BSI - Vorfall-Praktiker

Ziele der Schulung

In dieser 2-tägigen Schulung "BSI - Vorfall-Praktiker" erlernen Sie, wie IT-Sicherheitsvorfälle systematisch erkannt, eingedämmt, analysiert und dokumentiert werden. Die Schulung vermittelt praktische Handlungsanweisungen, rechtliche Grundlagen und technische Maßnahmen, um im Ernstfall schnell und strukturiert zu reagieren. Sie werden befähigt, Cyber-Angriffe wie Phishing oder Ransomware zu identifizieren, Sofortmaßnahmen einzuleiten und betroffene Systeme wiederherzustellen. Ein weiterer Fokus liegt auf der professionellen Kommunikation mit Betroffenen und externen Stellen sowie der Dokumentation von Vorfällen für interne und rechtliche Zwecke. Zudem werden präventive Sicherheitsmaßnahmen und der Umgang mit spezialisierten IT-Systemen (z. B. industrielle Steuerungssysteme) behandelt.

Zielgruppe Seminar

• IT-Verantwortliche
• Systemadministratoren
• Sicherheitsbeauftragte
• IT-Dienstleister

Voraussetzungen

• Teilnahme am Basiskurs für Digitale Ersthelfer
• Grundlegendes IT-Verständnis

Seminarinhalt

Einführung in das CSN und Zusammenfassung der Basiskurse

Digitale Rettungskette

• Überblick über die Digitale Rettungskette und die Eskalation (Ablaufbeschreibung)
• Überblick über die Aufgaben des Digitalen Ersthelfers, des Vorfall-Praktikers sowie des Vorfall-Experten: Gemeinsamkeiten und Unterschiede

Rollen und Grenzen der Aufgabe

• Behebung des IT-Sicherheitsvorfalls
• Komplexität des IT-Sicherheitsvorfalls
• Umfang der Beauftragung
• Verfügbarkeit der Ressourcen (personell, finanziell, Know-How)

Rechtliche und gesetzliche Rahmenbedingungen

Zusammenfassung des Basiskurses für Digitale Ersthelfer

• Grundlagen und IT-Störungen durch technische Defekte und IT-Sicherheitsvorfälle
  • Begriffsbestimmung: IT-Störung und IT-Sicherheitsvorfall, Sicherheitsereignis und Sicherheitsvorfall
  • Abgrenzung einer IT-Störung zu einem IT-Sicherheitsvorfall
• Überblick über die Handlungsempfehlungen eines Digitalen Ersthelfers
• Typische IT-Störungen und Handlungsempfehlungen

Verhalten am Telefon inkl. nicht technischer Maßnahmen

Serviceorientiertes Telefongespräch

• Professionelles Verhalten am Telefon
• Verhaltensregeln bei einem IT-Sicherheitsvorfall

Nicht-technische Maßnahmen

Gefährdungen und Angriffsformen

Begriffserklärung

• Gefährdung, Schwachstelle, Bedrohung, Angreifer

Arten von Angriffen und Angriffsformen

• Ursachen von Angriffen
• Unterschiedliche Angriffsmethoden

Phasen eines Cyber-Angriffs

• Typen von Angreifern
• Angriffsabsichten und Angriffsziele
• Angriffsvorbereitungen und Angriffswerkzeuge
• Angriffstarnungen
• Angriffspunkte und Spurenbeseitigung

Aktuelle Angriffsformen und Gefährdungslage

• Feststellen von Angriffen bzw. Infektionen
• Handlungsempfehlungen für den Vorfall-Praktiker
• Grenzen der Hilfeleistung durch den Vorfall-Praktiker

Ablauf des Standardvorgehens

• Vorbereitung auf potenzielle Vorfälle
  • Welche Prozesse könnten unterstützen?
  • Wo könnten weitere Personen unterstützen?
• Identifikation des IT-Sicherheitsvorfalls
  • Was ist passiert?
  • Welcher Angriffstyp liegt vor?
• Eindämmung des Schadensausmaßes
  • Workshop: Liste von Sofortmaßnahmen gemeinsam erstellen und diskutieren
• Ermitteln der Ursachen bzw. Auslöser des IT-Sicherheitsvorfalls
  • Beweissicherung
  • Datensammlung und Datenanalyse
  • Gesamtwertung
• Wiederherstellen der Systeme
  • Workshop: Erstellen einer Checkliste für den Wiederanlauf
• Dokumentation des IT-Sicherheitsvorfalls
  • Berichtswesen und Berichtspflicht (Formular)
  • Welche Informationen sind für einen IT-Dienstleister mit einem Team aus Vorfall-Experten notwendig?
  • Welche Sachverhalte sind für die Versicherung oder für ein mögliches Gerichtsverfahren festzuhalten?
  • Zusätzliche Dokumentation, z. B. Erstellen einer Liste der wichtigsten organisatorischen, prozessualen und technischen Rahmenbedingungen (Checkliste)
• Rollenspiel: Das Standardvorgehen kann mit einem fiktiven Beispielunternehmen (Übungsszenarium) eingeübt werden

Behandlung von IT-Sicherheitsvorfällen (z. B. Phishing-Vorfälle, Ransomware-Vorfälle)

Einführung in Phishing

• Arten von Phishing
  • Spear Phishing
  • Whaling
  • Emotet / Dynamite Phishing
• Abgrenzung / Einordnung zu verwandten Themen
  • Social Engineering
  • Gefälschte Online-Shops

Phishing-Kanäle

• E-Mail
• Anrufe
• SMS und Messenger-Anwendungen
• Social Media Kanäle
• Typosquatting
• Workshop: Welche Phishingszenarien treten zurzeit am häufigsten auf? Welche Arten sind besonders gefährlich?

Mögliche Folgen von Phishing

• Unberechtigte Transaktionen (Banken, Onlinehändler)
• Identitätsdiebstahl
• Kompromittierung weiterer Konten mit identischen Zugangsdaten
• Installieren von Schadsoftware aus vermeintlich vertrauenswürdiger Quelle
• Ausnutzung der Reichweite eines übernommenen (Social Media) Benutzerkontos, um unerwünschte Werbung zu platzieren

Erkennung von Phishing-Angriffen

• Persönliche Anrede
• Gefälschter Absender
• Verunsicherung des Opfers
• Sprachliche Ungenauigkeiten
• Aufruf zu ungewöhnlichen Prozessen
• Analyse von E-Mail-Headern

Reaktion auf erfolgreiche Phishing-Attacken

• Sperren von Benutzerkonten
• Kontaktaufnahme zum Plattform-Betreiber
• Achten auf ungewöhnliche Aktivitäten bei den betroffenen Benutzerkonten
• Außenkommunikation mit Kunden oder Freunden
• Ändern der betroffenen Zugangsdaten auf allen Webseiten
• Anzeige bei der Strafverfolgung erstatten
• Datenschutzbeauftragten alarmieren

Schutz gegen Phishing

• E-Mail Signaturen
  • Vorteile, Nachteile
  • Schwierigkeiten
• Weitere Informationen zu Signaturen
  • Webseiten selbstständig aufrufen, anstatt auf Links zu klicken
  • Nachfragen beim vermeintlichen Absender über zweiten (sicheren) Kanal
  • Grundsätzliches Misstrauen bei Nachrichten mit Anhängen oder Links
• 2-Faktor-Authentifizierung
  • Vorteile, Nachteile
  • Wann schützt eine 2-Faktor-Authentifizierung?
• Einzelübung: Mehrere Szenarien, in welchen Szenarien schützt ein zweiter Faktor, in welchen nicht?

Einführung in Ransomware

• Aktuelle Lage zu Ransomware
• Typisches Vorgehen von Ransomware-Angreifern
• Ransomware-Vorfall bewältigen
  • Betroffenes AD säubern
    • Doppelter Reset des krbtgt-Kennworts ausreichend? (Golden Ticket)
    • Oder doch komplett neu aufbauen? Übernahme alter Daten in neues AD?
  • Umgang mit verschlüsselten Systemen
    • Entschlüsselungsversuche nicht mit Originalen, sondern wenn möglich mit Kopien arbeiten
    • Ist das Herunterfahren von Systemen in Ordnung?
  • Zahlen oder nicht zahlen? – Rechtliche und praktische Punkte
  • Umgang mit abgeflossenen bzw. veröffentlichten Daten
    • Datenabfluss
    • Veröffentlichung auf Dedicated Leak Site
• Rechtliche Fragen
  • Verschiedene Meldepflichten, z. B. Datenschutz, KRITIS / gleichgestellte
  • Voraussetzung für (erweitertes) Logging?
  • Ransom-Zahlungen vor dem Hintergrund §89c Abs.1 S.1 Nr. 3 StGB (§303b StGB)

Remote-Unterstützung

Remote- oder Vor-Ort-Unterstützung

• Wann setze ich welche Methode ein?
• Was bedeutet dies für die Analyse?

Kommunikation mit dem Kunden

• Welche Bedenken kann der Betroffene haben (transparentes Vorgehen)?
• Welche Voraussetzungen müssen geklärt sein?
• Wer muss beteiligt werden?
• Workshop: Erstellen eines Gesprächsleitfadens für die Kommunikation mit dem Betroffenen über die Remote-Unterstützung

Verbindungs- und Zugriffsmöglichkeiten

• Remote über VPN-Tunnel
• Alternativen

Datensammlungs- und Analysemöglichkeiten

Vorfallbearbeitung von IT-Systemen „abseits der üblichen Büroanwendung“

IT-Systeme in speziellen Anwendungsbereichen

• Gebäudeautomatisierung
• Steuerung und Parametrisierung von CNC-Maschinen, Laserbearbeitung
• Produktionsplanung und -steuerung

Beispiele für Architekturen

• Welche Technik kommt zum Einsatz?

Mögliche Gefahren für die Steuerungstechnik

• Ausfall durch Defekt oder Löschen/Verschlüsseln von Datenträgern
  • Problem: Fehlende Backups, keine Austauschhardware
• Manipulation
  • Problem: Fehlerhafte Parameter führt zu Fehlproduktion
  • Beeinträchtigung der Sicherheit der Maschine (Veränderung von sicherheitsrelevanten Parametern)

Grenzen der Aufgabe

Ablauf des Standardvorgehens

• Eindämmung des Schadensausmaßes
• Trennung der Netzwerksegmente
• Abschaltung teilweise nicht ohne weiteres möglich

Angriffsszenarien und Sofort- bzw. Gegenmaßnahmen

• Manipulation von Parametern, Automationslogik mit dem Ziel den Ablauf zu sabotieren

Grenzen der Analyse

• Abzug von Speicherdaten aus Sensoren, Aktoren und anderen ICS-Komponenten schwierig
• Analyse momentan häufig sehr zeitaufwändig

Nach einem Vorfall ist vor einem Vorfall

Sensibilisierung des Unternehmens für präventive Sicherheitsmaßnahmen

• Mitarbeiter
• IT-Sicherheitslandschaft
  • Patchmanagement
  • Härtungsmaßnahmen
  • Penetrationstest
• Notfallmanagement und Notfalldokumentation

Aufbau eines Sicherheitsbewusstseins

Analyse von Geschäftsprozessen

Aufbau eines Sicherheits- und Notfallkonzeptes

Konzeption von Übungen

Info-Paket durch CSN bereitstellen

• Inhalt des Informations-Pakets
• Links zum Informationspaket für Vorfall-Experten

Aufrechterhaltung der Kompetenz des Vorfall-Experten

• Weiterbildung
• Beiträge für eine Wissensdatenbank
• Leiten von regionalen Foren
• Teilnahme an Expertenkreisen und Übungen des Vorfall-Experten zwischen den einzelnen Vorfällen

Open Badge für dieses Seminar - Ihr digitaler Kompetenznachweis

Durch die erfolgreiche Teilnahme an einem Kurs bei IT-Schulungen.com erhalten Sie zusätzlich zu Ihrem Teilnehmerzertifikat ein digitales Open Badge (Zertifikat) – Ihren modernen Nachweis für erworbene Kompetenzen.

Ihr Open Badge ist jederzeit in Ihrem persönlichen und kostenfreien Mein IT-Schulungen.com-Konto verfügbar. Mit wenigen Klicks können Sie diesen digitalen Nachweis in sozialen Netzwerken teilen, um Ihre Expertise sichtbar zu machen und Ihr berufliches Profil gezielt zu stärken.

Übersicht: IT-Grundschutz Schulungen Portfolio

Mehr zu den Vorteilen von Badges

Seminare kurz vor der Durchführung