Digitale Forensik & Incident Response (DFIR)
Ransomwareangriff? Datendiebstahl? Phishing? Wir wissen, was zu tun ist.
Es gibt viele unterschiedliche Arten von Cyber-Sicherheitsvorfällen. Den meisten ist gemein, dass sie zu spät erkannt werden und die IT-Organisation unvorbereitet treffen. Von der richtigen Reaktion der IT-Verantwortlichen hängt im Ernstfall maßgeblich ab, wie hoch die materiellen und immateriellen Schäden ausfallen. Ein speziell dafür ausgebildetes und erfahrenes Incident Response Team kann die notwendige Unterstützung liefern und so die Schäden reduzieren. Die Incident-Response-Spezialisten koordinieren die interne und externe Kommunikation, führen forensische Untersuchungen durch, stellen IT-Assets und Daten wieder her und arbeiten mit Ermittlungsbehörden und Versicherungen zusammen.
SVAs proaktiver Incident Response Service
Ein rein reaktiver Incident Response Service kann Cyber-Sicherheitsvorfälle nicht verhindern, sondern lediglich den Schaden begrenzen und die Grundlage für einen Wiederaufbau schaffen. Mit dem Proactive Incident Response Service bietet SVA einen umfassenden Incident Response Lifecycle an.
Der Lifecycle im Detail
Preparation
In der Preparation Phase bereiten wir Ihr Unternehmen und Ihre Mitarbeiter auf das Auftreten von IT-Sicherheitsvorfällen vor, um im Ernstfall effizient und effektiv reagieren zu können. Durch proaktive Workshops, Guidelines, Handouts und Playbook unterstützen wir Sie aktiv dabei.
Detection & Analysis
Das SVA Incident Response Team verwendet anerkannte forensische Verfahren zur Erfassung, Sicherung und Analyse von Spuren. Dazu zählen Techniken wie Protokollanalysen, forensische Systemanalysen, Analyse von komplexer Malware und Sicherheitsinformationen, um die Ursache, den Zeitrahmen und das Ausmaß des Vorfalls zu bestimmen.
Containment, Eradication & Recovery
Im Falle eines Cyber Incidents müssen schnellstmöglich Maßnahmen zur Schadenseindämmung eingeleitet werden. Die Mitarbeiter des SVA Incident Response Teams greifen auf umfassende Kompetenzen und jahrelange Erfahrungen zurück, um den Kunden im Ernstfall bei der raschen Wiederaufnahme des normalen Geschäftsbetriebs zu unterstützen, ein wiederholtes Auftreten zu vermeiden und die Angreifer nachhaltig aus Ihrem Unternehmensnetzwerk zu entfernen. Dies geschieht mit dem Ziel, die Auswirkungen auf den Geschäftsbetrieb möglichst gering zu halten.
Post Incident Activity
Nach einem IT-Sicherheitsvorfall werden in einem Workshop die gewonnenen Erkenntnisse und Lessons Learned zusammengetragen, um die Wahrscheinlichkeit des Auftretens eines Cyber-Sicherheitsvorfalls in Zukunft zu reduzieren und die Reaktion auf solche Vorfälle noch effektiver zu gestalten.
Ihre Mehrwerte
Unser Portfolio
Unser Incident Response Team bietet neben dem Proactive Incident Response Service ein breites Leistungsspektrum, das auch Organisationen ohne bestehenden Servicevertrag offensteht. Ob ad-hoc-Unterstützung im akuten Ernstfall, forensische Untersuchungen oder gezielte Workshops zur Vorbereitung auf Sicherheitsvorfälle – wir unterstützen Sie unabhängig von einem Vertragsverhältnis.
DFIR-Erweiterung für den Managed EDR Service
Im Ernstfall zählt jede Minute – und reine Remote-Unterstützung reicht bei komplexen Sicherheitsvorfällen oft nicht aus. Wenn Systeme direkt vor Ort gesichert, digitale Spuren erfasst oder Entscheidungen gemeinsam mit dem Kunden getroffen werden müssen, ist eine strukturierte und verlässliche Reaktion entscheidend.
Die optionale DFIR-Erweiterung ergänzt den bestehenden Managed EDR Service um spezialisierte Leistungen zur Reaktion auf sicherheitsrelevante Vorfälle – von der Ursachenanalyse über die Eindämmung bis zur Wiederherstellung betroffener Systeme.
Erfahrene DFIR-Analysten der SVA aus Deutschland agieren auf Basis aktueller Bedrohungsinformationen, EDR-Telemetrie und automatisierter SOAR-Playbooks – vollständig integriert in Ihre bestehende SOC-Infrastruktur.
Business E-Mail Compromise
Business E-Mail Compromise (BEC) bezeichnet Angriffe, bei denen sich Täter Zugang zu geschäftlichen E-Mail-Konten verschaffen, um betrügerische Aktivitäten durchzuführen – etwa unautorisierte Überweisungen, Änderungen von Zahlungsinformationen oder die Weiterleitung sensibler Daten an unbefugte Dritte. Der Einstieg erfolgt häufig über Phishing, Brute-Force-Angriffe oder Social Engineering; die Motivation ist in der Regel finanzieller Natur.
Ohne eine gründliche Untersuchung bleiben nicht nur finanzielle Schäden offen, sondern auch Reputationsrisiken, rechtliche Konsequenzen und vor allem Schwachstellen, die künftige Angriffe begünstigen. Unser IR-Team analysiert BEC-Vorfälle umfassend: Wir identifizieren den initialen Angriffsvektor, bewerten das Ausmaß der Kompromittierung und leiten technische sowie organisatorische Maßnahmen ab, um Ihre Systeme nachhaltig abzusichern.
Cyber Threat Workshops
Krisen meistert nur, wer hinreichend auf sie vorbereitet ist. Selbst wenn in IT-Abteilungen Notfallpläne existieren, fehlt es häufig an einer abgestimmten Reaktion über Abteilungsgrenzen hinweg: Wissen Verantwortliche aus Geschäftsleitung, Recht und Kommunikation, welche Rolle ihnen im Ernstfall zukommt? Sind Entscheidungswege klar definiert und praxistauglich erprobt?
Ein Cyber Threat Scenario Workshop greift genau diese Lücke auf. Anhand eines realistischen Szenarios – einem großflächigen Ausfall der IT-Infrastruktur – üben relevante Entscheidungsträger gemeinsam den Ernstfall. Unser erfahrenes IR-Team moderiert den Workshop auf Basis konkreter Erkenntnisse aus einer Vielzahl von Incident-Response-Projekten. Ziel ist nicht das Aufdecken von Einzelversagen, sondern das gemeinsame Identifizieren von Verbesserungspotenzialen und das Ableiten konkreter Folgemaßnahmen für Ihre Organisation.
Incident Response Projekte
Im Falle eines IT-Sicherheitsvorfalls zählt jede Minute. Das SVA IR-Team unterstützt Sie sowohl remote als auch vor Ort dabei, Angriffe schnell einzudämmen, digitale Spuren zu sichern und den Geschäftsbetrieb so rasch wie möglich wiederherzustellen.
Unsere Analysten setzen anerkannte forensische Verfahren ein – von der Protokoll- und Malwareanalyse bis zur forensischen Systemuntersuchung – um Ursache, Zeitrahmen und Ausmaß des Vorfalls präzise zu bestimmen. Auf dieser Basis leiten wir gezielte Gegenmaßnahmen ab und begleiten Sie durch den gesamten Response-Prozess: von der initialen Eindämmung bis zur nachhaltigen Absicherung Ihrer Umgebung. Die Unterstützung durch unsere Experten ist unabhängig von einem bestehenden Servicevertrag möglich.
Compromise Assessments
Angriffe verlaufen heute selten laut – oft agieren Angreifer wochen- oder monatelang unbemerkt in Unternehmensnetzwerken. Klassische Sicherheitsmaßnahmen wie Vulnerability Management, Penetrationstests und EDR-Lösungen bilden eine wichtige Verteidigungslinie, können aber nicht jede erfolgreiche Kompromittierung verhindern. Die Frage ist längst nicht mehr ob, sondern wann ein Angriff stattgefunden hat.
Ein Compromise Assessment (CA) bietet eine gezielte, breit angelegte Analyse Ihrer IT-Infrastruktur, um Spuren vergangener oder aktiver Angriffe aufzuspüren – auch ohne konkreten Verdacht. Das SVA IR-Team analysiert und bewertet Indicators of Compromise (IOCs) aus Systemlogs, EDR-Telemetrie und weiteren Datenquellen. Kompromittierte Systeme werden identifiziert, und auf Basis der Ergebnisse leiten wir konkrete Handlungsempfehlungen ab – damit Kompromittierungen rechtzeitig erkannt und schwerwiegende Folgen vermieden werden können.
Darknet Analyse
Neben dem öffentlich zugänglichen Internet existieren Bereiche des sogenannten Deep Web, die von Suchmaschinen nicht erfasst werden und über spezielle Anonymisierungsdienste erreichbar sind. Ein Teil davon – das Darknet – dient als Marktplatz für illegale Waren und Dienstleistungen, darunter auch gestohlene Unternehmensdaten: Zugangsdaten, Passwörter, Finanzinformationen, vertrauliche Geschäftsdokumente oder technische Informationen wie Quellcodes.
Im Zuge von Sicherheitsvorfällen – etwa Ransomware-Angriffen oder Phishing-Kampagnen – gelangen häufig Daten in dieses Umfeld, ohne dass Betroffene davon wissen. Im Rahmen einer Darknet-Analyse durchsucht das SVA IR-Team gezielt relevante Bereiche des Deep Web nach illegitim veröffentlichten Daten Ihrer Organisation. Die Ergebnisse ermöglichen es, Datenlecks zu identifizieren, zu bestätigen und in ihrem Ausmaß zu bewerten – und bilden die Grundlage für gezielte Folgemaßnahmen zum nachhaltigen Schutz Ihrer Organisation.
Sie haben Fragen?
Falls Sie mehr zu diesem Thema erfahren möchten, freue ich mich über Ihre Kontaktaufnahme.
Kontaktieren Sie uns
