Während des Tests finden Sie Indikatoren, dass ein ECHTER Angreifer bereits in der Umgebung des Kunden ist. Was nun?
Kurzantwort
Eine aktive Intrusion zu entdecken ist ein Out-of-Band-Notfall: Die Rules of Engagement sollten einen Eskalationsweg definieren — lösen Sie ihn sofort aus, sichern Sie Beweise und vermeiden Sie es, einen laufenden Vorfall zu kontaminieren. Weiterzutesten kann den echten Angreifer stören oder genau die Beweise zerstören, die die Responder brauchen. Den Angreifer selbst zu entfernen liegt außerhalb des Scopes, ist riskant und kann ihn warnen. Bis zum Abschlussbericht zu warten könnte Tage anhaltender Datenpanne und Datenverlust bedeuten.
Ein Penetrationstest ist eine geplante Übung; eine aktive, reale Intrusion ist es nicht. In dem Moment, in dem Sie echte Kompromittierungsindikatoren finden, die nicht Ihre sind, wechselt die Lage vom Testen zur Incident Response, und Ihre Verantwortlichkeiten verschieben sich entsprechend.
Warum Stoppen, Sichern und Eskalieren richtig ist
Ein guter Auftragsvertrag antizipiert genau dieses Szenario: Die Rules of Engagement benennen einen Notfallkontakt und einen Out-of-Band-Eskalationsweg. Lösen Sie ihn sofort aus. Stoppen Sie Aktivitäten, die Logs überschreiben oder die betroffenen Systeme verändern könnten, sichern Sie das Gefundene (Notizen, Zeitstempel, Indikatoren) und übergeben Sie an den Kunden, damit er eine formelle Incident Response auslöst. Geschwindigkeit zählt: Jede Stunde, die ein echter Angreifer in der Umgebung bleibt, kann mehr gestohlene Daten oder mehr kompromittierte Systeme bedeuten. Ihre Aufgabe ist es, sauber Alarm zu schlagen, nicht zu ermitteln oder zu kämpfen.
Warum die anderen Optionen falsch sind
- Weitertesten. Fortzufahren riskiert, mit der Aktivität des Angreifers zu kollidieren, Beweise zu kontaminieren und es den Respondern unmöglich zu machen, Ihre Aktionen von seinen zu trennen. „Nicht meine Aufgabe" ignoriert die Sorgfaltspflicht gegenüber einem Kunden, dessen Daten aktiv gefährdet sind.
- Den Angreifer selbst entfernen. Das liegt außerhalb Ihres Scopes, ist ungeschultes Terrain und gefährlich: Sie könnten den Angreifer warnen (der dann Daten zerstört oder seinen Zugang verbrennt), forensische Beweise verfälschen oder Systeme lahmlegen. Die Vertreibung ist eine koordinierte IR-Operation, kein Alleingang.
- Auf den Abschlussbericht warten. Eine aktive Datenpanne tagelang zurückzuhalten ist unhaltbar. Es garantiert anhaltenden Schaden und setzt Sie wie den Kunden schweren rechtlichen und reputativen Folgen aus.
Worauf ein Interviewer achtet
Er will sehen, dass Sie einen Moduswechsel erkennen — von der Offensive zur Notfallmeldung — und wissen, dass die RoE den Eskalationsmechanismus bereits enthalten sollten. Das Signal ist eine ruhige, schnelle, beweisbewusste Eskalation, kein Heldentum.
Wahrscheinliche Anschlussfragen
- Welcher vordefinierte Kontakt und Prozess in den RoE deckt einen unerwarteten echten Vorfall ab?
- Wie vermeiden Sie eine Kontamination der Beweise, sobald Sie eine laufende Intrusion vermuten?
- Wie unterscheiden Sie Ihre eigene Testaktivität von der des echten Angreifers in den Logs?