Vorbereitung
In dieser Phase sollten die Rollen und Verantwortlichkeiten eines Incident Response Teams definiert und beschrieben werden. Benutzer und IT-Mitarbeiter bzw. das Incident Response Team werden auf den Umgang potentieller Vorfälle vorbereitet und geschult. Themen, wie die gesicherte Kommunikation zwischen den handelnden Personen, Bereitstellung nötiger Ressourcen und regelmäßige Trainings sind zu behandeln.
Identifikation
Bei der Identifikation geht es darum, festzustellen, ob ein Informationssicherheits-Ereignis tatsächlich einen Sicherheitsvorfall darstellt. Dazu gibt es mehrere Indikatoren, wie beispielsweise Anomalien im Netzwerkverkehr, Alarme durch Antivirensysteme oder Abweichungen bei Geschäftsprozessen.
Eindämmung
Hier gilt es, Schadensbegrenzung zu betreiben und betroffene Systeme zu isolieren, um eine weitere Ausbreitung gänzlich zu vermeiden. Für eine effektive Vorgehensweise ist es von Nutzen, wenn Strategien und Prozeduren zu typischen Security Incidents bereits ausgearbeitet wurden.
Beseitigung
In dieser Phase geht es um die Ermittlung der Grundursache des Cyber-Security Incidents und die Entfernung betroffener Systeme aus der Produktivumgebung. Ein vollständiges Re-Imaging ist trotz des erhöhten Aufwands die sicherste Variante, Bedrohungen vollständig und gründlich zu beseitigen.
Wiederherstellung
Konnte sichergestellt werden, dass keine weiteren Bedrohungen bestehen, werden nun die gesäuberten Systeme wieder in die Produktivumgebung integriert. Während dieser Phase ist mittels Tests und Monitoring über einen ausreichend langen Zeitraum genau darauf zu achten, dass diese wie erwartet funktionieren.
Lessons Learned
Abschließend sollte die Incident-Dokumentation vervollständigt und eine Analyse durchgeführt werden. Die Erkenntnisse lassen sich letztendlich dazu verwenden, um aus dem Vorfall zu lernen und ggf. Maßnahmen mit dem Ziel abzuleiten, künftige bzw. ähnliche Cyber-Security Incidents zu verhindern oder zumindest die negativen Folgen abzuschwächen.
Wir unterstützen Sie gerne dabei, entsprechende Maßnahmen zu entwickeln, damit Sie bereit sind, wenn es die Situation erfordert.
Ein Incident Response Plan kann für Unternehmen von Vorteil sein, indem er beschreibt, wie sich die Dauer und der Schaden eines Sicherheits-Vorfalls auf ein Minimum beschränken lässt. Er unterstützt bei der Optimierung forensischer Analysen, bei der Verkürzung der Wiederherstellungszeit, bei der Verringerung von Reputationsschäden oder Sanktionen und bei der Erhöhung des Vertrauens von Führungskräften, Eigentümern oder Aktionären.
Mittels Vorbereitungs-Workshops erarbeiten wir mit Ihnen gemeinsam notwendige Prozesse und Checklisten, um Sie für die Notfall-Situation bestmöglich zu rüsten. Wir bieten Ihnen die Möglichkeit, mittels unserer RED Teaming Dienste beispielsweise einen Ernstfall durchzuspielen und Ihr Incident Response Team dadurch - am besten jährlich - zu trainieren. Sie können uns bei Cyber-Vorfällen hinzuziehen, damit wir Sie beispielsweise bei der Einleitung von Akut-Maßnahmen oder forensischen Analysen unterstützen.