secIT by heise 2025

In dieser ganztägigen Schulung werden aktuelle Methoden des Incident Handling und der Incident Response als Vorbereitung auf mögliche zukünftige Vorfälle behandelt.

Vor einer forensischen Untersuchung steht zunächst der Vorfall, der als solcher erkannt werden muss. Dabei kommen sowohl technische als auch organisatorische Hilfsmittel und Abläufe zum Einsatz. Der Erkennung folgt die unmittelbare Reaktion in Form der Incident Response. Sie versucht, den Vorfall zu erfassen und ihn für eine nachfolgende forensische Untersuchung aufzubereiten. Der ISO-27035-Standard dient als Leitfaden zur Erkennung und Behandlung von Sicherheitsvorfällen. In der Praxis ist dieses Rahmenwerk jedoch nur die Basis für individuelle Regelungen und Abläufe eines Unternehmens. Eine enge Verzahnung mit dem (IT-)Sicherheitsmanagement, der IT sowie anderen Bereichen wie beispielsweise den Personal- und Rechtsabteilungen sowie Mitarbeitervertretungen ist meist unerlässlich. Hinzukommen – je nach Art des Vorfalls – notwendige Kontakte zu Behörden oder der Polizei.

Im Rahmen des Seminars gehen wir zunächst darauf ein, wie sich ein Sicherheitsvorfall erkennen lässt. Dabei werden sowohl technische Möglichkeiten zur Erkennung etwaiger Sicherheitsvorfälle auf Endgeräten und im Netzwerk erörtert als auch organisatorische Maßnahmen dargestellt. Anschließend zeigen wir, wie mithilfe des ISO-27035-Standards eine systematische Vorgehensweise bei der Bearbeitung eines Vorfalls gewährleistet werden kann. Dabei betrachten wir ebenfalls, welche ergänzenden Anforderungen für KRITIS-relevante Unternehmen bestehen.

Darauf aufbauend wird anhand von Fallbeispielen exemplarisch ein angemessenes Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung firmeneigener Kommunikationsmöglichkeiten detailliert erörtert.

Nach Abschluss der Schulung wissen die Teilnehmenden nicht nur, wie sie einen Incident-Response-Prozess im Unternehmen etablieren und weiterentwickeln können, sondern auch welche Anforderungen an die Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel zu erfüllen sind.

Themenbereiche:

ISO-27035-Standard als Leitfaden für Incident Response
Voraussetzungen für Incident Response
Organisatorischer Rahmen für Incident Response
Incident-Handling-Prozess
Besonderheiten und Meldepflichten im Zusammenhang mit KRITIS
Vorbereitungen für forensische Untersuchungen und Threat Hunting etc.
Zielgruppe: Sicherheitsverantwortliche, CERTs, betriebliche Ermittler
Voraussetzung: Grundlegende Kenntnisse in der IT; von Vorteil sind Kenntnisse von Angriffsmöglichkeiten und der Vorgehensweise von Hackern.

Die erfolgreiche Bearbeitung eines IT-Sicherheitsvorfalls setzt viel Planung voraus. Dabei spielen organisatorische und technische Aspekte eine entscheidende Rolle.

Im Rahmen des Workshops werden in kompakter Weise die Punkte vorgestellt, die für die Entwicklung einer Incident-Response Strategie erforderlich sind. Des Weiteren werden technische Vorgehensweisen vorgestellt, um gerichtsfeste Beweise im Rahmen von forensischen Untersuchungen zu sichern.

Den Workshop hält Joshua Tiago, Leitender Berater bei der cirosec. Seit Jahren berät er Kunden im Bereich Incident Handling und unterstützt sie bei der Forensik. Darüber hinaus hat er schon einige Artikel zu dem Thema in der iX veröffentlicht.

Ransomware- und Malware-Angriffe gehören mittlerweile zu den häufigsten Cyberangriffen und entwickeln sich in vielen Fällen zu gravierenden Sicherheitsvorfällen auf Unternehmensebene. Wenn ein solcher Vorfall eintritt, ist höchste Eile geboten.

Doch was sind die richtigen Maßnahmen, um den Angriff zu stoppen oder einzudämmen? Welche Punkte müssen dabei unbedingt beachtet werden?

In der einstündigen Session wird auf all diese Fragen eingegangen und von Fällen aus der Praxis berichtet.

Die Deep-Dive-Session hält Joshua Tiago, Leitender Berater bei der cirosec. Seit Jahren berät er Kunden im Bereich Incident Handling und unterstützt sie bei der Forensik. Darüber hinaus hat er schon einige Artikel zu dem Thema in der iX veröffentlicht.

Im Rahmen dieser Deep Dive Session erläutern wir zunächst den Begriff Red Teaming und wie sich diese Überprüfungsform von regulären Penetrationstests unterscheidet. Wir geben einen Überblick über die verschiedenen Phasen, die involvierten Parteien (Red-, Blue-, White-Team) in der Projektdurchführung und über die Erkenntnisse, die ein Kunde aus solch einem Projekt gewinnen kann. Des Weiteren geben wir Hinweise zur Beantwortung der Frage „Sind das eigene Unternehmen und die Infrastruktur bereit für ein Red-Team-Assessment?“ Möglicherweise sind andere Prüfungsformen für den eigenen Reifegrad oder die konkreten Ziele besser geeignet.

Anschließend gewähren wir einen Blick hinter die Kulissen: Wir skizzieren unser Vorgehen bei Red-Team-Assessments und erläutern Angriffstechniken gemäß den Phasen des MITRE-ATT&CK-Frameworks, die besonders häufig erfolgreich waren. Zum Schluss fassen wir zusammen, welche Erkenntnisse für unsere Kunden besonders wertvoll waren und wie sie ihnen geholfen haben, sich nach der Durchführung des Red-Team-Assessments auf die wichtigsten Aspekte zur Verteidigung gegen Cyberangriffe zu fokussieren.

Die Deep Dive Session hält Constantin Wenz, Senior Berater bei der cirosec. Schwerpunkt seiner Tätigkeit ist das Auffinden und Beheben von Sicherheitslücken in Windows-Infrastrukturen und den damit verbundenen Cloud-Diensten. Darüber hinaus führt er regelmäßig Red Teamings durch.