Gorodenkoff - stock.adobe.com
Nach Sicherheitsvorfällen: auf schnelle Reaktion kommt es an
Sicherheitsvorfälle lassen sich nicht verhindern. Es kommt darauf an, wie resilient ein Unternehmen gegenüber Incidents ist und wie schnell Maßnahmen eingeleitet werden können.
Selbst wenn die unternehmenseigene IT-Infrastruktur auf wirkungsvollen und zeitgemäßen Security-Prinzipien beruht, aktiv gemanagt und überwacht wird – Sicherheitsverletzungen können nie vollständig verhindert werden. Erst recht nicht, wenn externe IT-Dienstleister oder Lösungsanbieter zur Infrastruktur gehören.
Datenpanne beim Dienstleister
Ein Vorfall bei der Firma Red Hat verdeutlicht das Problem: Wie der Anbieter von Open-Source-Software bestätigte, gelang es Hackern Anfang Oktober 2025, fast 600 GByte Daten aus mehr als 28.000 Red Hat Repositories zu kopieren. Der Zugriff erfolgte über eine Instanz von GitLab, der Softwareentwicklungsplattform und Versionskontrolle für DevOps-Teams, die die Consulting-Mitarbeitenden des IT-Dienstleisters für Kundenprojekte nutzte.
Der Erpressungsversuch blieb, nach allem was bekannt ist, zwar erfolglos. Aber für die betroffenen Unternehmen geht der Schaden über Reputationseinbußen hinaus: Zu den Beratungsleistungen gehören oft Architekturdiagramme, Konfigurationsdateien und – was am kritischsten ist – Anmeldedaten und andere sensible Informationen. Sobald Angreifer diese kennen, ist es für sie deutlich einfacher, unbemerkt in ein IT-System einzudringen. Mehr als 800 Unternehmen waren von der Datenpanne betroffen, ohne selbst einen Fehler gemacht zu haben. IT-Dienstleister, Lösungsanbieter, Partner und Plattformen können zu Angriffsvektoren werden. Doch egal, wo die Kompromittierung ihren Anfang nahm, jedes Unternehmen ist selbst dafür verantwortlich, die entstandenen IT-Sicherheitsprobleme zu beheben.
Jede Stunde zählt
Die ersten 72 Stunden nach einem Sicherheitsvorfall sind die entscheidenden. Um den Schaden zu begrenzen, sollten sofort effektive Maßnahmen eingeleitet werden, die zuvor im Rahmen eines Incident-Response-Frameworks definiert wurden. Die vier folgenden Maßnahmen haben dabei Priorität:
- Identifikation der Gefahrenquelle. Eine Liste mit allen Systemen, Konfigurationen und sensiblen Daten, die möglicherweise in kompromittierten Umgebungen weitergegeben oder gespeichert wurden, hilft bei der Beurteilung des Schadens und der notwendigen Maßnahmen.
- Neuvergabe von Anmeldedaten. User-Passwörter, SSH-Schlüssel (Secure Shell Protokoll zur sicheren Authentifizierung), API-Token (einmalig generierte Schlüssel zur Authentifizierung), Datenbank-Anmeldedaten und Zertifikate sollten möglichst schnell ersetzt und User dazu aufgefordert werden, diese neu zu vergeben.
- Verschärfung der Zugriffskontrollen. Wenn nicht bereits Standard, ist ein Sicherheitsvorfall die ideale Gelegenheit, Multifaktor-Authentifizierung durchzusetzen. Ungenutzte Konten sollten entfernt und bestehende Berechtigungen auf den sogenannten Just-In-Time-Zugang beschränkt werden. Damit muss der Zugriff auf die Systeme, Anwendungen und Daten vom User angefordert werden und wird auf den minimal notwendigen Zeitraum begrenzt.
- Monitoring und Validierung. Zu den Standard-Sicherheitsmaßnahmen sollte auch ein Intrusion Detection System gehören. Dennoch: Direkt nach einem Sicherheitsvorfall sind die Netzwerkaktivitäten, neue Token oder ungenehmigte Änderungen besonders interessant. Eine sorgfältige Dokumentation jedes administrativen Schritts ist in dieser Phase essenziell.
Was nach üblichen Sicherheits- und Wiederherstellungsmaßnahmen klingt, kann im Ernstfall zu chaotischen Zuständen führen. Die Rotation von hunderten oder gar tausenden Anmeldedaten in hybriden IT-Umgebungen, zeitgleich die Analyse jeder Netzwerkaktivitäten plus die auditfähige Dokumentation von allem, was getan wird – unter Zeitdruck ein Albtraum.
„Ohne automatische Traffic-Analysen, Anomalie-Erkennungen und Patch Deployments wären IT-Teams heute kaum mehr in der Lage, die Unternehmens-IT gegen die wachsenden Bedrohungen abzusichern. Manuelle Prozesse sind zu fehleranfällig und kosten insbesondere im konkreten Schadenfall zu viel Zeit.“
Volker Rippegather, Perforce Puppet
Automatisierung über SIEM hinaus
Die Automatisierung bestimmter IT-Security-Vorgänge erleichtert die Arbeit von IT-Teams enorm: Häufig zusammengefasst unter Security Information und Event Management (SIEM) werden beispielsweise Monitoring und Analyse so weit automatisiert, dass IT-Verantwortliche bestenfalls nur im Ernstfall eingreifen müssen. SIEM-Systeme überwachen und überprüfen alle Netzwerkaktionen, erkennen Anomalien, verweigern Zugriffe, senden Warnungen an IT-Teams wenn nötig und dokumentieren laufend. Auch die Aktualisierung von Softwareversionen und das Einspielen von Patches lassen sich vergleichsweise unkompliziert automatisieren – Sicherheitsrisiken werden so systematisch niedrig gehalten.
Darüber hinaus ist es während eines Vorfalls oder nach einem Security Incident ebenfalls äußerst hilfreich, wenn die nun notwendigen Maßnahmen automatisiert ablaufen, weil sie zuvor kodifiziert wurden. So können beispielsweise Passwörter innerhalb von Minuten zurückgesetzt oder neu vergeben werden, auch wenn es sich tausende Benutzerkonten und unzählige Anwendungen verteilt auf vielen Servern und Endgeräten handelt.
Ebenso spart das IT-Team wertvolle Zeit, weil SSH-Schlüssel und Sudo-Berechtigungen (administrative Rechte von Superusern) schnell erneuert oder begrenzt werden können. Wenn nötig können neue, strengere Richtlinien ad hoc umgesetzt und riskante Zugriffsberechtigungen entfernt werden. Die Integration mit Secret Managern – Software Tools, die geheime Anmeldeinformationen wie eben Passwörter, API-Keys oder Zertifikate verwalten – hilft bei der Distribution der neuen Informationen.
Fazit: systematische Resilienz dank Automatisierung
IT-Security Automation ist in den meisten Unternehmen bereits ein unverzichtbarer Bestandteil der IT-Sicherheits-Strategie. Ohne automatische Traffic-Analysen, Anomalie-Erkennungen und Patch Deployments wären IT-Teams heute kaum mehr in der Lage, die Unternehmens-IT gegen die wachsenden Bedrohungen abzusichern. Manuelle Prozesse sind zu fehleranfällig und kosten insbesondere im konkreten Schadenfall zu viel Zeit. Je schneller und systematischer Angreifer isoliert und der Zugriff auf weitere Instanzen verhindert werden können, umso geringer die Folgen. Automatisierung ist dabei der Schlüssel zu schneller, skalierbarer Reaktionsfähigkeit.
Über den Autor:
Volker Rippegather ist Regional Director DACH & CEE bei Perforce Puppet.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
