Cyber Crisis Management

17. Juli 2025
Security

Im Rahmen des „Security Engineer“ Kurses auf TryHackMe wurden die Grundlagen des Cyber Crisis Management erklärt. Normalerweise geht es in meinen Beiträge mehr um sehr technische Themen. Da mir dieses Thema allerdings in der heutigen Zeit sehr wichtig erscheint, gibt es hier mal was Neues 😀.

In der modernen Cybersecurity-Landschaft reicht die normale Bearbeitung von Sicherheitsvorfällen durch das SOC-Team (Standard-Incident-Response) nicht immer aus. Während sich Security Operations Centers (SOCs) um alltägliche Sicherheitsvorfälle kümmern, benötigen kritische Cyber-Krisen eine andere Herangehensweise.

Was ist eine Cyber Crisis?

Eine Cyber Crisis unterscheidet sich grundlegend von einem normalen Sicherheitsvorfall. Während das SOC Events und Alerts aus Log-Informationen verarbeitet, entstehen Cyber-Krisen nur bei kritischen Vorfällen. Die Einstufung erfolgt typischerweise über ein vierstufiges System:

Level 1: SOC Incident – Vorfälle, die direkt vom SOC bearbeitet werden können, wie beispielsweise eine gemeldete Phishing-E-Mail.

Level 2: CERT Incident – Vorfälle, die ein SOC-Team erfordern, etwa wenn ein Nutzer mit einer Phishing-E-Mail interagiert hat. CERT steht für Computer Emergency Response Team und bezeichnet spezialisierte Teams zur Behandlung von Computer-Sicherheitsvorfällen.

Level 3: CSIRT Incident – Größere Vorfälle, die neben dem SOC-Team auch Incident Manager erfordern, beispielsweise wenn mehrere Nutzer mit einer Malware-haltigen Phishing-E-Mail interagiert haben. CSIRT bedeutet Computer Security Incident Response Team und ist eine erweiterte Form des CERT mit umfassenderen Befugnissen.

Level 4: CMT Incident – Kritische Vorfälle, bei denen das CSIRT die Befugnis für drastische Maßnahmen benötigt, etwa wenn Ransomware verteilt wird und die Umgebung offline genommen werden muss. Auf das CMT (Crisis Management Team) wird weiter unten genauer eingegangenn.

Die Einstufung erfolgt über eine Incident Severity Classification Matrix, die den Umfang des Vorfalls gegen die Anzahl betroffener Systeme oder Nutzer abwägt und dabei die Schwierigkeit der Wiederherstellung berücksichtigt. Viele Organisationen definieren zusätzliche Sonderregeln, wie etwa die automatische Einstufung als kritisch bei jeder Kundenbetroffenheit.

Rollen und Verantwortlichkeiten im Crisis Management Team

Führungsstruktur: Autokratie statt Demokratie

Ein Crisis Management Team (CMT) funktioniert nach anderen Prinzipien als normale Geschäftsprozesse. Während in den meisten Situationen demokratische Entscheidungsfindung verwendet wird, benötigt Krisenmanagement autokratische Strukturen. Zeitkritische Entscheidungen können nicht durch lange Diskussionen verzögert werden. Diese Verantwortung liegt typischerweise beim CEO, kann aber auch auf maximal fünf Schlüsselpersonen mit Stimmrecht verteilt werden.

Schlüsselrollen im CMT

CMT Chair – Führt das CMT und ist für finale Entscheidungen verantwortlich. Diese Rolle übernimmt meist der CEO oder COO.

Executives – Umfasst CEO, COO, CIO, CTO, CFO und CISO. Da diese letztendlich für die Folgen des Vorfalls verantwortlich sind, besitzen sie oft Stimmrechte.

Communication – Verantwortlich für interne Mitarbeiterkommunikation und externe Kundenkommunikation. Die Kontrolle der Informationsverbreitung ist entscheidend zur Panikvermeidung.

Legal – Stellt sicher, dass alle CMT-Aktionen legal sind. Besonders relevant bei Diskussionen über Lösegeldzahlungen oder Threat-Actor-Interaktionen.

Operations – Fokussiert auf die Verringerung der Geschäftsauswirkungen während der Krise. Oft vom COO oder einem spezialisierten Team übernommen.

Subject Matter Experts (SMEs) – Technische Experten, die dem meist nicht-technischen CMT kritische Informationen liefern. Typischerweise SOC-Leiter oder CSIRT-Incident-Manager.

Scribe – Dokumentiert alle Ereignisse und Diskussionen für spätere Berichte an Behörden oder Regulatoren.

Die Golden Hour: Kritische erste Stunde

Die erste Stunde nach CMT-Aktivierung ist entscheidend. Ähnlich wie bei Ermittlungen wird die Rekonstruktion und Wiederherstellung mit fortschreitender Zeit schwieriger.

Teamzusammenstellung

Das CSIRT aktiviert das CMT und löst damit einen definierten Benachrichtigungsprozess aus. Playbooks und Call Trees sind wichtig, da Schlüsselpersonen möglicherweise nicht verfügbar sind. Ersatzpersonen und deren Stellvertreter müssen bereits dokumentiert sein.

Der CSIRT Chair startet typischerweise die CMT-Aktivierung und führt die erste Benachrichtigung durch. Das Team entscheidet über Remote- oder Präsenz-Versammlung und definiert Kommunikationskanäle. Diese Entscheidung kann komplex sein, wenn der Verdacht besteht, dass primäre Kommunikationskanäle kompromittiert sind.

Information Gathering: Situationsanalyse

Nach der CMT-Einrichtung erfolgt ein CSIRT-Briefing mit:

  • Zusammenfassung der bisherigen Erkenntnisse
  • Übersicht bereits ergriffener Maßnahmen und deren Auswirkungen
  • Empfehlungen für sofortige drastische Maßnahmen

Crisis Triage: Bewertung und Planung

Das CMT bewertet den Vorfall und die vorgeschlagenen CSIRT-Maßnahmen. Dabei werden Auswirkungen auf die Organisation betrachtet und Schritte zur Schadensbegrenzung geplant. Diese Phase bestimmt auch die Einbindung weiterer Beteiligter.

Notifications: Kommunikationsstrategie

Die Kontrolle der Informationsverbreitung beginnt bereits in der Golden Hour. CMTs verteilen vorgefertigte Nachrichten – Mitteilungen, die keine spezifischen Details preisgeben, aber Vertrauen schaffen, dass das Team arbeitet und weitere Informationen folgen werden.

Der CMT-Prozess: Zyklisches Krisenmanagement

Nach der Golden Hour folgt ein strukturierter zyklischer Prozess. Das CMT bleibt statisch – anstatt dass Mitglieder zur Informationsbeschaffung aufbrechen, bringen SMEs Informationen zum CMT. Diese Struktur verhindert zeitraubende Neuversammlungen während kritischer Momente.

Information Updates

Das CMT erhält regelmäßige Updates von den verschiedenen Beteiligten (Abteilungen, externe Partner, Behörden), typischerweise durch SME-Briefings. Ziel ist die Bereitstellung neuer Informationen zum besseren Verständnis des Krisenumfangs und der Auswirkungen bereits ergriffener Maßnahmen. Update-Frequenzen werden situationsabhängig angepasst.

Da CMT-Mitglieder meist nicht-technisch sind, müssen SMEs Informationen abstrakt und auswirkungsbezogen statt detailliert-technisch präsentieren.

Triage

Nach neuen Informationen erfolgt eine erneute Triage-Phase. Das CMT entscheidet über Anpassungen der Krisenschwere und SME-Erweiterungen. Zusätzlich wird entschiedene, ob neue Informationen an interne und externe kommuniziert werden.

Action Discussions

Mit SME-Informationen diskutiert das CMT vorgeschlagene Maßnahmen und deren Auswirkungen auf die Organisation. Diese betreffen keine einfachen Aktionen wie Phishing-E-Mail-Entfernung, sondern drastische Maßnahmen wie:

  • VPN-Zugang-Beschränkung
  • Active Directory Domain-Takeback
  • Disaster Recovery-Umgebung-Aktivierung

Action Approvals

CMT Chairs begrenzen Diskussionszeiten zur Vermeidung von Handlungsunfähigkeit. Zeitkritische Situationen – wie Ransomware-Deployment über Group Policy Objects mit 120-Minuten-Verschlüsselungszeit – erfordern schnelle Entscheidungen.

Entscheidungen erfolgen typischerweise durch den CEO, der letztendlich verantwortlich ist. Inaktivität kann schädlicher sein als suboptimale Aktionen!

Dokumentation und Krisenabschluss

Nach der Krisenbewältigung erfolgt eine vollständige Dokumentation basierend auf Scribe-Notizen. Diese Dokumentation dient nicht nur der Archivierung, sondern auch der Prozess- und Richtlinienverbesserung für zukünftige Cyber-Krisen.

Die Bedeutung von Subject Matter Experts

Generalisten vs. Spezialisten

CMT-Mitglieder haben typischerweise breite Verantwortungsbereiche. Ein CEO führt die gesamte Organisation, kann aber nicht in allen Bereichen Experte sein. Allein wäre das CMT nicht handlungsfähig und muss auf externe Expertise zurückgreifen.

Kritische Informationslieferung

SMEs liefern dem CMT zwei wichtige Informationstypen:

  • Vollständige Vorfallsübersicht: Umfang, Geschehen und Geschäftsauswirkungen
  • Handlungsoptionen: Verfügbare Maßnahmen mit Aufwand-Nutzen-Bewertung

Security Engineers können beispielsweise über Backup-Aufbewahrungszeiten, die Verfügbarkeit der Disaster Recovery-Systeme oder Auswirkungen der Abschaltung wichtiger Systeme informieren. Diese Informationen müssen klar kommuniziert werden, um fundierte CMT-Entscheidungen zu ermöglichen.

Fazit

Wirksames Cyber Crisis Management erfordert strukturierte Prozesse, klare Rollen und schnelle Entscheidungsfindung. Die Kombination aus strategischer Führung durch das CMT und technischer Expertise der SMEs ermöglicht fundierte Entscheidungen unter Zeitdruck. Vorbereitung durch Playbooks, vorgefertigte Nachrichten und etablierte Kommunikationswege ist entscheidend für eine erfolgreiche Krisenbewältigung. Die Golden Hour bestimmt oft den Verlauf der gesamten Krise, weshalb gut etablierte Teamzusammenstellungs- und Triage-Prozesse kritisch sind.