# Vorfallreaktion
<a name="incident-response"></a>

Auch bei ausgereiften präventiven und Erkennungskontrollen, sollte Ihr Unternehmen Verfahren etablieren, um auf Sicherheitsvorfälle reagieren und mögliche Auswirkungen mindern zu können. Ihre Vorbereitung wirkt sich stark auf die Fähigkeit Ihrer Teams aus, während eines Vorfalls effektiv zu arbeiten, Probleme zu isolieren, einzudämmen und forensisch zu untersuchen sowie den Betrieb in einem bekannten guten Zustand wiederherzustellen. Durch die Bereitstellung von Tools und Zugriff vor einem Sicherheitsvorfall und die routinemäßige Reaktion auf Vorfälle im Alltag können Sie sicherstellen, dass Sie eine Wiederherstellung durchführen und die Betriebsunterbrechung minimieren können. 

**Topics**
+ [

# Aspekte der Reaktion auf AWS-Vorfälle
](aspects-of-aws-incident-response.md)
+ [

# Designziele für die Reaktion auf Cloud-Vorfälle
](design-goals-of-cloud-response.md)
+ [

# Vorbereitung
](preparation.md)
+ [

# Operationen
](operations.md)
+ [

# Aktivität nach Vorfällen
](post-incident-activity.md)

# Aspekte der Reaktion auf AWS-Vorfälle
<a name="aspects-of-aws-incident-response"></a>

 Alle AWS-Benutzer innerhalb einer Organisation sollten ein grundlegendes Verständnis der Prozesse zur Reaktion auf Sicherheitsvorfälle haben und das Sicherheitspersonal sollte wissen, wie auf Sicherheitsprobleme zu reagieren ist. Ausbildung, Schulung und Erfahrung sind für ein erfolgreiches Programm zur Reaktion auf Cloud-Vorfälle von entscheidender Bedeutung und werden idealerweise schon lange vor einem möglichen Sicherheitsvorfall implementiert. Die Grundlage für ein erfolgreiches Reaktionsprogramm für Cloud-Vorfälle bilden *Vorbereitung*, *Betrieb* und *Aktivität nach Vorfällen*. 

 Im Folgenden werden diese Aspekte genauer beschrieben: 
+  **Vorbereitung**: Bereiten Sie Ihr Vorfallreaktionsteam darauf vor, Vorfälle in AWS zu erkennen und darauf zu reagieren, indem Sie Erkennungsfunktionen aktivieren und einen angemessenen Zugriff auf die erforderlichen Tools und Cloud-Services gewährleisten. Bereiten Sie außerdem die erforderlichen Playbooks vor, sowohl manuell als auch automatisiert, um zuverlässige und konsistente Reaktionen auf Vorfälle zu gewährleisten. 
+  **Betrieb**: Reagieren Sie auf Sicherheitsereignisse und potenzielle Vorfälle gemäß den NIST-Reaktionsphasen: Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung. 
+  **Aktivität nach Vorfällen**: Analysieren Sie die Ergebnisse Ihrer Sicherheitsereignisse und Simulationen, um die Wirksamkeit Ihrer Maßnahmen zu verbessern, den Nutzen der Maßnahmen und Untersuchungen zu steigern und das Risiko weiter zu reduzieren. Sie müssen aus Vorfällen lernen und die Verantwortung für Verbesserungsmaßnahmen für klar definiert sein. 

 Das folgende Diagramm zeigt den Ablauf der Phasen gemäß dem zuvor erwähnten NIST-Lebenszyklus für die Reaktion auf Vorfälle. Hierbei umfasst der Betrieb Erkennung und Analyse sowie Eindämmung, Beseitigung und Wiederherstellung. 

![\[Diagramm für den Zyklus der Behandlung von AWS-Vorfällen.\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/security-pillar/images/aws-incident-response.png)


# Designziele für die Reaktion auf Cloud-Vorfälle
<a name="design-goals-of-cloud-response"></a>

Obwohl die allgemeinen Prozesse und Mechanismen der Reaktion auf Vorfälle, wie sie in [NIST SP 800-61: Computer Security Incident Handling Guide](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) definiert sind, bestehen bleiben, empfehlen wir Ihnen, diese spezifischen Designziele zu bewerten, die für die Reaktion auf Sicherheitsvorfälle in einer Cloud-Umgebung relevant sind: 
+ **Festlegen von Reaktionszielen:** Arbeiten Sie mit Interessenvertretern, dem Rechtsbeistand und der Leitung der Organisation zusammen, um das Ziel der Reaktion auf einen Vorfall zu ermitteln. Zu den gemeinsamen Zielen gehören die Eindämmung und Entschärfung des Problems, die Wiederherstellung der beschädigten Ressourcen, die Sicherung der Daten für die Forensik, die Wiederherstellung eines sicheren Betriebs und schließlich das Lernen aus Vorfällen.
+ **Reagieren mit der Cloud:** Implementieren Sie Reaktionsmuster in der Cloud dort, wo das Ereignis und die Daten auftreten.
+ **Vorhandene und benötigte Informationen:** Bewahren Sie Protokolle, Ressourcen, Snapshots und andere Beweise auf, indem Sie sie kopieren und in einem zentralen Cloud-Konto für die Vorfallreaktion speichern. Verwenden Sie Tags, Metadaten und Mechanismen, die Aufbewahrungsrichtlinien erzwingen. Sie müssen wissen, welche Services Sie verwenden, und dann die Anforderungen für die Untersuchung dieser Services ermitteln. Um Ihnen zu helfen, Ihre Umgebung zu verstehen, können Sie auch Tagging verwenden.
+ **Verwenden von Wiederbereitstellungsmechanismen:** Wenn eine Sicherheitsanomalie auf eine falsche Konfiguration zurückzuführen ist, kann die Behebung so einfach sein wie das Entfernen der Abweichung durch die erneute Bereitstellung der Ressourcen mit der richtigen Konfiguration. Wenn eine mögliche Gefährdung festgestellt wird, muss sichergestellt werden, dass die erneute Bereitstellung eine erfolgreiche und überprüfte Beseitigung der Ursachen beinhaltet.
+ **Automatisieren wo möglich:** Wenn Probleme auftreten oder Vorfälle sich wiederholen, erstellen Sie Mechanismen, die programmgesteuert Tests durchführen und auf gängige Ereignisse reagieren. Setzen Sie Mitarbeiter ein, wenn auf einzigartige, komplexe oder sensible Vorfälle reagiert werden muss, bei denen Automatisierungen unzureichend sind.
+ **Auswahl skalierbarer Lösungen:** Streben Sie an, die Skalierbarkeit des Cloud-Computing-Ansatzes Ihrer Organisation zu erreichen. Implementieren Sie Erkennungs- und Reaktionsmechanismen, die sich in Ihren Umgebungen skalieren lassen, um die Zeit zwischen Erkennung und Reaktion effektiv zu reduzieren.
+ **Analyse und Verbessern des Prozesses:** Identifizieren Sie proaktiv Sicherheitslücken bei Ihren Prozessen, Tools oder Mitarbeitern und implementieren Sie einen Plan, um diese zu beheben. Simulationen sind eine sichere Methode, um Lücken aufzudecken und Prozesse zu verbessern.

Diese Entwurfsziele sollen als Erinnerung daran dienen, Ihre Architekturimplementierung daraufhin zu überprüfen, ob sie sowohl zur Reaktion auf Vorfälle als auch zur Bedrohungserkennung in der Lage ist. Denken Sie bei der Planung Ihrer Cloud-Implementierungen daran, wie auf einen Vorfall reagiert werden soll, idealerweise mit einer forensisch fundierten Reaktionsmethodik. In einigen Fällen bedeutet dies, dass Sie möglicherweise mehrere Organisationen, Konten und Tools verwenden, die speziell für diese Reaktionsaufgaben eingerichtet wurden. Diese Tools und Funktionen sollten der für Vorfälle verantwortlichen Person über die Bereitstellungspipeline zur Verfügung gestellt werden. Sie sollten nicht statisch sein, da dies zu einem größeren Risiko führen kann.

# Vorbereitung
<a name="preparation"></a>

 Die Vorbereitung auf einen Vorfall ist entscheidend für eine zeitnahe und effektive Reaktion im Ernstfall. Die Vorbereitung erfolgt in drei Bereichen: 
+  **Personen**: Um Ihre Mitarbeiter auf einen Sicherheitsvorfall vorzubereiten, müssen Sie die für die Reaktion auf Vorfälle relevanten Personen identifizieren und sie in den Bereichen Vorfallreaktion und Cloud-Technologien schulen. 
+  **Prozess**: Zur Vorbereitung Ihrer Prozesse auf einen Sicherheitsvorfall müssen Sie Architekturen dokumentieren, detaillierte Pläne zur Reaktion auf Vorfälle entwickeln und Playbooks für eine einheitliche Reaktion auf Sicherheitsereignisse erstellen. 
+  **Technologie**: Um Ihre Technologie auf einen Sicherheitsvorfall vorzubereiten, müssen Sie den Zugriff einrichten, die erforderlichen Protokolle erfassen und überwachen, effektive Warnmechanismen implementieren und Reaktions- und Ermittlungsfunktionen entwickeln. 

 Jeder dieser Bereiche ist für eine effektive Reaktion auf Vorfälle gleichermaßen wichtig. Ohne alle drei ist kein Vorfallreaktionsprogramm vollständig oder wirksam. Die Vorbereitung von Mitarbeitern, Prozessen und Technologien muss eng ineinandergreifen, um auf einen Vorfall vorbereitet zu sein. 

**Topics**
+ [

# SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen
](sec_incident_response_identify_personnel.md)
+ [

# SEC10-BP02 Entwickeln von Vorfallmanagementplänen
](sec_incident_response_develop_management_plans.md)
+ [

# SEC10-BP03 Vorbereiten forensischer Funktionen
](sec_incident_response_prepare_forensic.md)
+ [

# SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle
](sec_incident_response_playbooks.md)
+ [

# SEC10-BP05 Vorab bereitgestellter Zugriff
](sec_incident_response_pre_provision_access.md)
+ [

# SEC10-BP06 Vorabbereitstellen von Tools
](sec_incident_response_pre_deploy_tools.md)
+ [

# SEC10-BP07 Durchführen von Simulationen
](sec_incident_response_run_game_days.md)

# SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen
<a name="sec_incident_response_identify_personnel"></a>

 Identifizieren Sie internes und externes Personal, Ressourcen und rechtliche Anforderungen, um Ihre Organisation bei der Reaktion auf einen Vorfall zu unterstützen. 

 **Gewünschtes Ergebnis:** Sie verfügen über eine Liste mit den wichtigsten Mitarbeitern, ihren Kontaktinformationen und ihrer Rolle bei der Reaktion auf ein Sicherheitsereignis. Sie überprüfen diese Informationen regelmäßig und aktualisieren sie, um personelle Veränderungen aus Sicht der internen und externen Tools zu berücksichtigen. Bei der Dokumentation dieser Informationen berücksichtigen Sie alle Drittanbieter und Dienstleister, einschließlich Sicherheitspartnern, Cloud-Anbietern und Software as a Service (SaaS)-Anwendungen. Während eines Sicherheitsereignisses stehen Mitarbeiter mit dem entsprechenden Maß an Verantwortung, Kontext und Zugriff zur Verfügung, um zu reagieren und das Ereignis zu bewältigen.  

 **Typische Anti-Muster:** 
+  Fehlen einer aktualisierten Liste der wichtigsten Mitarbeiter mit Kontaktinformationen, ihren Aufgaben und ihren Verantwortlichkeiten bei der Reaktion auf Sicherheitsvorfälle 
+  Voraussetzen, dass jeder die Personen, die Abhängigkeiten, die Infrastruktur und die Lösungen bei der Reaktion auf ein Ereignis und bei der Bewältigung eines Ereignisses versteht  
+  Fehlen eines Dokuments oder eines Wissens-Repositorys, das die wichtigsten Infrastruktur- oder Anwendungsdesigns darstellt 
+  Fehlen von angemessenen Einarbeitungsprozessen für neue Mitarbeiter, um effektiv zur Reaktion auf ein Sicherheitsereignis beizutragen (etwa die Durchführung von Ereignissimulationen) 
+  Fehlen eines Eskalationspfads für den Fall, dass wichtige Mitarbeiter vorübergehend nicht verfügbar sind oder bei Sicherheitsereignissen nicht reagieren 

 **Vorteile der Nutzung dieser bewährten Methode** Diese Praxis reduziert die Triage- und Reaktionszeit, die für die Identifizierung der richtigen Mitarbeiter und ihrer Rollen während eines Ereignisses aufgewendet wird. Minimieren Sie Zeitverluste während eines Ereignisses, indem Sie eine aktualisierte Liste der wichtigsten Mitarbeiter und ihrer Rollen führen, damit Sie die richtigen Personen für die Triage und die Bewältigung eines Ereignisses einsetzen können. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 **Identifizieren Sie wichtige Personen in Ihrer Organisation:** Führen Sie eine Kontaktliste der Personen in Ihrer Organisation, die Sie einbeziehen müssen. Überprüfen und aktualisieren Sie diese Informationen regelmäßig bei personellen Veränderungen wie organisatorischen Änderungen, Beförderungen und Teamwechseln. Dies ist besonders wichtig für Schlüsselpositionen wie Incident Manager, Incident Responder und Communications Lead.  
+  **Incident Manager:** Incident Managers haben die Gesamtverantwortung für die Reaktion auf das Ereignis. 
+  **Incident Responder:** Incident Responders sind für Untersuchungen und Abhilfemaßnahmen zuständig. Diese Personen können sich je nach Art des Ereignisses unterscheiden, sind aber in der Regel Entwickler und Betriebs-Teams, die für die betroffene Anwendung verantwortlich sind. 
+  **Communications Lead:** Communications Leads sind für die interne und externe Kommunikation verantwortlich, insbesondere mit Behörden, Regulierungsbehörden und Kunden. 
+  **Onboarding-Prozess:** Führen Sie regelmäßige Schulungen und ein Onboarding für neue Mitarbeiter durch, um ihnen die notwendigen Fähigkeiten und Kenntnisse zu vermitteln, damit sie effektiv bei der Reaktion auf Vorfälle mitwirken können. Integrieren Sie Simulationen und praktische Übungen in den Onboarding-Prozess, damit sie besser vorbereitet sind. 
+  **Fachexperten (Subject Matter Experts, SMEs):** Im Falle von verteilten und autonomen Teams empfehlen wir Ihnen, für geschäftskritische Workloads SMEs zu bestimmen. Sie bieten Einblicke in den Betrieb und die Datenklassifizierung von kritischen Workloads, die an dem Ereignis beteiligt sind. 

 Beispieltabellenformat: 

```
  | Role | Name | Contact Information | Responsibilities |
1 | ——– | ——- | ——- | ——- |
2 | Incident Manager | Jane Doe| jane.doe@example.com | Overall authority during response |
3 | Incident Responder | John Smith | john.smith@example.com | Investigation and remediation |
4 | Communications Lead | Emily Johnson | emily.johnson@example.com | Internal and external communications |
5 | Communications Lead | Michael Brown | michael.brown@example.com | Insights on critical workloads |
```

 Erwägen Sie die Verwendung des Features [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html), um wichtige Kontakte zu erfassen, einen Reaktionsplan zu definieren, Bereitschaftspläne zu automatisieren und Eskalationspläne zu erstellen. Automatisieren und rotieren Sie alle Mitarbeiter durch einen Bereitschaftsdienstplan, sodass die Verantwortung für die Workload auf alle zuständigen Personen verteilt wird. Dies fördert gute Praktiken wie die Ausgabe relevanter Metriken und Protokolle sowie die Definition von Alarmschwellen, die für die Workload von Bedeutung sind. 

 **Identifizieren Sie externe Partner:** Unternehmen nutzen Tools, die von unabhängigen Softwareanbietern (ISVs), Partnern und Subunternehmern entwickelt wurden, um differenzierte Lösungen für ihre Kunden zu erstellen. Binden Sie wichtige Mitarbeiter dieser Parteien ein, die Ihnen bei der Reaktion auf einen Vorfall und bei dessen Bewältigung helfen können. Wir empfehlen Ihnen, sich für die entsprechende Stufe von Support anzumelden, um über einen Supportfall sofortigen Zugang zu AWS -Fachexperten zu erhalten. Erwägen Sie, ähnliche Vereinbarungen mit allen Anbietern kritischer Lösungen für die Workloads zu schließen. Einige Sicherheitsereignisse machen es erforderlich, dass börsennotierte Unternehmen die zuständigen Behörden und Aufsichtsbehörden über das Ereignis und dessen Auswirkungen informieren. Pflegen und aktualisieren Sie die Kontaktinformationen der relevanten Abteilungen und der zuständigen Personen. 

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  Richten Sie eine Lösung für das Vorfallmanagement ein. 

   1.  Erwägen Sie die Bereitstellung von Incident Manager in Ihrem Security-Tooling-Konto. 

1.  Definieren Sie Kontakte in Ihrer Lösung für das Vorfallmanagement. 

   1.  Definieren Sie für jeden Kontakt mindestens zwei Arten von Kontaktkanälen (z. B. SMS, Telefon oder E-Mail), um die Erreichbarkeit während eines Vorfalls sicherzustellen. 

1.  Definieren Sie einen Reaktionsplan. 

   1.  Ermitteln Sie die am besten geeigneten Ansprechpartner für einen Vorfall. Definieren Sie Eskalationspläne, die sich an den Rollen der einzuschaltenden Mitarbeiter orientieren (und nicht an einzelnen Ansprechpartnern). Erwägen Sie die Aufnahme von Kontakten, die gegebenenfalls für die Benachrichtigung externer Stellen zuständig sind, auch wenn diese nicht direkt an der Lösung des Vorfalls beteiligt sind.   

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [OPS02-BP03 Betriebsaktivitäten haben feste Besitzer, die für ihre Leistung verantwortlich sind](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_ops_model_def_activity_owners.html) 

 **Zugehörige Dokumente:** 
+  [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Zugehörige Beispiele:** 
+  [AWS Customer Playbook Framework](https://github.com/aws-samples/aws-customer-playbook-framework) 
+  [Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung](https://youtu.be/8uiO0Z5meCs) 

 **Zugehörige Tools:** 
+  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 

 **Zugehörige Videos:** 
+  [Der Sicherheitsansatz von Amazon bei der Entwicklung](https:/www.youtube.com/watch?v=NeR7FhHqDGQ) 

# SEC10-BP02 Entwickeln von Vorfallmanagementplänen
<a name="sec_incident_response_develop_management_plans"></a>

Das erste Dokument, das für die Vorfallreaktion entwickelt werden muss, ist der Vorfallreaktionsplan. Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Entwicklung durchdachter und klar definierter Prozesse zur Vorfallreaktion ist der Schlüssel zu einem erfolgreichen und skalierbaren Vorfallreaktionsprogramm. Wenn ein Sicherheitsereignis eintritt, können Ihnen klare Schritte und Workflows dabei helfen, rechtzeitig zu reagieren. Möglicherweise verfügen Sie bereits über Prozesse zur Vorfallreaktion. Unabhängig von Ihrem aktuellen Status ist es wichtig, Ihre Prozesse zur Vorfallreaktion regelmäßig zu aktualisieren, zu wiederholen und zu testen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Ein Vorfallmanagementplan ist von entscheidender Bedeutung, um auf Sicherheitsvorfälle zu reagieren, sie einzudämmen und ihre potenziellen Folgen zu beheben. Ein Vorfallmanagementplan ist ein strukturierter Prozess für die Identifizierung und Behebung von Sicherheitsvorfällen sowie die zeitnahe Reaktion darauf. 

 In der Cloud gibt es viele der betrieblichen Rollen und Anforderungen, die auch für eine On-Premises-Umgebung typisch sind. Beim Erstellen eines Plans für das Vorfallmanagement ist es wichtig, Reaktions- und Wiederherstellungsstrategien zu entwickeln, die Ihren Anforderungen an geschäftliche Ergebnisse und Compliance optimal entsprechen. Wenn Sie beispielsweise Workloads in AWS ausführen, die in den USA FedRAMP-konform sind, sollten Sie die Empfehlungen im [NIST SP 800-61 Computer Security Handling Guide](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf) befolgen. Ähnlich gilt bei der Ausführung von Workloads, die persönlich identifizierbare Informationen (PII) speichern, dass Sie diese schützen und auf Probleme im Zusammenhang mit Datenresidenz und Verwendung von Daten reagierren müssen. 

 Wenn Sie einen Vorfallmanagementplan für Ihre Workloads in AWS erstellen, beginnen Sie mit dem [AWS-Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) zum Aufbau eines durchdachten Verteidigungskonzepts für die Vorfallreaktion. In diesem Modell kümmert sich AWS um die Sicherheit der Cloud und Sie sind für die Sicherheit in der Cloud verantwortlich. Das bedeutet, dass Sie die Kontrolle behalten und für die Sicherheitskontrollen verantwortlich sind, für deren Implementierung Sie sich entscheiden. Der [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) enthält zentrale Konzepte und grundlegende Anleitungen für den Aufbau eines Cloud-basierten Vorfallmanagementplans.

 Ein effektiver Vorfallmanagementplan muss kontinuierlich durchlaufen und stets an die Ziele Ihrer Cloud-Operationen angepasst werden. Erwägen Sie die Verwendung der nachfolgend erläuterten Implementierungspläne für die Erstellung und Weiterentwicklung Ihres Vorfallmanagementplans. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Definieren Sie Rollen und Verantwortlichkeiten innerhalb Ihrer Organisation für den Umgang mit Sicherheitsereignissen. Daran sollten Vertreter verschiedener Bereiche beteiligt sein, darunter: 
   +  Personalabteilung (HR) 
   +  Führungsteam 
   +  Rechtsabteilung 
   +  Besitzer und Entwickler von Anwendungen (fachliche Experten) 

1.  Beschreiben Sie klar, welche Personen bei einem Vorfall verantwortlich sind, Rechenschaft geben müssen, konsultiert werden müssen und informiert werden müssen (Responsibile, Accountable, Consulted, Informed, RACI). Erstellen Sie ein RACI-Diagramm, um eine schnelle und direkte Kommunikation zu unterstützen, und beschreiben Sie klar die Personen, die während der verschiedenen Phasen eines Ereignisses die Leitung haben. 

1.  Binden Sie während eines Vorfalls Anwendungsbesitzer und Entwickler (fachliche Experten) ein, da sie wertvolle Informationen und Kontext bereitstellen können, um die Auswirkungen messen zu können. Entwickeln Sie Beziehungen zu diesen fachlichen Experten und üben Sie mit ihnen Szenarien für die Vorfallreaktion, bevor es zu einem tatsächlichen Vorfall kommt. 

1.  Binden Sie vertrauenswürdige Partner oder externe Experten in das Untersuchungs- oder Reaktionsverfahren ein, da sie zusätzliche Kenntnisse und Perspektiven bereitstellen können. 

1.  Passen Sie Ihre Pläne und Rollen für das Vorfallmanagement an lokale Vorschriften oder Compliance-Anforderungen an, denen Ihre Organisation unterliegt. 

1.  Üben und testen Sie Ihre Pläne für die Vorfallreaktion regelmäßig und beziehen Sie alle definierten Rollen und Verantwortlichkeiten ein. Auf diese Weise können Sie den Prozess rationalisieren und sicherstellen, dass Sie koordiniert und effizient auf Sicherheitsvorfälle reagieren. 

1.  Überprüfen und aktualisieren Sie Rollen, Verantwortlichkeiten und RACI-Diagramm regelmäßig oder bei Änderungen von Organisationsstruktur oder Anforderungen. 

 **Die AWS-Reaktionsteams und der Support** 
+  **AWS Support** 
  +  [Support](https://aws.amazon.com/premiumsupport/) bietet eine Reihe an Plänen, die den Zugriff auf Tools und das Know-how für den Erfolg und den betriebsbereiten Zustand der AWS-Lösungen ermöglichen. Wenn Sie technischen Support und weitere Ressourcen benötigen, um Ihre AWS-Umgebung zu planen, bereitzustellen und zu optimieren, können Sie einen Supportplan auswählen, der am besten zu Ihrem AWS-Anwendungsfall passt. 
  +  Das [Support-Center](https://console.aws.amazon.com/support) in der AWS-Managementkonsole (Anmeldung erforderlich) ist Ihre zentrale Anlaufstelle, um Unterstützung bei Problemen zu erhalten, die sich auf Ihre AWS-Ressourcen auswirken. Der Zugriff auf den Support wird über AWS Identity and Access Management gesteuert. Weitere Informationen zum Zugriff auf Support-Funktionen finden Sie unter [Erste Schritte mit Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support). 
+  **AWS Kundenvorfallreaktionsteam (CIRT)** 
  +  Das AWS-Kundenvorfallreaktionsteam (CIRT) ist ein spezialisiertes globales, rund um die Uhr verfügbares AWS-Team, das Kunden bei aktiven Sicherheitsereignissen auf Kundenseite des [AWS-Modells der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) unterstützt. 
  +  Wenn das AWS-CIRT Sie unterstützt, bietet es Hilfe bei der Fehlererkennung und Wiederherstellung eines aktiven Sicherheitsereignisses in AWS an. Sie können mithilfe von AWS-Service-Protokollen bei der Ursachenanalyse helfen und Ihnen Empfehlungen für die Wiederherstellung geben. Sie können Ihnen auch Sicherheitsempfehlungen und bewährte Methoden an die Hand geben, mit denen Sie Sicherheitsereignisse in Zukunft vermeiden können. 
  +  AWS-Kunden können das AWS-CIRT über einen [Support-Fall](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html) einbinden. 
+ [https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/)
  +  AWS Security Incident Response wurde auf der re:Invent 2024 angekündigt, ein verwalteter Service zur Reaktion auf Sicherheitsvorfälle, der sowohl moderne Triage-Technologie als auch HITL nutzt. Der Service nimmt alle Ergebnisse von GuardDuty und alle Ergebnisse Dritter auf, die an AWS Security Hub CSPM zur Triage gesendet wurden, um den Kunden nur über Ergebnisse zu informieren, die einer Untersuchung bedürfen. Der Service bietet auch ein Portal, über das reaktive Fälle eingereicht werden können, falls der Kunde ein Sicherheitsereignis bemerkt, und Unterstützung durch das Advanced Incident Response Team von AWS angefordert werden kann. 
+  **Unterstützung für DDoS-Reaktion** 
  +  AWS bietet [AWS Shield](https://aws.amazon.com/shield/), das einen verwalteten Distributed Denial of Service (DDoS)-Schutz-Service bereitstellt, der in AWS ausgeführte Web-Anwendungen schützt. Shield bietet eine ständig aktive Erkennung und automatische Inline-Schutzmaßnahmen, mit denen Ausfallzeiten und Latenz von Anwendungen minimiert werden können. Sie müssen also nicht Support kontaktieren, um vom DDoS-Schutz zu profitieren. Shield umfasst zwei Stufen: AWS Shield Standard und AWS Shield Advanced. Weitere Informationen zu den Unterschieden zwischen diesen beiden Stufen finden Sie in der [Shield-Funktionsdokumentation](https://aws.amazon.com/shield/features/). 
+  **AWS Managed Services (AMS)** 
  +  [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) stellt eine fortlaufende Verwaltung Ihrer AWS-Infrastruktur bereit, damit Sie sich auf Ihre Anwendungen konzentrieren können. AMS trägt durch eine Implementierung bewährter Methoden zur Verwaltung Ihrer Infrastruktur dazu bei, den Betriebsaufwand zu reduzieren und das Risiko zu senken. Außerdem automatisiert AMS häufige Aktivitäten wie Änderungsanforderungen, Überwachung, Patch-Verwaltung, Sicherheit sowie Backup-Services und bietet während der gesamten Lebensdauer Services zum Bereitstellen, Ausführen und Unterstützen Ihrer Infrastruktur. 
  +  AMS übernimmt die Verantwortung für die Bereitstellung einer Reihe von Sicherheitskontrollen und bietet rund um die Uhr Erstreaktion auf Warnungen an. Wenn eine Warnung ausgelöst wird, folgt AMS einer Reihe automatisierter und manueller Standard-Playbooks, um eine konsistente Reaktion zu gewährleisten. Diese Playbooks werden den AMS-Kunden während des Onboardings zur Verfügung gestellt, damit sie eine Reaktion entwickeln und mit AMS abstimmen können. 

 **Erstellen des Vorfallreaktionsplans** 

 Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. Er sollte immer formell schriftlich festgehalten werden. Ein Vorfallreaktionsplan enthält in der Regel folgende Abschnitte: 
+  **Überblick über das Vorfallreaktionsteam:** Enthält die Ziele und Funktionen des Vorfallreaktionsteams. 
+  **Rollen und Zuständigkeiten:** Hier werden die für die Vorfallreaktion zuständigen Stakeholder aufgeführt und ihre Rollen im Falle eines Vorfalls beschrieben. 
+  **Kommunikationsplan:** Enthält Kontaktinformationen und gibt an, wie Sie während eines Vorfalls kommunizieren. 
+  **Alternative Kommunikationsmethoden:** Es hat sich bewährt, Out-of-Band-Kommunikation als Alternative für die Kommunikation bei Vorfällen zu verwenden. Ein Beispiel für eine Anwendung, die einen sicheren Out-of-Band-Kommunikationskanal bereitstellt, ist AWS Wickr. 
+  **Phasen der Vorfallreaktion und zu ergreifende Maßnahmen:** Hier sind die Phasen der Vorfallreaktion aufgeführt (beispielsweise Erkennung, Analyse, Beseitigung, Eindämmung und Wiederherstellung) – einschließlich der in diesen Phasen zu ergreifenden allgemeinen Maßnahmen. 
+  **Definitionen des Schweregrads und der Priorisierung des Vorfalls:** Hier wird erläutert, wie der Schweregrad eines Vorfalls klassifiziert wird, wie der Vorfall priorisiert wird und wie sich die Schweregraddefinitionen dann auf die Eskalationsverfahren auswirken. 

 Diese Abschnitte sind zwar in Unternehmen verschiedener Größen und Branchen üblich, der Vorfallreaktionsplan ist jedoch für jede Organisation individuell. Erstellen Sie einen Vorfallreaktionsplan, der für Ihre Organisation am besten geeignet ist. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC04 Erkennung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 

 **Zugehörige Dokumente:** 
+  [Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ NIST: Computer Security Incident Handling Guide ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

# SEC10-BP03 Vorbereiten forensischer Funktionen
<a name="sec_incident_response_prepare_forensic"></a>

Bevor es zu einem Sicherheitsvorfall kommt, empfiehlt es sich gegebenenfalls, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

 Konzepte aus der traditionellen On-Premises-Forensik gelten auch für AWS. Wichtige Informationen für den Einstieg in den Aufbau forensischer Funktionen in der AWS Cloud finden Sie in den [Strategien für forensische Untersuchungsumgebungen in der AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/). 

 Nachdem Sie Ihre Umgebung und AWS-Konto-Struktur für die Forensik eingerichtet haben, können Sie die Technologien definieren, die für eine effektive Anwendung forensisch fundierter Methoden in den vier Phasen erforderlich sind: 
+  **Sammlung:** Erfassen Sie relevante AWS-Protokolle wie AWS CloudTrail, AWS Config, VPC Flow Logs und Protokolle auf Host-Ebene. Erfassen Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS-Ressourcen, sofern verfügbar. 
+  **Prüfung:** Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten. 
+  **Analyse:** Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und Schlüsse daraus zu ziehen. 
+  **Berichterstellung:** Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben. 

## Implementierungsschritte
<a name="implementation-steps"></a>

 **Vorbereiten Ihrer forensischen Umgebung** 

 [AWS Organizations](https://aws.amazon.com/organizations/) hilft Ihnen bei der zentralen Verwaltung und Steuerung einer AWS-Umgebung, während Sie AWS-Ressourcen erweitern und skalieren. Eine AWS-Organisation konsolidiert Ihre AWS-Konten, sodass Sie sie als eine einzige Einheit verwalten können. Mithilfe von Organisationseinheiten können Sie Konten gruppieren und als eine Einheit verwalten. 

 Für die Reaktion auf Vorfälle ist es hilfreich, über eine AWS-Konto-Struktur zu verfügen, die die Funktionen der Vorfallreaktion unterstützt. Dazu gehören eine *sicherheitsbezogene Organisationseinheit* und eine *forensische Organisationseinheit*. Innerhalb der sicherheitsbezogenen Organisationseinheit sollten Sie über Konten für Folgendes verfügen: 
+  **Protokollarchivierung:** Aggregieren Sie Protokolle in einem für die Protokollarchivierung vorgesehenen AWS-Konto mit eingeschränkten Berechtigungen. 
+  **Sicherheits-Tools:** Zentralisieren Sie Sicherheits-Services in einem AWS-Konto für Sicherheitstools. Dieses Konto fungiert als delegierter Administrator für Sicherheits-Services. 

 Innerhalb der forensischen Organisationseinheit haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, eines oder mehrere forensische Konten zu implementieren, je nachdem, was für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie ein forensisches Konto pro Region erstellen, können Sie die Erstellung von AWS-Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in den Regionen „USA Ost (Nord-Virginia)“ (`us-east-1`) und „USA West (Oregon)“ (`us-west-2`) aktiv sind, würde die forensische Organisationseinheit zwei Konten umfassen: eins für `us-east-1` und eins für `us-west-2`. 

 Sie können ein forensisches AWS-Konto für mehrere Regionen erstellen. Achten Sie darauf, dass Sie Ihre Anforderungen an die Datensouveränität einhalten, wenn Sie AWS-Ressourcen in dieses Konto kopieren. Da die Bereitstellung neuer Konten etwas dauert, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams vorbereitet sind und sie effektiv nutzen können. 

 Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer forensischen Organisationseinheit mit regionsspezifischen forensischen Konten: 

![\[Flussdiagramm, das eine regionsspezifische Kontostruktur für die Reaktion auf Vorfälle zeigt und sich in eine Organisationseinheit für Sicherheit und Forensik aufteilt.\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/security-pillar/images/region-account-structure.png)


 **Erfassen von Backups und Snapshots** 

 Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme wieder in einen vorherigen sicheren Zustand versetzen. In AWS können Sie Snapshots von verschiedenen Ressourcen erstellen. Snapshots bieten Ihnen zeitpunktbezogene Backups dieser Ressourcen. Es gibt viele AWS-Services, die Sie beim Backup und der Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter [Präskriptive Leitlinien für Backup und Wiederherstellung](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) sowie unter [Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/). 

 Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zum Schutz Ihrer Backups finden Sie in den [10 besten Sicherheitsmethoden zum Schutz von Backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/). Zusätzlich zum Schutz Ihrer Backups sollten Sie Ihre Backup- und Wiederherstellungsprozesse regelmäßig testen, um sicherzustellen, dass die vorhandenen Technologien und Prozesse wie erwartet funktionieren. 

 **Automatisieren der Forensik** 

 Während eines Sicherheitsereignisses muss Ihr Vorfallreaktionsteam in der Lage sein, schnell Nachweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum rund um das Ereignis aufrechtzuerhalten (beispielsweise durch Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder durch Erfassen von Speicherabbildern einer Amazon-EC2-Instance). Für das Vorfallreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Nachweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Daher sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren. 

 AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die weiter unten im Abschnitt „Ressourcen“ aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die von entwickelt und von Kunden implementiert wurden. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS: Entwickeln forensischer Funktionen ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ [Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS: Forensische Ressourcen ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [Strategien für forensische Untersuchungsumgebungen in der AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+  [Automatisieren der forensischen Datenträgererfassung in AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 
+ [Präskriptive AWS-Anleitung: Automatisieren der Vorfallreaktion und Forensik ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)

 **Zugehörige Videos:** 
+ [ Automatisieren der Vorfallreaktion und Forensik ](https://www.youtube.com/watch?v=f_EcwmmXkXk)

 **Zugehörige Beispiele:** 
+ [ Framework für die automatisierte Reaktion auf Vorfälle und für die Forensik](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Automatisierter forensischer Orchestrator für Amazon EC2 ](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)

# SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle
<a name="sec_incident_response_playbooks"></a>

 Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallreaktion enthalten präskriptive Anleitungen und Schritte, die Sie ausführen sollten, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Playbooks sollten für Vorfallszenarien wie die folgenden erstellt werden: 
+  **Erwartete Vorfälle:** Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen. 
+  **Bekannte Sicherheitserkenntnisse oder Warnungen:** Sie sollten Playbooks für bekannte Sicherheitserkenntnisse und Warnungen erstellen, z. B. aus Amazon GuardDuty. Wenn Sie eine GuardDuty-Erkenntnis erhalten, sollte das Playbook klare Schritte beschreiben, um zu verhindern, dass die Warnung falsch behandelt oder ignoriert wird. Weitere Informationen und Anleitungen zur Behebung finden Sie unter [Beheben von Sicherheitsproblemen, die von GuardDuty entdeckt wurden](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html). 

 Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren. 

 Das Customer Incident Response Team (CIRT) von AWS hat ein [GitHub-Repository mit Playbooks zur Reaktion auf Vorfälle](https://github.com/aws-samples/aws-customer-playbook-framework/tree/main/docs) veröffentlicht, die nach Bedrohungsszenario, Typ und Ressource geordnet sind. Diese Playbooks können an Ihre bestehenden Verfahren zur Reaktion auf Vorfälle angepasst werden oder als Grundlage für die Entwicklung neuer Verfahren dienen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören: 
+  **Playbook-Übersicht:** Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks? 
+  **Voraussetzungen:** Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung? 
+  **Kommunikations- und Eskalationsinformationen:** Wer ist beteiligt und wie lauten die Kontaktinformationen? Welche Aufgaben haben die einzelnen Stakeholder? 
+  **Reaktionsschritte:** Welche taktischen Maßnahmen sollten in den einzelnen Phasen der Vorfallreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen? 
  +  **Erkennen:** Wie wird der Vorfall erkannt? 
  +  **Analysieren:** Wie wird der Umfang der Auswirkungen bestimmt? 
  +  **Eindämmen:** Wie wird der Vorfall isoliert, um den Umfang zu begrenzen? 
  +  **Beseitigen:** Wie wird die Bedrohung aus der Umgebung entfernt? 
  +  **Wiederherstellen:** Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt? 
+  **Erwartete Ergebnisse:** Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden? 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden für Well-Architected:** 
+  [SEC10-BP02 Entwickeln von Vorfallmanagementplänen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html) 

 **Zugehörige Dokumente:** 
+  [Framework für Playbooks für die Vorfallreaktion](https://github.com/aws-samples/aws-customer-playbook-framework)  
+  [Entwickeln eigener Playbooks für die Vorfallreaktion](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)  
+  [Exemplarische Playbooks für die Vorfallreaktion](https://github.com/aws-samples/aws-incident-response-playbooks)  
+  [Entwicklung eines Runbooks für die Vorfallreaktion in AWS mit Jupyter Playbooks und CloudTrail Lake](https://catalog.workshops.aws/incident-response-jupyter/en-US)  

 

# SEC10-BP05 Vorab bereitgestellter Zugriff
<a name="sec_incident_response_pre_provision_access"></a>

Stellen Sie sicher, dass Notfallteams über den richtigen vorab bereitgestellten Zugriff in AWS verfügen, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

 **Typische Anti-Muster:** 
+  Verwendung des Root-Kontos für die Reaktion auf Vorfälle 
+  Veränderung bestehender Benutzerkonten 
+  Direkte Anpassung von IAM-Berechtigungen bei Just-In-Time-Berechtigungserhöhungen 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

AWS empfiehlt, nach Möglichkeit die Abhängigkeit von langlebigen Anmeldeinformationen zu reduzieren oder ganz zu beseitigen und stattdessen *Just-In-Time*-Berechtigungseskalationsmechanismen zu verwenden. Langlebige Anmeldeinformationen sind ein potenzielles Sicherheitsrisiko und erhöhen den Verwaltungsaufwand. Für die meisten Verwaltungsaufgaben und für die Reaktion auf Vorfälle empfehlen wir die Implementierung eines [Identitätsverbunds](https://aws.amazon.com/identity/federation/) zusammen mit einer [temporären Eskalierung für Administratorzugriff](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). In diesem Modell beantragt ein Benutzer eine höhere Berechtigungsstufe (etwa für eine Vorfallreaktionsrolle). Anschließend wird, sofern der Benutzer grundsätzlich dafür infrage kommt, eine entsprechende Anforderung an einen Genehmiger gesendet. Wenn die Anforderung genehmigt wurde, erhält der Benutzer temporäre [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) für die Durchführung seiner Aufgaben. Nach Ablauf dieser Anmeldeinformationen muss der Benutzer eine neue Erhöhungsanforderung übermitteln.

 Wir empfehlen für die meisten Vorfallreaktionsszenarien die Verwendung temporärer Berechtigungseskalierungen. Die korrekte Vorgehensweise ist die Verwendung von [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) und [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) zur Festlegung der Zugriffsbereiche. 

 Es gibt Szenarien, in denen Verbundidentitäten nicht verfügbar sind. Hier ein paar Beispiele: 
+  Ausfall im Zusammenhang mit einem kompromittierten Identitätsanbieter (IdP) 
+  Durch fehlerhafte Konfiguration oder menschlichen Fehler beeinträchtigtes Managementsystem für den Verbundzugriff 
+  Böswillige Aktivität wie etwa ein DDoS-Angriff (Distributed Denial of Service) oder anderweitig verursachte Nichtverfügbarkeit des Systems 

 Für diese Fälle sollte Notfallzugriff (*Break-Glass-Zugriff*) konfiguriert werden, um eine Untersuchung und schnelle Behandlung des Vorfalls zu ermöglichen. Wir empfehlen die Verwendung [eines Benutzers, einer Gruppe oder einer Rolle mit ausreichenden Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) für die Durchführung von Aufgaben und den Zugriff auf AWS-Ressourcen. Verwenden Sie den Root-Benutzer nur für [Aufgaben, die Root-Benutzeranmeldeinformationen erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Um zu prüfen, ob die Notfallteams über die korrekte Zugriffsstufe für AWS und andere relevante Systeme verfügen, empfehlen wir die Bereitstellung dedizierter Konten. Die Konten benötigen privilegierten Zugriff und müssen streng kontrolliert und überwacht werden. Die Konten müssen mit den geringstmöglichen Berechtigungen versehen sein, die für die erforderlichen Aufgaben benötigt werden, und die Zugriffsstufe muss auf den Playbooks basieren, die im Rahmen des Vorfallmanagementplans erstellt werden. 

 Verwenden Sie als bewährte Methode zweckgerichtet erstellte und dedizierte Benutzer und Rollen. Die vorübergehende Eskalierung des Zugriffs eines Benutzers oder einer Rolle über IAM-Richtlinien macht unklar, welchen Zugriff Benutzer während eines Vorfalls hatten, und birgt die Gefahr, dass die eskalierten Berechtigungen später nicht widerrufen werden. 

 Es ist wichtig, möglichst viele Abhängigkeiten zu entfernen, um sicherzustellen, dass in einem möglichst großen Spektrum von Ausfallszenarien zugegriffen werden kann. Erstellen Sie deshalb ein Playbook, um sicherzustellen, dass Vorfallreaktionsbenutzer als Benutzer in einem dedizierten Sicherheitskonto erstellt und nicht durch einen vorhandenen Verbund oder eine Single Sign-On (SSO)-Lösung verwaltet werden. Alle einzelnen Mitglieder von Notfallteams müssen über ein eigenes benanntes Konto verfügen. Die Kontokonfiguration muss eine [Richtlinie für sichere Passwörter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) sowie die Multi-Faktor-Authentifizierung (MFA) erzwingen. Wenn die Playbooks zur Vorfallreaktion nur Zugriff auf die AWS-Managementkonsole benötigen, sollten für den Benutzer keine Zugriffsschlüssel konfiguriert werden und er sollte explizit auch keine Zugriffsschlüssel erstellen dürfen. Dies kann mit AWS-Richtlinien oder Service-Kontrollrichtlinien (SCPs) konfiguriert werden, wie in den bewährten -Sicherheitsmethoden für [AWS Organizations SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) erläutert. Mit Ausnahme der Möglichkeit zur Übernahme von Vorfallreaktionsrollen in anderen Konten sollten die Benutzer über keinerlei Berechtigungen verfügen. 

 Während eines Vorfalls kann es erforderlich sein, anderen internen oder externen Personen Zugriff zu gewähren, um Untersuchungs-, Korrektur- oder Wiederherstellungsaktivitäten zu unterstützen. Verwenden Sie in diesem Fall den vorher erwähnten Playbook-Mechanismus. Darüber hinaus muss ein Prozess vorhanden sein, um sicherzustellen, dass jeglicher zusätzliche Zugriff sofort nach Abschluss des Vorfalls widerrufen wird. 

 Um sicherzustellen, dass die Verwendung von Vorfallreaktionsrollen ordnungsgemäß überwacht und geprüft werden kann, ist es wichtig, dass die für diesen Zweck erstellten IAM-Konten nicht von mehreren Personen verwendet werden und dass der Root-Benutzer des AWS-Kontos nur verwendet wird, wenn dies [für eine bestimmte Aufgabe erforderlich](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) ist. Wenn der Root-Benutzer erforderlich ist (zum Beispiel, wenn kein IAM-Zugriff auf ein bestimmtes Konto verfügbar ist), verwenden Sie einen separaten Prozess mit einem verfügbaren Playbook, um die Verfügbarkeit der Anmeldeinformationen und des MFA-Tokens des Root-Benutzers zu prüfen. 

 Erwägen Sie zur Konfiguration der IAM-Richtlinien für die Vorfallreaktionsrollen die Verwendung von [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html), um Richtlinien auf der Grundlage von AWS CloudTrail-Protokollen zu erstellen. Gewähren Sie dazu der Vorfallreaktionsrolle in einem Nicht-Produktionskonto Administratorzugriff und durchlaufen Sie Ihre Playbooks. Anschließend kann eine Richtlinie erstellt werden, die nur die ausgeführten Aktionen zulässt. Diese Richtlinie kann dann auf alle Vorfallreaktionsrollen über alle Konten hinweg angewendet werden. Möglicherweise möchten Sie eine separate IAM-Richtlinie für jedes Playbook erstellen, um Management und Auditing zu vereinfachen. Beispiel-Playbooks können Reaktionspläne für Ransomware-Angriffe, Datenschutzverletzungen, Verlust von produktionsrelevantem Zugriff oder andere Szenarien enthalten. 

 Verwenden Sie die Vorfallreaktionskonten, um dedizierte [IAM-Rollen in anderen AWS-Konten-Konten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) für die Vorfallreaktion anzunehmen. Diese Rollen müssen so konfiguriert sein, dass sie nur von Benutzern im Sicherheitskonto angenommen werden können, und das Vertrauensverhältnis muss erfordern, dass der aufrufende Prinzipal per MFA authentifiziert wurde. Die Rollen müssen eng gefasste IAM-Richtlinien verwenden, um den Zugriff zu steuern. Stellen Sie sicher, dass alle `AssumeRole`-Anforderungen für diese Rollen in CloudTrail protokolliert und gemeldet werden und dass alle mit diesen Rollen durchgeführten Aktivitäten protokolliert werden. 

 Es wird nachdrücklich empfohlen, die IAM–Konten und die IAM-Rollen deutlich zu benennen, damit sie in CloudTrail-Protokollen leicht zu finden sind. Geben Sie also beispielsweise den IAM-Konten den Namen `<USER_ID>-BREAK-GLASS` und den IAM-Rollen den Namen `BREAK-GLASS-ROLE`. 

 [CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) wird verwendet, um API-Aktivitäten in Ihren AWS-Konten zu protokollieren, und sollte zum [Konfigurieren von Warnungen zur Nutzung der Vorfallreaktionsrollen](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/) eingesetzt werden. Weitere Informationen finden Sie im Blog-Beitrag zur Konfiguration von Warnungen bei Verwendung von Root-Schlüsseln. Die Anweisungen können geändert werden, um den [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)-Metrikfilter so zu konfigurieren, dass nach `AssumeRole`-Ereignissen gefiltert wird, die mit der IAM-Rolle für die Vorfallreaktion zusammenhängen: 

```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "<INCIDENT_RESPONSE_ROLE_ARN>" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```

 Da die Vorfallreaktionsrollen sehr wahrscheinlich eine hohe Zugriffsstufe haben, ist es wichtig, dass diese Warnungen an eine weit gefasste Gruppe gesendet werden und dass umgehend auf sie reagiert wird. 

 Während eines Vorfalls kann es vorkommen, dass ein Mitglied eines Notfallteams Zugriff auf Systeme benötigt, die nicht direkt durch IAM geschützt sind. Dazu können Amazon-Elastic-Compute-Cloud-Instances, Amazon-Relational-Database-Service-Datenbanken oder Software as a Service (SaaS)-Plattformen gehören. Es wird nachdrücklich empfohlen, anstelle nativer Protokolle wie SSH oder RDP [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) für alle administrativen Zugriffe auf Amazon-EC2-Instances zu verwenden. Dieser Zugriff kann mit IAM (sicher und geprüft) gesteuert werden. Gegebenenfalls ist es auch möglich, Teile Ihrer Playbooks mithilfe von [Run-Command-Dokumenten von AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) zu automatisieren, um Benutzerfehler zu reduzieren und die Wiederherstellung zu beschleunigen. Für den Zugriff auf Datenbanken und Tools von Drittanbietern empfehlen wir die Speicherung von Anmeldeinformationen in AWS Secrets Manager und die Gewährung des Zugriffs für die Vorfallreaktionsrollen. 

 Außerdem sollte die Verwaltung der IAM-Konten für die Vorfallreaktion Ihren [Joiners-, Movers- und Leavers-Prozessen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) hinzugefügt sowie regelmäßig geprüft und getestet werden, um sicherzustellen, dass nur die beabsichtigten Zugriffsrechte gewährt werden. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwaltung des vorübergehend erhöhten Zugriffs auf Ihre AWS-Umgebung](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 
+  [Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+  [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 
+  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 
+  [Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 
+  [Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 
+ [ Konfigurieren des kontoübergreifenden Zugriffs mit MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Verwenden von IAM Access Analyzer zum Erstellen von IAM-Richtlinien ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Bewährte Methoden für AWS Organizations-Service-Kontrollrichtlinien in einer Mehrkontenumgebung ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ Empfang von Benachrichtigungen, wenn die Root-Zugriffsschlüssel Ihres AWS-Kontos verwendet werden ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Erstellen detaillierter Sitzungsberechtigungen mithilfe von IAM-verwalteten Richtlinien ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
+  [„Break Glass“-Zugriff](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) 

 **Zugehörige Videos:** 
+ [ Automatisieren der Vorfallreaktion und Forensik in AWS](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+  [DIY-Leitfaden für Runbooks, Vorfallberichte und Vorfallreaktion](https://youtu.be/E1NaYN_fJUo) 
+ [ Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

# SEC10-BP06 Vorabbereitstellen von Tools
<a name="sec_incident_response_pre_deploy_tools"></a>

Stellen Sie sicher, dass Sicherheitspersonal über die richtigen Tools verfügt, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Zur Automatisierung von Sicherheitsreaktionen und Betriebsfunktionen können Sie eine umfassende Palette von APIs und Tools von AWS verwenden. Sie können die Identitätsverwaltung, die Netzwerksicherheit, den Datenschutz und Überwachungsfunktionen vollständig automatisieren und mithilfe gängiger Softwareentwicklungsmethoden bereitstellen, die Sie bereits eingerichtet haben. Durch die Sicherheitsautomatisierung kann Ihr System Überwachungs- und Überprüfungsaufgaben übernehmen und eine Reaktion initiieren (im Gegensatz zur manuellen Überwachung der Sicherheitslage und manuellen Reaktion auf Ereignisse). 

 Wenn Ihre Vorfallreaktionsteams weiterhin auf die gleiche Weise auf Warnungen reagieren, werden Warnungen möglicherweise nicht mehr ernst genommen. Im Laufe der Zeit kann das Team für Warnungen desensibilisiert werden und entweder Fehler bei der Verarbeitung normaler Situationen machen oder außergewöhnliche Warnungen übersehen. Automatisierung hilft, eine Abstumpfung gegenüber Warnungen zu vermeiden, indem Funktionen verwendet werden, die repetitive und gewöhnliche Warnungen verarbeiten, sodass Mitarbeiter die nötigen freien Kapazitäten haben, um sich um sensible und besondere Vorfälle zu kümmern. Die Integration von Systemen zur Erkennung von Anomalien wie Amazon GuardDuty, AWS CloudTrail Insights und Amazon CloudWatch Anomaly Detection kann den durch allgemeine schwellenwertbasierte Warnungen verursachten Aufwand reduzieren. 

 Sie können manuelle Prozesse verbessern, indem Sie die Schritte im Prozess programmatisch automatisieren. Nachdem Sie das Korrekturmuster für ein Ereignis definiert haben, können Sie dieses Muster in umsetzbare Logik zerlegen und den Code schreiben, um diese Logik auszuführen. Notfallteams können anschließend diesen Code ausführen, um das Problem zu beheben. Mit der Zeit können Sie immer mehr Schritte automatisieren und schließlich häufige Vorfälle automatisch behandeln. 

 Bei einer Sicherheitsuntersuchung müssen Sie relevante Protokolle heranziehen können, um alle Aspekte und den Zeitrahmen des Vorfalls zu verstehen. Protokolle werden auch für die Generierung von Warnungen benötigt, die auf bestimmte Ereignisse aufmerksam machen. Es ist sehr wichtig, Abfrage- und Abrufmechanismen auszuwählen, zu aktivieren, zu speichern und einzurichten sowie die Alarmierung einzurichten. Darüber hinaus stellt [Amazon Detective](https://aws.amazon.com/detective/) eine effektive Möglichkeit zur Bereitstellung von Tools zum Durchsuchen von Protokolldaten dar. 

 AWS bietet über 200 Cloud-Services und Tausende von Funktionen. Wir empfehlen Ihnen, die Services zu überprüfen, die Ihre Strategie zur Vorfallreaktion unterstützen und vereinfachen können. 

 Zusätzlich zur Protokollierung sollten Sie eine [Markierungsstrategie](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) entwickeln und implementieren. Die Markierung kann dabei helfen, einen Kontext im Zusammenhang mit dem Zweck einer AWS-Ressource bereitzustellen. Die Markierung kann auch für die Automatisierung verwendet werden. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 **Auswählen und Einrichten von Protokollen für die Analyse und Alarmierung** 

 In der folgenden Dokumentation finden Sie Informationen zur Konfiguration der Protokollierung für die Vorfallreaktion: 
+ [ Protokollierungsstrategien für die Reaktion auf Sicherheitsvorfälle ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+  [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md) 

 **Aktivieren von Sicherheits-Services zur Unterstützung von Erkennung und Reaktion** 

 AWS bietet native Erkennungs-, Präventions- und Reaktionsfunktionen und andere Services, die für den Aufbau benutzerdefinierter Sicherheitslösungen verwendet werden können. Eine Liste der wichtigsten Services für die Reaktion auf Sicherheitsvorfälle finden Sie unter [Definitionen der Cloud-Funktionen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html) und auf der [Homepage für Reaktionen auf Sicherheitsvorfälle](https://aws.amazon.com/security-incident-response/). 

 **Entwickeln und Implementieren einer Markierungsstrategie** 

 Es kann schwierig sein, kontextbezogene Informationen zum geschäftlichen Anwendungsfall und zu relevanten internen Stakeholdern rund um eine AWS-Ressource zu erhalten. Eine Möglichkeit sind Tags, die Ihren AWS-Ressourcen Metadaten zuweisen und aus einem benutzerdefinierten Schlüssel und Wert bestehen. Sie können Tags erstellen, um Ressourcen nach Zweck, Besitzer, Umgebung, Art der verarbeiteten Daten und anderen Kriterien Ihrer Wahl zu kategorisieren. 

 Eine konsistente Markierungsstrategie kann Reaktionen beschleunigen und den Zeitaufwand für den organisatorischen Kontext minimieren, da Sie Kontextinformationen zu einer AWS-Ressource schnell identifizieren und erkennen können. Tags können auch als Mechanismus zur Initiierung von Reaktionsautomatisierungen dienen. Weitere Informationen über zu markierende Elemente finden Sie unter [Markieren Ihrer AWS-Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Sie sollten zunächst die Tags definieren, die Sie in Ihrer Organisation implementieren möchten. Anschließend können Sie diese Markierungsstrategie implementieren und erzwingen. Weitere Einzelheiten zur Implementierung und Erzwingung finden Sie unter [Implementieren einer Markierungsstrategie für AWS-Ressourcen mithilfe von AWS-Markierungsrichtlinien und Service-Kontrollrichtlinien (SCPs)](https://aws.amazon.com/blogs/mt/implement-aws-resource-tagging-strategy-using-aws-tag-policies-and-service-control-policies-scps/). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden für Well-Architected:** 
+  [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md) 
+  [SEC04-BP02 Erfassen von Protokollen, Erkenntnissen und Metriken an standardisierten Orten](sec_detect_investigate_events_logs.md) 

 **Zugehörige Dokumente:** 
+ [ Protokollierungsstrategien für die Reaktion auf Sicherheitsvorfälle ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [ Definitionen der Cloud-Funktionen für die Vorfallreaktion ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html)

 **Zugehörige Beispiele:** 
+ [ Bedrohungserkennung und -reaktion mit Amazon GuardDuty und Amazon Detective ](https://catalog.workshops.aws/guardduty/en-US)
+ [ Security-Hub-Workshop ](https://catalog.workshops.aws/security)
+ [ Management von Schwachstellen mit Amazon Inspector ](https://catalog.workshops.aws/inspector/en-US)

# SEC10-BP07 Durchführen von Simulationen
<a name="sec_incident_response_run_game_days"></a>

 Organisationen wachsen und entwickeln sich weiter. Gleiches gilt auch für die Bedrohungslandschaft. Daher ist es wichtig, Ihre Fähigkeiten zur Vorfallreaktion kontinuierlich zu überprüfen. Die Durchführung von Simulationen (auch bekannt als Gamedays) ist eine Methode, mit der diese Bewertung durchgeführt werden kann. Bei Simulationen werden reale Sicherheitsereignisse als Szenarien verwendet, die die Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) eines Bedrohungsakteurs nachahmen und es einer Organisation ermöglichen, ihre Fähigkeiten zur Vorfallreaktion einzusetzen und zu bewerten, indem sie auf diese simulierten Cyberereignisse so reagieren, wie sie es im Ernstfall tun würden.

 **Vorteile der Nutzung dieser bewährten Methode:** Simulationen haben eine Vielzahl von Vorteilen: 
+  Validierung der Cybersicherheit und Stärkung des Vertrauens Ihres Vorfallreaktionsteams 
+  Testen der Genauigkeit und Effizienz von Tools und Workflows 
+  Optimierung der Kommunikations- und Eskalationsmethoden Ihres Vorfallreaktionsplans 
+  Möglichkeit, auf weniger verbreitete Vektoren zu reagieren 

**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Es gibt drei Hauptarten von Simulationen: 
+  **Tabletop-Übungen:** Beim Tabletop-Ansatz für Simulationen handelt es sich um eine Diskussionsrunde, an der die verschiedenen, mit der Vorfallreaktion betrauten Stakeholder teilnehmen, um Rollen und Verantwortlichkeiten zu üben und etablierte Kommunikationstools und Playbooks zu verwenden. Die Übung kann in der Regel an einem ganzen Tag sowie an einem virtuellen und/oder physischen Ort durchgeführt werden. Da sie auf Diskussionen basiert, konzentriert sich die Tabletop-Übung auf Prozesse, Menschen und Zusammenarbeit. Technologie ist ein integraler Bestandteil der Diskussion, aber der tatsächliche Einsatz von Tools oder Skripten für die Vorfallreaktion ist in der Regel kein Teil der Tabletop-Übung. 
+  **Übungen des lila Teams:** Übungen des lila Teams verbessern die Zusammenarbeit zwischen dem Vorfallreaktionsteam (blaues Team) und den simulierten Bedrohungsakteuren (rotes Team). Das blaue Team besteht aus Mitgliedern des Security Operations Center (SOC), kann aber auch andere Stakeholder enthalten, die an einem tatsächlichen Cyberereignis beteiligt wären. Das rote Team besteht aus einem Penetrationstest-Team oder wichtigen Stakeholdern, die in offensiver Sicherheit geschult sind. Das rote Team arbeitet bei der Planung eines Szenarios mit den Übungsleitern zusammen, damit das Szenario korrekt und durchführbar ist. Bei Übungen des lila Teams liegt das Hauptaugenmerk auf den Erkennungsmechanismen, den Tools und den Standard-Betriebsabläufen (Standard Operating Procedures, SOPs), mit denen die Maßnahmen zur Vorfallreaktion unterstützt werden. 
+  **Übungen des roten Teams:** Bei einer Übung des roten Teams führt das Offensivteam (rotes Team) eine Simulation durch, um ein bestimmtes Ziel oder eine Reihe von Zielen aus einem vorher festgelegten Bereich zu erreichen. Die Verteidiger (blaues Team) kennen nicht unbedingt den Umfang und die Dauer der Übung, was eine realistischere Einschätzung darüber ermöglicht, wie sie auf einen tatsächlichen Vorfall reagieren würden. Da es sich bei den Übungen des roten Teams um invasive Tests handeln kann, sollten Sie vorsichtig sein und Kontrollen implementieren, um sicherzustellen, dass die Übung Ihrer Umgebung nicht tatsächlich schadet. 

 Erwägen Sie, in regelmäßigen Abständen Cybersimulationen durchzuführen. Jeder Übungstyp kann den Teilnehmern und der gesamten Organisation einzigartige Vorteile bieten. Sie können also etwa mit weniger komplexen Simulationstypen beginnen (beispielsweise mit Tabletop-Übungen) und dann zu komplexeren Simulationstypen übergehen (Übungen des roten Teams). Wählen Sie auf der Grundlage Ihres Sicherheitsreifegrads, Ihrer Ressourcen und der gewünschten Ergebnisse einen Simulationstyp aus. Einige Kunden entscheiden sich aufgrund der Komplexität und der Kosten möglicherweise gegen Übungen des roten Teams. 

## Implementierungsschritte
<a name="implementation-steps"></a>

 Unabhängig von der Art der gewählten Simulation folgen diese im Allgemeinen den folgenden Implementierungsschritten: 

1.  **Definieren Sie die wichtigsten Übungselemente:** Definieren Sie das Simulationsszenario und die Ziele der Simulation. Beide sollten von der Führungsebene akzeptiert werden. 

1.  **Identifizieren Sie die wichtigsten Stakeholder:** Für eine Übung sind mindestens Übungsleiter und Teilnehmer erforderlich. Je nach Szenario können gegebenenfalls weitere Stakeholder einbezogen werden – etwa aus der Rechts- oder Kommunikationsabteilung oder aus der Geschäftsleitung. 

1.  **Erstellen und testen Sie das Szenario:** Das Szenario muss möglicherweise während der Erstellung neu definiert werden, falls bestimmte Elemente nicht realisierbar sind. Als Ergebnis dieser Phase wird ein fertiges Szenario erwartet. 

1.  **Führen Sie die Simulation durch:** Die Art der Simulation bestimmt die Durchführung (ein Szenario auf Papier im Vergleich zu einem hochtechnischen, simulierten Szenario). Die Übungsleiter sollten ihre Taktiken an den Übungsobjekten ausrichten und alle Übungsteilnehmer nach Möglichkeit einbeziehen, um den größtmöglichen Nutzen zu erzielen. 

1.  **Arbeiten Sie den After-Action Report (AAR, Abschlussbericht) aus:** Identifizieren Sie Bereiche mit guten Ergebnissen sowie verbesserungswürdige Bereiche und potenzielle Lücken. Der AAR sollte die Effektivität der Simulation sowie die Reaktion des Teams auf das simulierte Ereignis messen, damit der Fortschritt im Laufe der Zeit mit zukünftigen Simulationen verfolgt werden kann. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Zugehörige Videos:** 
+ [AWS GameDay – Sicherheitsausgabe](https://www.youtube.com/watch?v=XnfDWID_OQs)
+  [Ausführen effektiver Simulationen von Reaktionen auf Sicherheitsvorfälle](https://www.youtube.com/watch?v=63EdzHT25_A) 

# Operationen
<a name="operations"></a>

 Der Betrieb ist der Kern der Reaktion auf Vorfälle. Hier finden die Maßnahmen zur Reaktion und Behebung von Sicherheitsvorfällen statt. Der Betrieb umfasst die folgenden fünf Phasen: *Erkennung*, *Analyse*, *Eindämmung*, *Beseitigung* und *Wiederherstellung*. Beschreibungen dieser Phasen und der jeweiligen Ziele finden Sie in der folgenden Tabelle. 


|  **Phase**  |  **Ziel**  | 
| --- | --- | 
|  Erkennung  |  Identifizieren eines potenziellen Sicherheitsereignisses.  | 
|  Analyse  |  Feststellen, ob es sich bei einem Sicherheitsereignis um einen Vorfall handelt, und Bewerten des Umfangs des Vorfalls.  | 
|  Eindämmung  |  Minimieren und Beschränken des Umfangs des Sicherheitsereignisses.  | 
|  Beseitigung  |  Entfernen nicht autorisierter Ressourcen oder Artefakte im Zusammenhang mit dem Sicherheitsereignis. Implementieren von Abhilfemaßnahmen zur Behebung der Ursache des Sicherheitsvorfalls.  | 
|  Wiederherstellung  |  Wiederherstellen der Systeme in einem bekannten sicheren Zustand und Überwachen dieser Systeme, um sicherzustellen, dass die Bedrohung nicht erneut auftritt.  | 

 Die Phasen sollen als Leitfaden für die Reaktion auf Sicherheitsvorfälle und deren Behandlung dienen, damit Sie effektiv und nachhaltig reagieren können. Die tatsächlichen Maßnahmen, die Sie ergreifen, sind abhängig vom jeweiligen Vorfall. Bei einem Vorfall mit Ransomware müssen beispielsweise andere Schritte ausgeführt werden als bei einem Vorfall, an dem ein öffentlicher Amazon-S3-Bucket beteiligt ist. Darüber hinaus folgen diese Phasen nicht unbedingt aufeinander. Nach der Eindämmung und Beseitigung müssen Sie möglicherweise zur Analyse zurückkehren, um zu ermitteln, ob Ihre Maßnahmen wirksam waren. 

 Eine gründliche Vorbereitung Ihrer Mitarbeiter, Prozesse und Technologien ist der Schlüssel zu einem effektiven Betrieb. Folgen Sie daher den bewährten Methoden aus dem Abschnitt [Vorbereitung](preparation.md), um effektiv auf ein aktives Sicherheitsereignis reagieren zu können. 

 Weitere Informationen finden Sie im Abschnitt [Betrieb](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/operations.html) des AWS-Leitfadens zur Reaktion auf Sicherheitsvorfälle. 

# Aktivität nach Vorfällen
<a name="post-incident-activity"></a>

 Die Bedrohungslage ändert sich ständig, und es ist wichtig, dass Ihre Organisation ebenso dynamisch in der Lage ist, Ihre Umgebungen wirksam zu schützen. Der Schlüssel zur kontinuierlichen Verbesserung liegt darin, die Ergebnisse Ihrer Vorfälle und Simulationen ständig zu analysieren, um Ihre Fähigkeiten zu verbessern, mögliche Sicherheitsvorfälle effektiv zu erkennen, darauf zu reagieren und zu untersuchen. So können Sie potenzielle Schwachstellen reduzieren, die Reaktionszeit verkürzen und den sicheren Betrieb wieder aufnehmen. Mithilfe der folgenden Mechanismen können Sie überprüfen, ob Ihre Organisation über die neuesten Funktionen und Kenntnisse verfügt, um unabhängig von der Situation effektiv reagieren zu können. 

**Topics**
+ [

# SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen
](sec_incident_response_establish_incident_framework.md)

# SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen
<a name="sec_incident_response_establish_incident_framework"></a>

 Die Implementierung eines *Erkenntnis*-Frameworks und einer Ursachenanalyse kann nicht nur zur Verbesserung der Reaktion auf Vorfälle, sondern auch zur Verhinderung einer Wiederholung des Vorfalls beitragen. Durch das Lernen aus Vorfällen können Sie verhindern, dass sich die gleichen Fehler, Risiken oder Fehlkonfigurationen wiederholen. Dies verbessert nicht nur Ihre Sicherheitslage, sondern minimiert auch den Zeitverlust durch vermeidbare Situationen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Es ist wichtig, ein *Erkenntnis*-Framework zu implementieren, das ganz allgemein Folgendes ermittelt und erreicht: 
+  Wann kommt es zu Erkenntnissen? 
+  Was beinhaltet der Erkenntnisprozess? 
+  Wie werden Erkenntnisse gewonnen? 
+  Wer ist auf welche Weise an dem Prozess beteiligt? 
+  Wie werden verbesserungswürdige Bereiche identifiziert? 
+  Wie stellen Sie sicher, dass Verbesserungen effektiv verfolgt und implementiert werden? 

 Das Framework sollte sich nicht auf Einzelpersonen konzentrieren oder ihnen die Schuld geben, sondern stattdessen den Fokus auf die Verbesserung der Tools und Prozesse legen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Abgesehen von den zuvor aufgeführten Ergebnissen auf hoher Ebene ist es wichtig, sicherzustellen, dass Sie die richtigen Fragen stellen, um den größtmöglichen Nutzen (Informationen, die zu umsetzbaren Verbesserungen führen) aus dem Prozess zu ziehen. Berücksichtigen Sie die folgenden Fragen, um Ihre Diskussionen über Erkenntnisse zu fördern: 
+  Was ist vorgefallen? 
+  Wann wurde der Vorfall zum ersten Mal identifiziert? 
+  Wie wurde er identifiziert? 
+  Von welchen Systemen wurde eine Warnung im Zusammenhang mit der Aktivität ausgegeben? 
+  Welche Systeme, Services und Daten waren beteiligt? 
+  Was ist konkret passiert? 
+  Was hat gut funktioniert? 
+  Was hat nicht gut funktioniert? 
+  Welcher Prozess oder welche Verfahren haben versagt oder konnten nicht skaliert werden, um auf den Vorfall zu reagieren? 
+  Was kann in den folgenden Bereichen verbessert werden: 
  +  **Personen** 
    +  Waren die Mitarbeiter, die kontaktiert werden mussten, tatsächlich verfügbar und war die Kontaktliste auf dem neuesten Stand? 
    +  Fehlten den Mitarbeitern Schulungen oder Fähigkeiten, die erforderlich waren, um effektiv auf den Vorfall reagieren und ihn untersuchen zu können? 
    +  Waren die erforderlichen Ressourcen bereit und verfügbar? 
  +  **Prozess** 
    +  Wurden Prozesse und Verfahren eingehalten? 
    +  Waren Prozesse und Verfahren für diesen Vorfall bzw. für diese Art von Vorfall dokumentiert und verfügbar? 
    +  Fehlten erforderliche Prozesse und Verfahren? 
    +  Konnten die Notfallteams rechtzeitig auf die erforderlichen Informationen zugreifen, um auf das Problem zu reagieren? 
  +  **Technologie** 
    +  Haben die bestehenden Warnsysteme die Aktivität effektiv identifiziert und gemeldet? 
    +  Wie hätten wir die Zeit bis zur Erkennung um 50 % reduzieren können? 
    +  Müssen bestehende Warnungen verbessert oder neue Warnungen für diesen Vorfall bzw. für diese Art von Vorfall erstellt werden? 
    +  War mit den vorhandenen Tools eine effektive Untersuchung (Suche/Analyse) des Vorfalls möglich? 
    +  Was kann getan werden, um diesen Vorfall bzw. diese Art von Vorfall früher zu erkennen? 
    +  Was kann getan werden, um zu verhindern, dass sich dieser Vorfall bzw. diese Art von Vorfall wiederholt? 
    +  Wer ist für den Verbesserungsplan zuständig und wie testen Sie, ob er implementiert wurde? 
    +  Wie sieht der Zeitplan für die Implementierung und das Testen zusätzlicher Überwachungen oder präventiver Kontrollen und Prozesse aus? 

 Diese Liste ist nicht vollständig. Sie soll jedoch als Ausgangspunkt dienen, um zu ermitteln, was die Organisations- und Geschäftsanforderungen sind und wie Sie diese analysieren können, um am effektivsten aus Vorfällen zu lernen und Ihre Sicherheitslage kontinuierlich zu verbessern. Am wichtigsten ist, damit zu beginnen und Erkenntnisse standardmäßig in Ihren Prozess zur Vorfallreaktion, in die Dokumentation und in die Erwartungen der Stakeholder zu integrieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS-Leitfaden für die Reaktion auf Sicherheitsvorfälle – Entwickeln eines Frameworks, um aus Vorfällen zu lernen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html) 
+  [NCSC-CAF-Leitfaden – Erkenntnisse](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)