Vorfälle in Zukunft zu verhindern. ### Schlussfolgerung Fasse den Bericht zusammen und hebe die wichtigsten Ergebnisse, Maßnahmen und Empfehlungen hervor. ### Anhänge Füge alle zusätzlichen Unterlagen bei, z.B. Reaktionspläne, Protokolle oder andere relevante Materialien. --- ## Vorlage Sicherheitsvorfall-Bericht für SOC Hier findest du eine Vorlage im Markdown-Format für die Meldung eines Sicherheitsvorfalls an deine Kunden, damit diese Maßnahmen ergreifen können. Du kannst die Vorlage nach Belieben anpassen und verändern, um deinen spezifischen Berichtsanforderungen gerecht zu werden. ```Markdown # Security Incident Report ## Details zum Vorfall **Titel**: [Titel des Vorfalls eingeben] **Datum und Uhrzeit**: [Datum und Uhrzeit des Vorfalls eingeben] **Ort**: [Ort des Vorfalls eingeben] ### Beschreibung des Vorfalls [Gebe eine ausführliche Beschreibung des Vorfalls, einschließlich der Ereignisse, die dazu geführt haben] ### Auswirkungen und Schweregrad **Auswirkungen**: [Gebe die Auswirkungen des Vorfalls an, einschließlich finanzieller, betrieblicher oder rufschädigender Folgen]. **Schweregrad**: [Bewerte den Schweregrad des Vorfalls anhand von vordefinierten Kriterien]. ### Klassifizierung von Vorfällen **Klassifizierung**: [Kategorisiere den Vorfall auf der Grundlage vordefinierter Vorfallsklassifizierungsarten, wie z. B. Datenschutzverletzung, unbefugter Zugriff, Malware-Infektion, usw.] ## Technische Details ### Betroffene Systeme - System 1: [Beschreibe System 1 und seine Beteiligung an dem Vorfall] - System 2: [Beschreibe System 2 und seine Beteiligung an dem Vorfall] - System 3: [Beschreibe System 3 und seine Beteiligung an dem Vorfall] ### Angriffs-Techniken [Dokumentiere alle bekannten oder vermuteten Angreifertechniken, -werkzeuge oder -methoden, die während des Vorfalls verwendet wurden]. ### Beweise - [Füge alle technischen Beweise im Zusammenhang mit dem Vorfall bei, z. B. Systemprotokolle, Analysen des Netzwerkverkehrs, Screenshots oder Malware-Proben, und beschreiben sie]. ## Empfehlungen - [Identifiziere die während des Vorfalls entdeckten Schwachstellen und schlage Empfehlungen zur Verbesserung vor.] ## Anhänge - [Füge alle zusätzlichen Unterlagen wie Reaktionspläne, Protokolle oder andere relevante Materialien bei]. ``` --- ## Vorlage Abschlussbericht über einen Sicherheitsvorfall Du kannst die Vorlage nach Belieben anpassen und verändern, um deinen spezifischen Berichtsanforderungen gerecht zu werden. ```Markdown # Security Incident Report ## Details zum Vorfall **Titel**: [Titel des Vorfalls eingeben] **Datum und Uhrzeit**: [Datum und Uhrzeit des Vorfalls eingeben] **Ort**: [Ort des Vorfalls eingeben] ### Beschreibung des Vorfalls [Gebe einen detaillierten Bericht über den Vorfall, einschließlich der Ereignisse, die zum Vorfall geführt haben, der Maßnahmen, die während des Vorfalls ergriffen wurden, und der Folgen des Vorfalls]. ### Auswirkungen und Schweregrad **Auswirkungen**: [Gebe die Auswirkungen des Vorfalls an, einschließlich finanzieller, betrieblicher oder rufschädigender Folgen]. **Schweregrad**: [Bewerte den Schweregrad des Vorfalls anhand von vordefinierten Kriterien]. ### Klassifizierung von Vorfällen **Klassifizierung**: [Kategorisiere den Vorfall auf der Grundlage vordefinierter Vorfallsklassifizierungsarten, wie z.B. Datenschutzverletzung, unbefugter Zugriff, Malware-Infektion, usw.] ## Technische Details ### Betroffene Systeme - System 1: [Beschreibe System 1 und seine Beteiligung an dem Vorfall] - System 2: [Beschreibe System 2 und seine Beteiligung an dem Vorfall] - System 3: [Beschreibe System 3 und seine Beteiligung an dem Vorfall] ### Angriffs-Techniken [Dokumentiere alle bekannten oder vermuteten Angreifertechniken, -werkzeuge oder -methoden, die während des Vorfalls verwendet wurden]. ### Beweise - [Füge alle technischen Beweise im Zusammenhang mit dem Vorfall bei, z.B. Systemprotokolle, Analysen des Netzwerkverkehrs, Screenshots oder Malware-Proben, und beschreiben sie]. ## Maßnahmen zur Reaktion auf Vorfälle ### Sofortige Maßnahmen - [Beschreiben die ersten Maßnahmen, die zur Eindämmung und Entschärfung des Vorfalls ergriffen wurden]. ### Incident Response Team - [Nenne die an der Reaktion auf den Vorfall beteiligten Personen oder Teams, einschließlich ihrer Aufgaben und Zuständigkeiten. Geben die Kontaktdaten der wichtigsten Personen an]. ### Kommunikation und Koordinierung - [Dokumentiere alle Kommunikations- oder Koordinierungsbemühungen, die während der Reaktion auf den Vorfall unternommen wurden, wie z. B. die Kontaktaufnahme mit der Geschäftsleitung, dem IT-Support oder externen Sicherheitsexperten]. ## Empfehlungen und Lehren ### Empfehlungen - [Identifiziere die während des Vorfalls entdeckten Schwachstellen und schlage Empfehlungen zur Verbesserung vor.] ### Gelernte Lektionen - [Dokumentiere die wichtigsten Erkenntnisse aus dem Vorfall, einschließlich etwaiger Änderungen von Richtlinien, Verfahren, Schulungen oder Ressourcen, die erforderlich sind, um die Reaktionsfähigkeit bei künftigen Vorfällen zu verbessern.] ## Schlussfolgerung [Fasse den Bericht zusammen und hebe die wichtigsten Ergebnisse, Maßnahmen und Empfehlungen hervor]. ## Anhänge - [Füge alle zusätzlichen Unterlagen wie Reaktionspläne, Protokolle oder andere relevante Materialien bei]. ``` --- #incident/reporting #incident/response #template #IT-Security --- ![[License CC-BY-SA]]