Incident Response
Containment – Technische Eindämmung bei Sicherheitsvorfällen
Containment ist die kritischste Phase jeder Incident Response. Ziel ist es, eine laufende Kompromittierung schnell zu stoppen, weitere Ausbreitung zu verhindern und Ihre Systeme zu stabilisieren — ohne dabei forensische Spuren zu zerstören.
🛑 Angriff stoppen
Laterale Bewegung unterbrechen
Beweise sichern
Forensische Artefakte erhalten
Stabilisieren
Kontrollierte Betriebssicherheit herstellen
Warum Containment entscheidend ist
In realen Vorfällen sehen wir:
- laterale Bewegung im Netzwerk
- aktive kompromittierte Accounts
- Persistenzmechanismen
- unbemerkten Datenabfluss
Jede Stunde Verzögerung erhöht:
- den Schaden
- den regulatorischen Druck
- die Wiederherstellungskosten
Containment verkürzt dieses Zeitfenster.
Ziele des Containments
🎯 Primär
- Angreiferbewegung stoppen
- Command-&-Control unterbrechen
- kompromittierte Assets isolieren
Sekundär
- Beweise erhalten
- Übersicht gewinnen
- Betriebsfähigkeit sichern
⛔ Nicht Teil
- Neuaufsetzen
- Bereinigungen
- Härtung
Typischer technischer Umfang
Netzwerk & Infrastruktur
- Segmentierung / Isolation betroffener Hosts
- Blockieren bekannter IOC-IPs & Domains
- Einschränkung Ost-West-Traffic
- Deaktivieren kompromittierter VPN-Zugänge
Identity & Access
- Sperren kompromittierter Accounts
- Token-Invalidierung
- Notfall-MFA Aktivierung
- Analyse privilegierter Zugriffswege
Endpoints & Server
- EDR Containment (Defender / CrowdStrike / SentinelOne)
- Live Response Sessions
- Sicherung flüchtiger Artefakte
- Identifikation aktiver Prozesse
Cloud / M365 / Entra ID
- Review verdächtiger Sign-ins
- Conditional Access Härtung
- Service Principals prüfen
- API Token Rotationen
Wann ist Containment erforderlich?
Typische Auslöser
- Malware / Ransomware
- Admin-Anomalien
- Cloud Account Takeover
- Datenabfluss
- SIEM / MDR Eskalation
Reale Situationen
- unklare Ursache
- Teil-Sichtbarkeit
- operativer Druck
- Management-Eskalationen
Unser Containment-Prozess
1) Triage
Lage erfassen
2) Isolation
Ausbreitung stoppen
3) Sicherung
Beweise erhalten
4) Stabilisierung
Betrieb absichern
Häufige Fehler
- sofortiger Neuaufbau
- unkontrollierte Passwort-Resets
- Power-Off statt Isolation
- keine klare Verantwortung
- fehlende Beweissicherung
Was Sie vorbereiten sollten
- Alerts / Screenshots
- betroffene Systeme
- kurze Timeline
- bereits getroffene Maßnahmen
- Entscheidungsbefugte Person
Ergebnisse (Deliverables)
Management-Kurzlage
kompromittierte Assets
Angriffshypothese
nächste Schritte
DSGVO / NIS2 Kontext
Technische Grundlage für:
- Datenabflussbewertung
- Meldeentscheidungen
- Nachweis der Sorgfaltspflicht
FAQ
Passwörter sofort zurücksetzen?
Ja — aber koordiniert.
Systeme ausschalten?
Nein. Isolieren.
Startzeit?
1–2 Werktage, bei akuten Vorfällen schneller.