DFIR-Rahmenvertrag
“Incident Response Dienstleister”

DFIR steht für „Digital Forensics and Incident Response“ (Digitale Forensik und Vorfallsreaktion). Es ist ein Spezialgebiet, das sich mit Informationssicherheit befasst. Experten identifizieren, untersuchen und bewerten dabei Sicherheitsvorfälle und Cyberangriffe.

Ein DFIR-Projekt folgt in der Regel einem strukturierten Ablauf, sofern es sich nicht um eine Einzelanalyse handelt. Dieser Ablauf umfasst mehrere Phasen, die sogenannten „Workstreams“. Jeder Workstream hat spezifische Ziele und Aufgaben. Diese tragen bei, den Sicherheitsvorfall zu bewältigen, die Auswirkungen zu minimieren und die betroffenen Systeme wiederherzustellen.

Die @-yet zeichnet sich dadurch aus, dass sie alle Phasen eines DFIR-Projektes abdeckt. Viele Firmen konzentrieren sich ausschließlich auf die Analyse. Die @-yet bietet darüber hinaus das gesamte Krisenmanagement an und bereinigt Systeme. Zudem sorgt sie für den Wiederanlauf und sichert das Unternehmen anschließend umfassend ab.

Das ermöglichen die interdisziplinären Teams der @-yet. Ein Team übernimmt die Analyse und Dokumentation. Parallel beginnt ein zweites Team damit, die Infrastruktur abzusichern und die betroffenen Systeme aufzubauen. Ein weiteres Team unterstützt währenddessen, wenn Datenschutzverletzungen auftreten, und berät – zusammen mit Partnern – rechtlich.

Die @-yet DFIR-Teams werden in einer Vielzahl von Sicherheitsvorfällen aktiv, die unterschiedliche Bedrohungen und Angriffe umfassen.

• Großschadenlagen
  • Krisenmanagement: Die @-yet übernimmt Krisenmanagement und -kommunikation, stellt den Krisenmanager und baut die Krisenorganisation auf.
  • Ransomware: Analyse und Wiederherstellung verschlüsselter Daten und Systeme.
  • Advanced Persistent Threats (APTs): Abwehr langfristiger Angriffe, die dem Ziel dienen, Informationen bspw. im Rahmen von Industriespionage zu stehlen. Die @-yet ist qualifizierter APT-Response-Dienstleister.
• Einzelanalysen (meist als Teil der zuvor genannten Großschadenlagen)
  • Schadsoftware-Infektionen: Analyse von Schadsoftware, die Systeme infiziert und verschiedene schädliche Aktivitäten ausführt.
  • Datenlecks und Datenschutzverletzungen: Unautorisierte Personen erhalten Zugang und entwenden vertrauliche Informationen, oft zum Zweck von Identitätsdiebstahl oder Industriespionage.
  • Netzwerksicherheitsvorfälle: DDoS-Angriffe (Distributed Denial of Service), die darauf abzielen, Systeme durch Überlastung lahmzulegen.
  • Man-in-the-Middle-Angriffe: Abfangen und Manipulieren von Kommunikation zwischen zwei Parteien ohne deren Wissen.
  • Phishing und Social Engineering: Täuschungstechniken, um Benutzer zur Preisgabe sensibler Informationen oder Installation von Schadsoftware zu bringen.
  • Angriffe auf öffentlich erreichbare IT-Systeme, z. B. Webanwendungen: Meist der Beginn vieler großer Angriffe. Auch der Verdachtsfall wird analysiert.
  • Kompromittierung von Benutzerkonten: Verwenden gestohlener Zugangsdaten, um sich Zugang zu verschiedenen Konten zu verschaffen.
  • Cloud-Forensik: Analyse von Cloud-Umgebungen, z. B. EntraID von Microsoft und andere auf Einbruchsspuren und Angreiferaktivitäten
  • Schwachstellenausnutzung: Ausnutzung von Schwachstellen in Software oder Hardware.
  • Physische Sicherheitsvorfälle: Diebstahl oder Sabotage von Geräten: Verlust oder Beschädigung von Geräten, die vertrauliche Informationen enthalten.
  • IoT- und OT-Sicherheitsvorfälle: Angriffe auf vernetzte Geräte, die oft weniger gesichert sind, häufig im Bereich industrieller Steuerungssysteme und kritischer Infrastruktur (OT).
• Sonstiges
  • Post mortem Analysen: Nachträgliche forensische Analysen, z. B. die Cyber-Versicherung benötigt einen Bericht, der damalige Forensikdienstleister hat aber keinen erstellt.
  • Privatgutachten: Beratung von Anwälten vor Gericht und Bewertung von Analyseberichten Dritter für Versicherungen und Kunden. Erstellung von Gegen-Gutachten.
  • Ermittlung zu Industriespionage: Untersuchungen von möglichem Know-how-Abfluss, z.B. wenn Produkte sehr ähnlich andernorts hergestellt oder Patente von Dritten zuerst angemeldet wurden.
  • Insider-Bedrohungen: Mitarbeitende, die aus persönlichen oder finanziellen Gründen absichtlich Schaden verursachen oder versehentlich Sicherheitsmaßnahmen umgehen oder gefährden.
  • Analyse von Endgeräten: Endgerätecheck von Notebooks und PCs, gelegentlich Smartphones und Tablets bei Verdachts einer Kompromittierung.
  • Threat Hunting / IoC Scanning: Suche nach bekannten Merkmalen einer Kompromittierung über eine komplette IT-Ifrastruktur oder einzelne, anlasslos oder ihm Rahmen einer Incident Reponse.