ISX IT-Security Conference

Michael Brügge ist Leitender Berater und Red Team Lead bei cirosec. Seit 2021 verantwortet er ein zehnköpfiges Team, führt jährlich mehrere Red Team Assessments durch und verbindet Projektleitung mit operativer Praxis. Seine Schwerpunkte sind dabei Social Engineering sowie das Umgehen physischer Sicherheitsmaßnahmen. Er berät Unternehmen beim Aufbau von Security Operation Centern, ist als Trainer der Schulung »Hacking Extrem Web Applikationen« aktiv und verantwortet den Incident-Response- und Forensik-Bereich bei cirosec.Zuvor spezialisierte er sich im Masterstudiengang »IT Sicherheit – Netze und Systeme« an der Ruhr Universität Bochum; für seine Thesis kam er im Juni 2014 zu cirosec und stieg anschließend als Berater ein.

Seinen Bachelor in Angewandter Informatik (FH Münster) ergänzte ein Auslandssemester in den USA; in einer internationalen Hochschulkooperation untersuchte er das Auslesen von Smartcards mit NFC fähigen Android Geräten. Parallel leitete er zeitweise ein Development Team in einem führenden IT Unternehmen. Den Grundstein legten eine Ausbildung zum IT Systemelektroniker bei der Deutschen Telekom AG und die Fachhochschulreife.

Michael Brügge hat die Zertifizierungen OSCP+ (Offensive Security Certified Professional Plus) und Social Engineer Certified Elicitation Expert.

Es ist Samstagmorgen um 03:00 Uhr. Sie wachen auf. Ihr Telefon klingelt sturm. »Das Unternehmen wurde verschlüsselt.«. Wie reagieren Sie?

Eine Table-Top Übung der darauffolgenden Reaktion auf einen Ransomwareangriff ist in der Praxis zumeist tagesfüllend. In diesem eng gepackten Entscheidungs-Workshop komprimieren wir den Inhalt auf 90 Minuten, erarbeiten die wichtigsten Maßnahmen und besprechen notwendige Schritte.

Auf Basis von Echt-Fällen aus den Incident-Response-Einsätzen des BSI-akkreditierten CSIRT Teams werden Best-Practice Vorgehensweisen am dargestellten Beispielunternehmen trainiert und besprochen.

Ablauf

Einleitung, Ransomware-Einordnung, Vorstellung des Unternehmensszenarios
Workshop, Phase 1
Alarmierung und Sofortmaßnahmen
Einspieler aus echtem Fall. Aktive Erarbeitung der ersten Entscheidungen
Besprechung und Einordnung
Abgleich der Ergebnisse, Einordnung empfohlener Vorgehensweisen
Informationsvortrag, Phase 2
Krisenaufbau und Lageklärung
Vortragsbasierte Darstellung und Einordnung
Workshop, Phase 3
Erstellung Notbetrieb
Aktive Erarbeitung der Notbetriebsentscheidungen
Besprechung und Einordnung
Abgleich der Ergebnisse, Einordnung empfohlener Vorgehensweisen
Informationsvortrag, Phase 4
Wiederaufbau und Folgeschritte
Vortrag und Diskussion

Der Fokus der Übungen liegt, der Kürze der Zeit geschuldet, auf den Phasen in denen die wichtigsten Maßnahmen eingeleitet und die meisten Fehler vermieden werden können. Die Entscheidungsfindung in Phase 1 (Alarmierung und Sofortmaßnahmen) und Phase 3 (Erstellung Notbetrieb) wird aktiv erarbeitet, Phase 2 (Krisenaufbau und Lageklärung) und Phase 4 (Wiederaufbau und Folgeschritte) werden auf Basis realer Incident-Response-Erfahrungen vortragsbasiert dargestellt und gemeinsam eingeordnet.

Am Ende des Workshops haben die Teilnehmenden ein klares Verständnis dafür

welche Entscheidungen in den ersten Stunden getroffen werden müssen,
wie unterschiedliche Business-Anforderungen zu unterschiedlichen Vorgehensweisen führen,
ein grundlegendes Verständnis für die Vorfallsbearbeitung,
und wie häufige Stolpersteine vermieden werden können.

Der Workshop richtet sich an Personen, die im Ernstfall Verantwortung tragen oder Entscheidungen vorbereiten – unabhängig davon, ob sie aus IT, Management, Organisation oder Security kommen. Technisches Grundwissen ist hilfreich, aber nicht entscheidend.

Wer verstehen will, wie ein solcher Vorfall praktisch abgearbeitet wird und wo zusätzlich noch viel zu tun ist, ist hier richtig!

Michael Brügge

Falko Weiß

Entscheidungsworkshop: Incident Response Ransomware

Summary