Nach dem Cyber-Incident
Compromise Recovery
Übernehmen Sie wieder die Kontrolle über Ihre IT-Umgebung. Wie das gelingt, zeigen Ihnen unsere Expert*innen.
Ihre Organisation wurde gehackt: Niemand möchte sich in der Situation wiederfinden. Ist es doch passiert, ist die wichtigste Frage: „Wie fangen wir an?“. In dieser Ausnahmesituation kann es hilfreich sein, einen erfahrenen Partner an der Seite zu haben. Unsere Expert*innen haben bereits diverse Unternehmen aus verschiedensten Branchen bei einer Compromise Recovery begleitet und erfolgreich in den optimierten Regelbetrieb zurückgeführt. Wir unterstützen Sie dabei, die Angreifer*innen aus Ihren Systemen zu eliminieren, den Wiederanlauf der IT-Landschaft zu koordinieren und eine produktive IT-Umgebung wiederherzustellen.
Auf Basis von forensischen Informationen bereiten wir mit Ihnen gemeinsam die Verteidigung, Bereinigung und Härtung Ihrer Systeme vor. Wir etablieren Notfallmaßnahmen und Prozesse und schützen kritische Assets wie Maschinen, Konten und Active-Directory-Inhalte umfassend. Nach der Compromise Recovery sind Sie arbeitsfähig und profitieren von einem höheren Sicherheitsniveau.
Phasen einer Compromise Recovery
Folgendes Vorgehen hat sich in der Praxis bewährt:
1. Umfang definieren
- Untersuchungsergebnisse überprüfen
- Geschäftskritische Daten und Prozesse identifzieren
- Voranalyse des Active Directory
2. Kritische Härtung
- Active Directory
- Gegen Identitätsdiebstahl und Lateral Movement verteidigen
- Command and Control (C2) Lockdown
- Privilegierte Konten schützen
- Tiering Model implementieren
3. Taktische Überwachung
- Anmeldeaktivitäten von Konten
- Azure Advance Threat Protection (ATP-Bereitstellung)
- Kritische Systeme wie AD überwachen
4. Schnelle Ausführung
- Infrastruktur stufenweise umbauen
- Angepasste Passwort-Policy
- C2-Kanäle blockieren
- Schadcode säubern
Projektablauf
Abhängig von der Komplexität Ihrer IT-Umgebung und dem Ausmaß der Kompromittierung dauert ein Compromise-Recovery-Projekt in der Regel vier bis sechs Wochen. Es umfasst folgende Phasen:
Planungsphase
2 Wochen
- Risiko abwägen
- Stakeholder identifizieren
- Nächste Schritte koordinieren
Staging-Phase
3 Wochen
- Eliminierung der Angreifer aus Umgebung vorbereiten
Bereinigungsphase
1 Woche
Bereinigungsplan umsetzen → Aus IT-Umgebung entfernen
Optionale Leistungen
Gerne unterstützen unsere Expert*innen Sie bei weiteren Aufgaben, um Ihre Umgebung neu aufzusetzen und mit Fokus auf Sicherheit zu optimieren. Dazu gehören beispielsweise:
- Serverbereinigung inkl. Restore aus Backup, Härtung und Neuinstallation
- Aufbau von Managementsystemen wie Backup, Monitoring, Antivirus, Softwareverteilung
- Implementierung von weiteren Security Services wie Advanced Threat Protection, Endpoint Security, Identitäts- und Zugriffsmanagement
- Aufbau administrativer AD Forests
- One-Way-Trust-Implementierung
- Allgemeine Infrastrukturleistungen (Firewall, Hypervisor, Storage, Netzwerk)
- Azure und Microsoft 365 Services
- AWS Services
Case Stories
“You’ve been hacked” – und jetzt?
Zero Trust
Kontakt
Benötigen Sie Unterstützung bei Ihrer Compromise Recovery?
Unsere Expert*innen werden sich zeitnah bei Ihnen melden.
