Incident Response

Der englische Begriff lässt sich mit „Reaktion auf einen Vorfall“ übersetzen. In der IT-Sicherheit betrifft dies die Reaktion auf einen Cybervorfall. Diese Reaktion kann vom unternehmenseigenen Incident Response Team (Ihr Administrator bzw. Ihre IT-Abteilung) vorgenommen werden oder durch externe Dienstleister. Wichtig ist, dass die Reaktion so schnell wie möglich erfolgt.

Was bedeutet das im Detail?

Generell umfasst eine Incident Response drei Aufgabenschwerpunkte:

Analyse
Das Incident Response Team hilft bei der Beurteilung des Vorfalls und entscheidet gemeinsam mit den Ansprechpartnern, welche Maßnahmen zielführend sind. Die Analyse beinhaltet u. a.:

Rekonstruktion der Ereignisse
Bewertung des Schadensausmaßes
Ableitung konkreter Handlungsempfehlungenu

Datenwiederherstellung
Das Incident Response Team hilft, den Betrieb schnellstmöglich wieder aufzunehmen. Es versucht, die betroffenen Geräte/Dienste und darauf befindliche Daten zu retten. Je nach Vorfall ist die vollständige Rettung oder Wiederherstellung jedoch nicht immer möglich. Anhand der vorangegangenen Analyse werden zudem Maßnahmen ergriffen, um eine Re-Infektionen zu verhindern. Zu den Aufgaben bei der Datenwiederherstellung gehören z. B.:

Auffinden von versteckten Kopien der Daten
Fachgemäßes Aufspielen von Sicherheitskopien
Gerichtsfeste Beweissicherung
Maßnahmen gegen weitere Cybervorfälle

Dokumentation und Nachsorge
In einem Abschlussbericht fasst das Incident Response Team die wichtigsten Erkenntnisse zusammen, unter anderem eine Chronik der Ereignisse und mögliche Ursachen. Weiterhin enthält dieser Bericht Handlungsempfehlungen für einen effektiveren Schutz des Unternehmens. Auf Basis dieses Abschlussberichts können die Verantwortlichen ihren Meldepflichten und Versicherungsanforderungen nachkommen.

Wo begegnet mir das Thema im Arbeitsalltag?

Sollte es in Ihrem Unternehmen zu einem Cybervorfall kommen, erfolgt eine Incident Response – denn reagiert werden muss in jedem Fall. Allgemein gilt, je schneller und besser die Reaktion, desto schneller kann das Unternehmen den normalen Betrieb wieder aufnehmen, desto besser kann der Schaden begrenzt werden und desto besser kann das Unternehmen gegen zukünftige Vorfälle abgesichert werden. Zudem gilt: je besser ein Unternehmen auf einen Vorfall vorbereitet ist, desto erfolgreicher kann die Incident Response sein. Zu solchen Vorbereitungen gehören u. a. möglichst aktuelle, schnell auffindbare Backups.

Was kann ich tun, um meine Sicherheit zu verbessern?

Gehen Sie die aktuellen Maßnahmen der Incident Response Ihres Unternehmens mit den dafür Verantwortlichen durch. Definieren Sie gemeinsam, welche Faktoren für den Betrieb Ihres Unternehmens entscheidend sind, wie Sie diese optimal schützen und im Ernstfall möglichst schnell wieder herstellen können.Auch Perseus bietet eine telefonische 24/7-Notfallbetreuung für Cybervorfälle (Incident Response) an.

The term can be translated as ‘reaction to an incident’. In IT security, this refers to the response to a cyber incident. This response can be carried out by the company’s own incident response team (your administrator or IT department) or by external service providers. It is important that the response is made as quickly as possible.

What does this mean in detail?

In general, incident response comprises three main tasks:

Analysis

The incident response team helps to assess the incident and decides together with the contact persons which measures are appropriate. The analysis includes, among other things:

Reconstruction of events
Assessment of the extent of damage
Derivation of concrete recommendations for action

Data recovery

The incident response team helps to resume operations as quickly as possible. It attempts to rescue the affected devices/services and the data stored on them. However, depending on the incident, complete rescue or recovery is not always possible. Based on the previous analysis, measures are also taken to prevent re-infection. Data recovery tasks include, for example:

Locating hidden copies of the data
Professional installation of backup copies
Legally admissible preservation of evidence
Measures against further cyber incidents

Documentation and follow-up

In a final report, the Incident Response Team summarises the most important findings, including a chronology of events and possible causes. This report also contains recommendations for action to protect the company more effectively. Based on this final report, those responsible can fulfil their reporting obligations and insurance requirements.

Where do I encounter this topic in my everyday work?

If a cyber incident occurs in your company, an incident response is initiated – because a response is always necessary. In general, the faster and better the response, the faster the company can resume normal operations, the better the damage can be limited and the better the company can be protected against future incidents. In addition, the better a company is prepared for an incident, the more successful the incident response can be. Such preparations include, among other things, backups that are as up-to-date as possible and easy to locate.

What can I do to improve my security?

Review your company’s current incident response measures with those responsible. Work together to define which factors are critical to your business operations, how you can best protect them and how you can restore them as quickly as possible in an emergency. Perseus also offers 24/7 telephone emergency support for cyber incidents (incident response).