Detaillierte Informationen zum Seminar
Inhalte:
Motivation und Grundlagen
- Beispiele von Sicherheitsvorfällen und Angriffsvektoren
- Typische Herausforderungen
- Grundbegriffe bei der Security Incident Response
- Übliche Betriebsformen
Anforderungen, Checklisten, Standards und rechtliche bzw. regulatorische Grundlagen
- ISMS-Standards (ISO 27001, ISO 27002, ISO 27035)
- BSI-Grundschutz (Grundschutzkompendium, Behandlung von Sicherheitsvorfällen, IT-Forensik)
- Sonstige Normen und Standards (NIST Cybersecurity Framework, GTAG, VdS, MaRisk, TiSaX)
- Cyber Resilience Act (CRA), EU-Richtlinie NIS-2, Sicherheitsgesetze, KRITIS
- Möglichkeiten der Personenzertifizierung (ISO 27035 Lead Incident Manager)
Management von Sicherheitsvorfällen aus Sicht des ISOs/CISOs/IT-Managers
- Sinnvolle Pläne, Taktiken und Richtlinien
- Schnellstart am Beginn einer ISO- bzw. CISO-Tätigkeit
- Ausarbeitung eines Security-Incident-Response-Prozesses
- Vorbereitung und Unterstützung durch die Geschäftsführung
- Führungsaufgaben, Teambildung und Aufbau eines SOC bzw. CSIRT sowie Definition von Rollenmodellen (Tier 1-3, Threat Hunter, Incident Commander)
- Koordinationsaufgaben rund um den Kompetenzaufbau
- Finanzierung und Bereitstellung der Ressourcen, insbesondere Budgetierung und Wirtschaftlichkeitsbetrachtung von SOC-, SIEM-, Defence- und Threat-Intelligence-Lösungen
- Rechtliche Betrachtung von Sicherheitsvorfällen
- Umgang mit Anzeigen und Ermittlungsbehörden
- Ergänzung des Berichtswesens um geeignete Kennzahlen
- Prüfungsaspekte, Kontrollmöglichkeiten und Auditierung
Bearbeitung von Sicherheitsvorfällen aus Sicht des IT-Betriebs und der Technik
- Kompetenzen und Fähigkeiten
- Planung und proaktive Maßnahmen
- Durchführung der Incident Response und reaktives Arbeiten
- Soziales Verhalten und Zusammenarbeit
- Übungen und Tests
- Nachschau und Verbesserungen nach einem Sicherheitsvorfall
- Operative Berichterstellung zum Sicherheitsvorfall
Mitwirken bei einem Sicherheitsvorfall von Externen und weiteren Fachbereichen
- Übersicht über übliche Dienstleistungen von Externen
- Vorbereitungsarbeiten für den Ernstfall
- Einbindung der eigenen Fachbereiche (außerhalb der IT und der Informationssicherheit)
- Zusammenarbeit und typische Konflikte
- Übungen und Tests
- Vertragsgestaltungen mit Externen
Exkurs
- Aufbau und Betrieb eines internen oder Managed SOC inklusive der Architektur und dem Einsatz moderner SIEM-/XDR-Plattformen sowie der Integration von OSINT- und Threat-Intelligence-Feeds / Detection Engineering
- Cloud-Überwachung und Security Incident Response in der Cloud
- Forensisches Basiswissen und Erste Hilfe (forensische Duplikation, digitale Spuren, Tools)
Ziele/Bildungsabschluss:
Die Anzahl der Cyberangriffe auf Unternehmen wächst in den letzten Jahren stetig an. Sie treten in den vielfältigsten Varianten in der Praxis auf. In jedem Fall müssen die betroffenen Unternehmen fähig sein, sich von diesen Angriffen wieder zu befreien und eine wirksame Defense-Strategie aufzubauen. Nicht zuletzt durch die NIS-2-Richtlinie gewinnt Incident Management/ Vorfallmanagement an Bedeutung.
Zuständig sind Security Incident Manager und Managerinnen, auch genannt Incident Response Manager und Managerinnen, Vorfallmanager und -managerinnen oder auch Threat Hunter. Diese erhalten in unserem dreitägigen Seminar und Workshop zum Security Incident Manager (TÜV) Grundlagen an die Hand, um Schäden durch Cyberangriffe abzuwenden und eine strukturierte Abwehr für den Cyber-Notfall bzw. eine Krise sicherzustellen. Inhalt ist auch der Aufbau und die Steuerung von Security Operations Centern (SOC), Incident-Response-Teams (CSIRT), SIEM-gestützte Angriffserkennung, eine OSINT-basierte Bedrohungsanalyse und operative Defense-Strukturen.
Im betrieblichen Alltag gibt es neben Ransomware-Attacken, der Übernahme von Verzeichnisdiensten wie das Active Directory / Entra ID oder Datendiebstahl von ganzen (Kronjuwelen-)Datenbanken vielfältige leichte und schwere Angriffe, die unterschiedliche Motive im Blick haben:
- Betrug,
- Einblick in Betriebsgeheimnisse,
- Veränderung von Daten,
- Störung der Verfügbarkeit oder
- Fremdnutzen der unternehmerischen Plattformen für andere Zwecke.
Der ISO-Standard 27001 und deren nachgeordnete Normen sowie der BSI IT-Grundschutz (z. B. Bausteinklasse DER) geben hier einen ersten guten Leitfaden für etwaige Vorbereitungsarbeiten, die die Unternehmensführung und damit beauftragte Informationssicherheitsbeauftragte leisten sollen. Die Anzahl der sechs Controls in der ISO 27001 zeigt die Wichtigkeit des Themas rund um den Security-Incident-Response-Prozess.
Im Seminar lernen Sie die überarbeiteten Normen ISO 27035-1 bis 27035-4 kennen und arbeiten diese gespickt mit vielfältigen Übungen gemeinsam durch. Sie lernen, wie Sie als Security Incident Manager Teams (SOC, CSIRT, SIEM) OSINT-basierte Bedrohungsanalysen und operative Defense-Strukturen aufbauen sollten, klare Abläufe definieren und die Hilfe externer Dienstleister im Ernstfall koordinieren. Ziel ist es, durch ein geübtes Incident Response Management schnell wieder in den Normalbetrieb zurückzukehren, Ereignisse forensisch zu sichern und eine nachhaltige Defense aufzubauen.
Ergänzend lernen Sie die Berührungspunkte zwischen der Business Continuity Norm ISO 22301 und dem Security-Incident-Response-Prozess der ISO 27035 und 27001 kennen. Der hohe Praxisbezug sowie der aktive Austausch mit anderen Teilnehmerinnen und Teilnehmern geben Ihnen die Möglichkeit, Ihre eigenen Pläne zur Abwehr zu ergänzen bzw. zu vervollständigen.
Sie können diese Schulung zum Security Incident Manager (TÜV) mit dem begehrten TÜV-Zertifikat abschließen.
Lehrgangsverlauf/Methoden:
Präsenzseminar
Zielgruppe:
Information Security Officer (ISO), Chief Information Security Officer (CISO), IT-Sicherheitsbeauftragte, IT-Sicherheitsleiter, IT-Sicherheitsmitarbeitende, Incident Response Manager, CSIRT-Mitarbeitende (Computer Security Incident Response Team), SOC-Mitarbeitende (Security Operation Center), SOC-Leiter und SOC-Analysten, Threat-Intelligence-Analysten, Blue-Team-Mitglieder, Detection Engineers, Forensiker/CERT-Mitarbeitende (Computer Emergency Response Team), Sicherheits-Administratoren, Führungskräfte für IT-Sicherheit/ Informationssicherheit, IT-Manager, IT-Leiter, Administratoren, Geschäftsführerinnen und Geschäftsführer
Seminarkennung:
EX/A35/10201291/07042026-1
