Incident Response Plan

Erstellen Sie jetzt einen Plan und sparen Sie Zeit, wenn es darauf ankommt.

Was ist ein Incident Response Plan?

Ein Incident Response Plan ist ein Maßnahmenplan für IT-Security-Vorfälle und beschreibt, welche Schritte von wem unternommen werden müssen, wenn eine Sicherheitsverletzung oder Sicherheitskrise in einem Unternehmen auftritt. Ein solider Maßnahmenplan soll es Teams ermöglichen, so schnell wie möglich in Aktion zu treten, Angriffe zeitnah abzuwehren und Schäden möglichst schnell zu beseitigen.

Warum ein Incident Response Plan?

Niemand genießt eine Krise, aber bei der Incident Response zahlt Vorbereitung sich aus. Wird ein Netzwerk infiltriert oder wurden Daten gehackt, so zählen Minuten. Wer in der Hitze des Gefechts erst Prozesse und mögliche Maßnahmen identifizieren muss, sorgt wahrscheinlich eher für Verwirrung und, schlimmer noch, führt zu Verzögerungen bei der Reaktion auf den Vorfall selbst. Die Folgen: Ausfälle, Umsatzeinbußen, erhöhte Wiederherstellungskosten, Imageverlust u.a.

Um dies zu verhindern und möglichst schnell und gezielt reagieren zu können, sollte Ihr Incident-Response-Team über einen sorgfältig ausgearbeiteten Maßnahmenplan verfügen, der regelmäßig für eine Vielzahl möglicher Szenarien erprobt wird und in den alle Stakeholder mit unterschiedlichen Rollen einbezogen werden. Schließlich müssen bei einem Sicherheitsvorfall nicht nur technische Teams handeln. Auch nicht-technische Ressourcen – wie beispielsweise die Rechts- und Kommunikationsabteilungen können involviert sein.

Der Schlüsselbegriff bei der Incident Response lautet „schnell“. Wenn Sie nicht über das interne Fachwissen oder die Ressourcen für eine schnelle Reaktion verfügen oder wenn Ihr Toolset Ihnen die Informationen nicht so schnell liefert, wie Sie diese benötigen, dann können Sie auch externe Incident-Response-Dienste in Erwägung ziehen, um diese Lücken zu schließen und Ihre Vorfall-Reaktion zu beschleunigen. Achten Sie dabei aber darauf, dass Sie dieses externe Team auch in alle Übungen einbeziehen!

Komponenten des Incident Response Plans

Das unabhängige SANS Institute definiert 6 Schritte, die ein IT Incident Response Plan umfassen sollte:

  • Vorbereitung: Erstellung und Kodifizierung einer verbindlichen organisatorischen Sicherheitsrichtlinie, Durchführung einer Risikobewertung, Identifizierung sensibler Anlagen und Aufbau eines Incident Response Teams.
  • Identifizierung: Überwachung der IT-Systeme auf Abweichungen vom Normalbetrieb und Prüfung, ob es sich um tatsächliche Sicherheitsvorfälle handelt.
  • Eindämmung: Eine vorläufige Eindämmung kann beispielsweise durch die Isolation angegriffener Systeme oder Netzwerksegmente erfolgen. Danach sollte man sich auf die langfristige Eindämmung konzentrieren, die auch vorübergehende Korrekturen umfassen kann, um den produktiven Betrieb während der Maßnahmen aufrecht zu erhalten.
  • Säuberung: In diesem Schritt wird Malware von allen betroffenen Systemen entfernt und der Ursprung des Angriffs ermittelt. Zudem werden Maßnahmen ergriffen, um ähnliche Angriffe in Zukunft zu verhindern.
  • Wiederherstellung: Die betroffenen Produktionssysteme werden wieder in Betrieb genommen - allerdings sehr vorsichtig, um weitere Angriffe zu verhindern. Testen, verifizieren und überwachen Sie die betroffenen Systeme, um sicherzustellen, dass sie wieder normal funktionieren.
  • Lehren aus dem Vorfall: Das SANS Institute empfiehlt, spätestens zwei Wochen nach Ende des Vorfalls einen Rückblick durchzuführen, der sowohl den Vorfall selbst als auch die Reaktion darauf umfasst. Ziel ist es, Lehren daraus zu ziehen und sich noch besser auf den nächsten Vorfall vorzubereiten.

Voraussetzungen für einen IT Incident Response Plan

Man kann eine Menge Vorarbeit leisten, um die Komplexität und das Risiko während eines Sicherheitsvorfalls zu reduzieren. Jeder Plan muss allerdings gewisse Voraussetzungen erfüllen:

  • Unterstützung durch die wichtigsten Stakeholder des Unternehmens: In einer Krisensituation muss Ihr Team wissen, dass es die Unterstützung der wichtigsten Stakeholder hat, um schnell handeln zu können. Stellen Sie sicher, dass Führungskräfte der obersten Führungsebene sowie andere Stakeholder den Maßnahmenplan voll unterstützen und es dem Team ermöglichen, im Krisenfall schnell und sicher zu handeln.
  • Klar definierte Rollen, Verantwortlichkeiten und Prozesse: Das Letzte, was Ihr Team gebrauchen kann, ist es, erst im Krisenfall herausfinden zu müssen, wer wofür zuständig ist und zu versuchen, diese Person ausfindig zu machen. Jeder im Incident Response Plan aufgeführte Schritt, ob technisch oder nicht-technisch, sollte einen namentlich benannten Stakeholder haben, dem klare Verantwortlichkeiten zugewiesen sind. Die Mitarbeiter in diesen Rollen müssen über das nötige Fachwissen und auch die Kompetenzen verfügen, um das auszuführen, was von ihnen erwartet wird. Eine Krise ist definitiv nicht der richtige Zeitpunkt, um Ihre neuesten Teammitglieder auf die Probe zu stellen. Darüber hinaus muss der Inhaber jeder Rolle bei der Reaktion auf einen Vorfall genau wissen, für welche Prozesse er oder sie verantwortlich ist und was von ihm oder ihr erwartet wird, wenn ein Vorfall eintritt – von der anfänglichen Bestimmung des Umfangs des Sicherheitsverstoßes bis hin zur Krisenkommunikation. Falls es bei dem Plan irgendwelche Unklarheiten darüber gibt, wer für was zuständig ist, führt dies in einer Krisensituation zwangsläufig zu Verzögerungen.
  • Technologien und Partnerschaften, um schnelles Handeln zu ermöglichen: Wenn Sie Ihre Incident-Response-Übungen durchführen, stellen Sie sicher, dass Sie alle nötigen Werkzeuge in der Toolbox haben, um schnell und effizient zu reagieren. Sie werden wahrscheinlich feststellen, dass es in einigen Bereichen große Lücken gibt, während andere besser dastehen, aber auch einen gewissen Raum für Verbesserungen bieten. Stellen Sie sicher, dass Ihren Teams die internen Technologien und Tools zur Verfügung stehen, die diese benötigen, um ihre Aufgaben effizient zu erledigen, und nutzen Sie Automatisierung, wo möglich.

Es mag sich gebetsmühlenartig anhören, aber der schlechteste Zeitpunkt, um sich auf einen Sicherheitsverstoß vorzubereiten, ist tatsächlich, nachdem ein solcher stattgefunden hat. Die beste Vorbereitung auf dieses Worst-Case-Szenario ist es, einen soliden Incident Response Plan zu haben und sicherzustellen, dass alle Beteiligten ihn auch verinnerlicht haben.

Laden Sie unseren Leitfaden für die Erstellung eines Incident Response Plan herunter. In diesem Ebook stellen wir in vier Kapiteln vor:

  • wie Sie den Plan entwerfen
  • diesen überprüfen
  • Ihren Plan testen
  • unsere Empfehlungen, wie Sie im Falle einer echten Sicherheitsverletzung vorgehen sollten

We love to give you options. 

This page is also available in English!

Switch to English