Beratung

Incident Response – Gute Planung ist wichtig!

Aktualisiert am

Jedes Unternehmen hat Respekt vor Cyber-Sicherheitsvorfällen. Wenn es zu einem Vorfall kommt, sollte ein entsprechender Vorfallreaktionsplan, auch genannt ein Incident Response Plan zur Verfügung stehen.

Klickt zum Beispiel ein Mitarbeiter auf einen Phishing Link, muss ein entsprechendes Team den Vorfall schnell und routiniert untersuchen, um gegebenenfalls zu reagieren. Verschiedene Quellen, wie das SANS Institute, haben für solch einen Plan sechs verschiedene Aspekte empfohlen.

1. Incident Response Vorbereitung

Wohl die wichtigste Phase ist die Vorbereitung. Sowohl normale Mitarbeiter als auch die Administratoren in der IT müssen die entsprechende Schulung haben, wie sie sich bei einem entsprechenden Vorfall zu verhalten haben. Dabei ist besonders auf die unterschiedlichen Angriffsarten einzugehen, beispielsweise Phishing oder ein DDoS Angriffe.

2. Identifikation

Eher für die IT-Abteilung ist der 2. Punkt bei einem Incident Response Plan. Hier soll der entsprechende Vorfall analysiert und identifiziert werden. Wichtig ist festzustellen, ob es sich überhaupt um einen sicherheitskritischen Vorfall handelt.

Beispielsweise könnte plötzlich im gesamten Unternehmen kein Internetzugang mehr vorhanden sein. Nun stellt sich die Frage, handelt es sich um einen DDoS-Angriff, bei dem versucht wird das gesamte Unternehmen durch etliche Anfragen lahmzulegen, oder könnte auch der Internetanbieter einen Netzwerkausfall durch einen Defekt verzeichnen.

3. Vorfall spezifizieren

Sollte es sich um einen sicherheitskritischen Vorfall handeln, muss genau spezifiziert werden welche Schäden entstanden sind und eine möglicherweise weitere Ausbreitung verhindert werden. Ist ein einzelner Computer möglicherweise durch einen Link in einer Phishing E-Mail infiziert, so sollte dieser umgehend vom internen Netz der Firma genommen werden.

4. Löschen und Sichern

Wurde festgestellt, dass ein entsprechendes System infiziert ist, sollte versucht werden die Malware oder die Ursache des Vorfalls zu Löschen. Anschließend kann so viel wie möglich aus dem infizierten System gesichert werden, bevor es zum nächsten Schritt weiter geht.

5. Wiederherstellen

Nachdem die Punkte 1 bis 4 abgearbeitet wurden, kann in einem Incident Response Plan die Wiederherstellung der entsprechenden Systeme vorgenommen werden. Es ist empfehlenswert hier je nach schwere des Vorfalls vorzugehen.

Ist zum Beispiel ein einzelner Computer durch eine Kryptolocker-Malware komplett verschlüsselt und es sind nur wenige Daten verloren gegangen, sollte ein entsprechendes Backup wiederhergestellt werden und auf gar keinen Fall auf Forderungen der Angreifer eingegangen werden.

6. Incident Respone Plan verbessern

Aus dem Vorfall zu lernen ist immer gut, eine entsprechende Dokumentation der Vorgehensweisen kann dazu dienen, bei einem zukünftigen Vorfall einen noch besseren Ablauf zu Entwickeln. Generell können Unternehmen durch gute Incident Response Pläne, die entsprechenden Vorgehensweisen stark verbessern und so mögliche Schäden minimieren oder sogar komplett zu verhindern.

Foto des Autors

Maik Hagelüken

Ich bin Maik Hagelüken und arbeite in der Informationssicherheitsberatung. Dank meiner umfassenden Erfahrung im Bereich TISAX und meiner Tätigkeit als Auditor verfüge ich über ein breites Spektrum an Fähigkeiten und Fachwissen. Zudem habe ich ein Bachelorstudium in IT-Sicherheit und Informationstechnik absolviert. Mein Ziel ist es, unsere Leser stets über die neuesten Entwicklungen und bewährten Praktiken in der Branche auf dem Laufenden zu halten. Besonders wichtig ist mir dabei der menschliche Faktor, da ein effektives ISMS ohne die aktive Einbeziehung der Mitarbeiterinnen und Mitarbeiter nicht funktionieren kann.