Schritt für Schritt zum Vorfallreaktionsplan!

Unternehmen müssen sich heutzutage auf Sicherheitsvorfälle vorbereiten. Dabei kann ein Vorfallreaktionsplan helfen. Welche Punkte dieser umfassen und wer involviert sein sollte erfahren Sie hier.

Für IT-Verantwortliche gehören Angriffe und Vorfälle in der Sicherheit fast schon zur täglichen Routine. Und doch ist es wichtig, dass alle im Unternehmen genau wissen, wie sie zu reagieren haben. Hier kommt das Schlagwort Incident-Management ins Spiel. Incident-Managament ist die Kunst, nach einem Sicherheitsvorfall aufzuräumen und die Systeme wiederherzustellen. Und genau hierfür wird ein Plan und ein Team benötigt, das sich der Bewältigung und Lösung des Schadens sowie der Wiederherstellungskosten widmet.

Der Incident-Response-Plan

Die folgenden sechs Schritte können Ihnen dabei helfen einen geeigneten Plan zu erstellen:

1. Vorbereitung – Definieren Sie Richtlinien. Dazu gehören in der Regel die angemessene Verwendung von Unternehmensdaten, Folgen für Sicherheitsverletzungen und Definitionen darüber, was überhaupt als Sicherheitsvorfall gilt. Erstellen Sie gemeinsam mit dem Team eine Schritt-für-Schritt-Anleitung
2. Identifizierung – Definieren Sie, welche Kriterien oder Situationen das Response-Team aktivieren. Ein bestimmtes Problem, etwa um einen zufällig auf dem Boden gefundenen USB-Sticks oder auch eine spezielle Warnung Ihrer eingesetzten Sicherheitslösungen.
3. Eindämmung – Hier sind zwei Arten wichtig: kurzfristige Eindämmung, also eine sofortige Reaktion, die die Ausbreitung der Bedrohung stoppt und langfristige Eindämmung, die die Rückführung aller Systeme in den Ausgangszustand ermöglicht.
4. Eliminierung – Entfernen Sie alle Spuren des Sicherheitsvorfalls und rekonstruieren Sie alle am Vorfall beteiligten Systeme.
5. Wiederherstellung – Bringen Sie alle Systeme wieder in Vollproduktion. Natürlich erst, wenn Sie sicher sind, dass sie sauber sind.
6. Lehren ziehen – Überprüfen Sie die Aufzeichnung des Vorfalls mit dem Response-Team als Schulungszwecke. Aktualisieren und verfeinern Sie Ihren Incident-Response-Plan auf der Grundlage von Feedback und festgestellten Mängeln.

Aus welchen Mitgliedern sollte das Team bestehen?

Es kommt auf die Qualität und die Zusammenstellung Ihres Incident-Response-Teams an. Bei den Mitgliedern kann es sich um Vollzeit-Sicherheitsfachkräfte handeln, aber auch um Spezialisten. Neben diesen Fachleuten ist es sinnvoll, auch andere Personen aus dem Unternehmen mit ins Boot zu holen. Ein Incident-Response-Manager leitet das Team und überwacht die Ausführung des Plans. Sicherheitsanalysten sind für die Neutralisierung und Eindämmung der Bedrohung  verantwortlich und die Personen aus anderen Bereichen (nicht IT-Bereich) sind „Bedrohungsforscher“, die einen anderen Blick über den Plan werfen können. Damit sollte Ihr Unternehmen für die Zukunft gut aufgestellt sein.

Quelle Titelbild: usplash / rawpixel

Hier schreibt die Redaktion für Sie

Mehr Artikel vom Autor die Redaktion