Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Incident Response Plan: Wobei der IRP helfen kann

M.Sc. Jan Hörnemann

Die Cyberangriffe auf kleine und mittelständische Unternehmen steigen rasant an und längst ist jeder zum potenziellen Ziel und infolgedessen Opfer geworden. Der Incident Response Plan, kurz IRP genannt, ist ein Vorfallreaktionsplan, der genau das verhindern soll. Er schützt Sie davor zum Opfer zu werden, indem er bereits vorab Reaktionsmaßnahmen festlegt und Ihr Unternehmen somit auf den schlimmsten anzunehmenden Fall vorbereitet.

Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter

Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.

Kostenfrei. Jetzt anfordern

Doch ein Incident Response Plan kann kompliziert ausfallen und viel Vorarbeit verlangen. Was erst einmal einfach und verständlich klingt, birgt einige große Herausforderungen, die eine Umsetzung entsprechend komplex gestalten. Dies ist einer der Gründe dafür, warum wir uns unbedingt intensiver mit dem Incident Response Plan beschäftigten wollten.

Was ist ein Incident Response Plan?

Die Bezeichnung »Incident Response Plan« kann als »Plan zur Reaktion auf Zwischenfälle« übersetzt werden. Auch »Vorfallreaktionsplan« oder »Antwort auf einen Vorfall« ergibt in diesem Zusammenhang Sinn. Doch ganz gleich, wie wir ihn am Ende auch nennen, in Bezug auf die Informationssicherheit beschreibt er immer die Reaktion auf einen Informationssicherheitsvorfall.

Der Incident Response Plan ist ein Dokument, welches alle Schritte und Verantwortlichkeiten enthält, die als Reaktion auf einen Sicherheitsvorfall notwendig sind. Im Fall eines solchen muss nicht erst überlegt werden, der Plan zur sofortigen Reaktion steht anhand des IRPs schon längst bereit. Hier ist auch der große Mehrwert von dieser Art Planung zu finden.

Zu den Informationssicherheitsvorfällen zählen das Verlieren von Notebooks oder anderen Geräten, als auch ein Befall mit Ransomware, ein Hackerangriff, akuter Datenverlust oder schwere Ausfälle der Systeme. Was auch immer die Sicherheit im Unternehmen gefährdet, der Vorfallreaktionsplan hält eine entsprechende Reaktion darauf bereit. Der IRP legt also alle Prozesse und Maßnahmen fest, die nach solch einem Sicherheitsvorfall eingeleitet werden müssen.

Warum ist der Plan so wichtig?

In erster Linie muss kein Plan in einer Notfallsituation erstellt werden. Die Nerven liegen hier oft schon blank, Stress verbreitet sich und die Probleme werden peu à peu größer anstatt kleiner. Der Sicherheitsvorfall eignet sich also eher weniger dazu, um an einem ausgefeilten Plan gegen die Probleme zu arbeiten. Zumal in solch einem Fall schnell unklar ist, wer eigentlich wofür zuständig ist. Wer übernimmt also die Planung und wer die Umsetzung?

Mit dem Incident Response Plan werden die Rollen und Hierarchien von Personen schon vorab vergeben. Bei einem akuten Sicherheitsvorfall legt der IRP fest, welche Personen welche Rolle im Zuge der Bekämpfung innehaben. Das erleichtert die erste Reaktion enorm, weil der Plan dem Team das Durcheinander nimmt. Alles ist dann ganz einfach, weil jeder im Team weiß, was genau seine Aufgabe ist. Eine Studie von IBM zeigt, dass ein Incident Response Plan die Kosten von ungefähr 5 Millionen US-Dollar auf 3 Millionen US-Dollar senken kann.

Ebenfalls im Plan enthalten sind Priorisierungen der unterschiedlichen Maßnahmen und Probleme, sowie dafür notwendige Aktionen. Eskalationspfade sind klar beschrieben, ebenso wie etwaige Notfallmaßnahmen bereits im Vorfallreaktionsplan enthalten sind. Auch Kommunikationswege und Möglichkeiten zum Ausweichen sind hinterlegt. Alles also, um effektiv auf einen Sicherheitsvorfall reagieren zu können, ohne erst darüber nachzudenken, was nun als Erstes zu tun ist. Der Plan nimmt Ihnen all diese Arbeit ab.

Die 4 wichtigsten Schritte im Incident Response Prozess

Bei einem Incident Response Plan gibt es im Großen und Ganzen vier elementare Schritte, die für die Durchführung von Bedeutung sind. Auf diese möchten wir jetzt ein wenig genauer eingehen, um Ihnen das Gewicht dieser Schritte innerhalb des Incident Response Prozess noch einmal klar zu verdeutlichen.

  • Schritt 1: Vorbereitung Unternehmen bereiten sich entsprechend vor, indem Mitarbeiter Security Awareness Schulungen durchlaufen und strenge Richtlinien aufgestellt werden. Außerdem gilt es, mögliche Risiken bereits im Vorfeld bestmöglich zu identifizieren und zu beseitigen, wo immer möglich.
  • Schritt 2: Analyse Ist es zu einem Sicherheitsvorfall gekommen, gilt es diesen sofort zu identifizieren und umfangreich zu analysieren. Die Feststellung aller Parameter ist jetzt von entscheidender Bedeutung. Erst wenn klar ist, worum es geht, kann entsprechend reagiert werden.
  • Schritt 3: Eindämmung Als Nächstes gilt es den bekannten und analysierten Vorfall entsprechend einzudämmen und aufzuhalten. Obendrein sollte versucht werden, die möglichen Auswirkungen des Sicherheitsvorfalls so gut es geht zu begrenzen.
  • Schritt 4: Ausrottung Im letzten Schritt werden die Ursachen des Vorfalls aktiv bekämpft und beseitigt. Zusätzlich wird anschließend der Normalbetrieb wiederaufgenommen und alle Systeme werden wiederhergestellt, in den Zustand vor dem entsprechenden Vorfall.

Auch wenn es, je nach Incident Response Prozess durchaus unterschiedliche Aufteilungen oder auch eine unterschiedliche Anzahl an eingeleiteten Schritten gibt, so sind diese vier dennoch sicherlich als die wichtigsten zu nennen. In vier relativ einfachen Schritten lässt sich ein Incident Response Plan ideal im eigenen Unternehmen umsetzen.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Fazit

Im Incident Response Prozess sind meist vier Schritte besonders wichtig. Prinzipiell folgt der Incident Response Plan aber keiner strikten Vorgabe. Es wäre also problemlos möglich noch weitere Schritte zu integrieren oder Schritte hinzuzufügen, die auf das jeweilige Unternehmen zugeschnitten sind und somit einen ganz bestimmten Zweck erfüllen. Am Ende schafft also jedes Unternehmen seine eigenen Incident Response Prozesse.

Schlussendlich geht es auch bei dem Incident Response Plan darum, Cyberangriffe frühzeitig zu erkennen und abzuwehren. Da es im Ernstfall aber oft drunter und drüber geht, hilft es, wenn ein Reaktionsplan bereitsteht, der Aufgaben klar verteilt und Mitarbeiter entsprechend strukturiert reagieren lässt. Auf diese Weise ist das Problem schnell behoben und alles läuft schon bald wieder im Normalzustand.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen