Beratung

Incident Response Plan: Wobei der IRP helfen kann

Aktualisiert am

Die Cyberangriffe auf kleine und mittelständische Unternehmen steigen rasant an und längst ist jeder zum potenziellen Ziel und infolgedessen Opfer geworden. Der Incident Response Plan, kurz IRP genannt, ist ein Vorfallreaktionsplan, der genau das verhindern soll. Er schützt Sie davor zum Opfer zu werden, indem er bereits vorab Reaktionsmaßnahmen festlegt und Ihr Unternehmen somit auf den schlimmsten anzunehmenden Fall vorbereitet.

Doch ein Incident Response Plan kann kompliziert ausfallen und viel Vorarbeit verlangen. Was erst einmal einfach und verständlich klingt, birgt einige große Herausforderungen, die eine Umsetzung entsprechend komplex gestalten. Dies ist einer der Gründe dafür, warum wir uns unbedingt intensiver mit dem Incident Response Plan beschäftigten wollten.

Was ist ein Incident Response Plan?

Die Bezeichnung »Incident Response Plan« kann als »Plan zur Reaktion auf Zwischenfälle« übersetzt werden. Auch »Vorfallreaktionsplan« oder »Antwort auf einen Vorfall« ergibt in diesem Zusammenhang Sinn. Doch ganz gleich, wie wir ihn am Ende auch nennen, in Bezug auf die Informationssicherheit beschreibt er immer die Reaktion auf einen Informationssicherheitsvorfall.

Der Incident Response Plan ist ein Dokument, welches alle Schritte und Verantwortlichkeiten enthält, die als Reaktion auf einen Sicherheitsvorfall notwendig sind. Im Fall eines solchen muss nicht erst überlegt werden, der Plan zur sofortigen Reaktion steht anhand des IRPs schon längst bereit. Hier ist auch der große Mehrwert von dieser Art Planung zu finden.

Zu den Informationssicherheitsvorfällen zählen das Verlieren von Notebooks oder anderen Geräten, als auch ein Befall mit Ransomware, ein Hackerangriff, akuter Datenverlust oder schwere Ausfälle der Systeme. Was auch immer die Sicherheit im Unternehmen gefährdet, der Vorfallreaktionsplan hält eine entsprechende Reaktion darauf bereit. Der IRP legt also alle Prozesse und Maßnahmen fest, die nach solch einem Sicherheitsvorfall eingeleitet werden müssen.

Warum ist der Plan so wichtig?

In erster Linie muss kein Plan in einer Notfallsituation erstellt werden. Die Nerven liegen hier oft schon blank, Stress verbreitet sich und die Probleme werden peu à peu größer anstatt kleiner. Der Sicherheitsvorfall eignet sich also eher weniger dazu, um an einem ausgefeilten Plan gegen die Probleme zu arbeiten. Zumal in solch einem Fall schnell unklar ist, wer eigentlich wofür zuständig ist. Wer übernimmt also die Planung und wer die Umsetzung?

Mit dem Incident Response Plan werden die Rollen und Hierarchien von Personen schon vorab vergeben. Bei einem akuten Sicherheitsvorfall legt der IRP fest, welche Personen welche Rolle im Zuge der Bekämpfung innehaben. Das erleichtert die erste Reaktion enorm, weil der Plan dem Team das Durcheinander nimmt. Alles ist dann ganz einfach, weil jeder im Team weiß, was genau seine Aufgabe ist. Eine Studie von IBM zeigt, dass ein Incident Response Plan die Kosten von ungefähr 5 Millionen US-Dollar auf 3 Millionen US-Dollar senken kann.

Ebenfalls im Plan enthalten sind Priorisierungen der unterschiedlichen Maßnahmen und Probleme, sowie dafür notwendige Aktionen. Eskalationspfade sind klar beschrieben, ebenso wie etwaige Notfallmaßnahmen bereits im Vorfallreaktionsplan enthalten sind. Auch Kommunikationswege und Möglichkeiten zum Ausweichen sind hinterlegt. Alles also, um effektiv auf einen Sicherheitsvorfall reagieren zu können, ohne erst darüber nachzudenken, was nun als Erstes zu tun ist. Der Plan nimmt Ihnen all diese Arbeit ab.

Die 4 wichtigsten Schritte im Incident Response Prozess

Bei einem Incident Response Plan gibt es im Großen und Ganzen vier elementare Schritte, die für die Durchführung von Bedeutung sind. Auf diese möchten wir jetzt ein wenig genauer eingehen, um Ihnen das Gewicht dieser Schritte innerhalb des Incident Response Prozess noch einmal klar zu verdeutlichen.

  • Schritt 1: Vorbereitung Unternehmen bereiten sich entsprechend vor, indem Mitarbeiter Security Awareness Schulungen durchlaufen und strenge Richtlinien aufgestellt werden. Außerdem gilt es, mögliche Risiken bereits im Vorfeld bestmöglich zu identifizieren und zu beseitigen, wo immer möglich.
  • Schritt 2: Analyse Ist es zu einem Sicherheitsvorfall gekommen, gilt es diesen sofort zu identifizieren und umfangreich zu analysieren. Die Feststellung aller Parameter ist jetzt von entscheidender Bedeutung. Erst wenn klar ist, worum es geht, kann entsprechend reagiert werden.
  • Schritt 3: Eindämmung Als Nächstes gilt es den bekannten und analysierten Vorfall entsprechend einzudämmen und aufzuhalten. Obendrein sollte versucht werden, die möglichen Auswirkungen des Sicherheitsvorfalls so gut es geht zu begrenzen.
  • Schritt 4: Ausrottung Im letzten Schritt werden die Ursachen des Vorfalls aktiv bekämpft und beseitigt. Zusätzlich wird anschließend der Normalbetrieb wiederaufgenommen und alle Systeme werden wiederhergestellt, in den Zustand vor dem entsprechenden Vorfall.

Auch wenn es, je nach Incident Response Prozess durchaus unterschiedliche Aufteilungen oder auch eine unterschiedliche Anzahl an eingeleiteten Schritten gibt, so sind diese vier dennoch sicherlich als die wichtigsten zu nennen. In vier relativ einfachen Schritten lässt sich ein Incident Response Plan ideal im eigenen Unternehmen umsetzen.

Fazit

Im Incident Response Prozess sind meist vier Schritte besonders wichtig. Prinzipiell folgt der Incident Response Plan aber keiner strikten Vorgabe. Es wäre also problemlos möglich noch weitere Schritte zu integrieren oder Schritte hinzuzufügen, die auf das jeweilige Unternehmen zugeschnitten sind und somit einen ganz bestimmten Zweck erfüllen. Am Ende schafft also jedes Unternehmen seine eigenen Incident Response Prozesse.

Schlussendlich geht es auch bei dem Incident Response Plan darum, Cyberangriffe frühzeitig zu erkennen und abzuwehren. Da es im Ernstfall aber oft drunter und drüber geht, hilft es, wenn ein Reaktionsplan bereitsteht, der Aufgaben klar verteilt und Mitarbeiter entsprechend strukturiert reagieren lässt. Auf diese Weise ist das Problem schnell behoben und alles läuft schon bald wieder im Normalzustand.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.