Incident Response

Der englische Begriff lässt sich mit „Reaktion auf einen Vorfall“ übersetzen. In der IT-Sicherheit betrifft dies die Reaktion auf einen Cybervorfall. Diese Reaktion kann vom unternehmenseigenen Incident Response Team (Ihr Administrator bzw. Ihre IT-Abteilung) vorgenommen werden oder durch externe Dienstleister. Wichtig ist, dass die Reaktion so schnell wie möglich erfolgt.

Was bedeutet das im Detail?

Generell umfasst eine Incident Response drei Aufgabenschwerpunkte:

Analyse
Das Incident Response Team hilft bei der Beurteilung des Vorfalls und entscheidet gemeinsam mit den Ansprechpartnern, welche Maßnahmen zielführend sind. Die Analyse beinhaltet u. a.:

• Rekonstruktion der Ereignisse
• Bewertung des Schadensausmaßes
• Ableitung konkreter Handlungsempfehlungenu

Datenwiederherstellung
Das Incident Response Team hilft, den Betrieb schnellstmöglich wieder aufzunehmen. Es versucht, die betroffenen Geräte/Dienste und darauf befindliche Daten zu retten. Je nach Vorfall ist die vollständige Rettung oder Wiederherstellung jedoch nicht immer möglich. Anhand der vorangegangenen Analyse werden zudem Maßnahmen ergriffen, um eine Re-Infektionen zu verhindern. Zu den Aufgaben bei der Datenwiederherstellung gehören z. B.:

• Auffinden von versteckten Kopien der Daten
• Fachgemäßes Aufspielen von Sicherheitskopien
• Gerichtsfeste Beweissicherung
• Maßnahmen gegen weitere Cybervorfälle

Dokumentation und Nachsorge
In einem Abschlussbericht fasst das Incident Response Team die wichtigsten Erkenntnisse zusammen, unter anderem eine Chronik der Ereignisse und mögliche Ursachen. Weiterhin enthält dieser Bericht Handlungsempfehlungen für einen effektiveren Schutz des Unternehmens. Auf Basis dieses Abschlussberichts können die Verantwortlichen ihren Meldepflichten und Versicherungsanforderungen nachkommen.

Wo begegnet mir das Thema im Arbeitsalltag?

Sollte es in Ihrem Unternehmen zu einem Cybervorfall kommen, erfolgt eine Incident Response – denn reagiert werden muss in jedem Fall. Allgemein gilt, je schneller und besser die Reaktion, desto schneller kann das Unternehmen den normalen Betrieb wieder aufnehmen, desto besser kann der Schaden begrenzt werden und desto besser kann das Unternehmen gegen zukünftige Vorfälle abgesichert werden. Zudem gilt: je besser ein Unternehmen auf einen Vorfall vorbereitet ist, desto erfolgreicher kann die Incident Response sein. Zu solchen Vorbereitungen gehören u. a. möglichst aktuelle, schnell auffindbare Backups.

Was kann ich tun, um meine Sicherheit zu verbessern?

Gehen Sie die aktuellen Maßnahmen der Incident Response Ihres Unternehmens mit den dafür Verantwortlichen durch. Definieren Sie gemeinsam, welche Faktoren für den Betrieb Ihres Unternehmens entscheidend sind, wie Sie diese optimal schützen und im Ernstfall möglichst schnell wieder herstellen können.Auch Perseus bietet eine telefonische 24/7-Notfallbetreuung für Cybervorfälle (Incident Response) an.