Was ist Incident Response?
Die Reaktion auf Zwischenfälle (Incident Response, IR) umfasst alle Maßnahmen zur Vorbereitung, Erkennung und Eindämmung sowie die Wiederherstellung nach einem Zwischenfall.
Was ist ein Incident Response plan?
Ein incident response plan ist ein Dokument, das die Prozeduren, Schritte und Verantwortungsbereiche festlegt, die zum Zwischenfall-Reaktionsprogramm eines Unternehmens gehören.
Ein Zwischenfall-Reaktionsplan umfasst typischerweise folgende Punkte:
- Bedeutung der incident response für das Erreichen des Unternehmensziels
- Ansatz des Unternehmens bei der incident response
- Erforderliche Maßnahmen in jeder Phase der Zwischenfallreaktion
- Rollen und Verantwortungsbereiche bei der Durchführung dieser Maßnahmen
- Kommunikationswege zwischen dem Zwischenfall-Reaktionsteam und dem Rest des Unternehmens
- Kennzahlen zur Erfassung der Effektivität der Zwischenfallreaktion
Ein incident response plan ist auch nach einem Cybersicherheitszwischenfall von Nutzen. Der Plan unterstützt das Unternehmen bei Rechtsstreitigkeiten, bietet Dokumentationsunterlagen für Audits sowie Aufzeichnungen, die für die Bewertung von Risiken und die Verbesserung der Zwischenfallreaktionen hilfreich sind.
See Crowdstrike Falcon In Action
Laden Sie den Global Threat Report 2022 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenWas sind die Zwischenfall-Reaktionsschritte?
Laut dem US-amerikanischen National Institute of Standards and Technology (NIST) umfasst die incident response vier wichtige Phasen:
- Vorbereitung: Effektive Maßnahmen zur incident response lassen sich nicht von heute auf morgen umsetzen. Um Ereignisse zu verhindern und darauf reagieren zu können, ist ein Plan erforderlich.
- Erkennung und Analyse: In der zweiten Phase wird ermittelt, ob sich ein Zwischenfall ereignet hat, wie schwer das Ausmaß ist und um welche Art von Vorfall es sich handelt.
- Eindämmung und Ausschaltung: Die Eindämmungsphase dient dazu, die Folgen eines Zwischenfalls zu begrenzen, bevor es zu weiteren Schäden kommt.
- Wiederherstellung nach dem Zwischenfall: Nach einem schwerwiegenden Zwischenfall sollten Sie auf jeden Fall ein Meeting mit allen relevanten Beteiligten durchführen, die gemachten Erfahrungen auswerten und Möglichkeiten identifizieren, mit denen sich die Sicherheit im Allgemeinen und die Zwischenfallreaktion im Besonderen verbessern lassen. Nach weniger gravierenden Zwischenfällen wird ein solches Meeting empfohlen.
Warum ist ein incident response plan wichtig?
Cyberzwischenfälle sind nicht einfach nur ein technisches Problem – sie gefährden das Unternehmen an sich. Je früher sie behoben werden können, desto weniger Schäden richten sie an.
Denken Sie an die letzten Kompromittierungen, die wochenlang die Schlagzeilen beherrschten. Wusste das Unternehmen bereits lange vorher Bescheid, ist jedoch nicht auf das Problem eingegangen? Hat das Unternehmen das Ausmaß des Zwischenfalls in der öffentlichen Kommunikation heruntergespielt, nur um nach weiteren Untersuchungen widerlegt zu werden? War die Kommunikation mit betroffenen Personen schlecht organisiert und führte daher zu noch größerer Verwirrung? Wurde den Führungskräften vorgeworfen, falsch mit dem Zwischenfall umgegangen zu sein – entweder, weil sie ihn nicht ernst genommen oder Dinge getan (z. B. Aktien verkauft) haben, die den Zwischenfall noch verschlimmert haben. Dies sind deutliche Anzeichen dafür, dass es im Unternehmen keinen Zwischenfall-Reaktionsplan gab.
Da der Zwischenfall-Reaktionsplan nicht nur die technische Seite abdeckt, muss er mit den Prioritäten und der Risikobereitschaft des Unternehmens abgestimmt werden.
Um während und nach einem Zwischenfall Störungen zu minimieren und Datenverlust zu begrenzen, müssen die verantwortlichen Personen die kurzfristigen betrieblichen Anforderungen und die langfristigen strategischen Ziele ihres Unternehmens verstehen.
Die aus dem Zwischenfall-Reaktionsprozess gewonnenen Erkenntnisse können zur erneuten Risikobewertung genutzt werden und somit zu einer besseren Bewältigung zukünftiger Zwischenfälle und insgesamt stärkerer Sicherheit beitragen. Wenn Investoren, Aktionäre, Kunden, die Medien, Richter und Prüfer Fragen zu einem Zwischenfall stellen, kann ein Unternehmen mit einem Zwischenfall-Reaktionsplan anhand seiner Aufzeichnungen nachweisen, dass es auf den Angriff verantwortungsvoll und mit Sorgfalt reagiert hat.
Cyber Front Lines Report
Jedes Jahr wehrt unser Services-Team zahlreiche neue Angreifer ab. Für den Cyber Front Lines Report haben unsere Services-Experten Analysen und praktische Maßnahmen für Sie zusammengestellt.
Jetzt herunterladenDen meisten Unternehmen fehlt ein incident response plan
Obwohl eindeutig Bedarf an Zwischenfall-Reaktionsplänen besteht, hat ein überraschend großer Teil der Unternehmen entweder gar keinen oder nur einen unausgereiften Plan.
Bei einer Umfrage des Ponemon Institute gaben 77 % der Befragten an, dass sie nicht über einen formellen Zwischenfall-Reaktionsplan verfügen, der für das ganze Unternehmen gilt, und beinahe die Hälfte sagte, dass sie einen informellen oder gar keinen Plan haben. Unter denen, die über einen solchen Plan verfügen, bezeichnen nur 32 % ihre Maßnahmen als „ausgereift“.
Diese Zahlen sind besorgniserregend, besonders wenn man bedenkt, dass 57 % der Unternehmen für die Bewältigung von Cyberzwischenfällen immer mehr Zeit benötigen und 65 % sagen, dass der Schweregrad der von ihnen verzeichneten Angriffe zunimmt.
Diese beiden Aussagen stehen in einem engen Zusammenhang: Bei Cybersicherheit bestimmt die Reaktionsgeschwindigkeit das Ausmaß der Schäden. Je mehr Zeit die Angreifer im Netzwerk eines Opfers verbringen, desto mehr können sie stehlen und zerstören. Ein Zwischenfall-Reaktionsplan kann das Zeitfenster für die Angreifer begrenzen, da das Reaktionsteam weiß, welche Tools und Kompetenzen zum Ergreifen von Gegenmaßnahmen zur Verfügung stehen.
Vorlagen und Muster für Incident Response
Im Folgenden finden Sie einige Beispiele für Zwischenfall-Reaktionspläne, die Ihnen veranschaulichen sollen, wie ein solcher Plan aussehen könnte.
- Vorlage für einen Zwischenfall-Reaktionsplan von der Universität Berkeley
- Muster für einen Zwischenfall-Reaktionsplan des Department of Technology von Kalifornien
- Zwischenfall-Reaktionsplan für Computer-Sicherheit der Carnegie Mellon University
- Vorlage für einen Zwischenfall-Reaktionsplan des US-Bundesstaats Michigan
CrowdStrike Incident Response Services
Häufig verfügen Unternehmen nicht über das nötige Know-how, um eigenständig einen effektiven Plan entwickeln zu können. Auch wenn Sie über ein dediziertes Team verfügen, ist dieses wahrscheinlich mit einer Flut von False Positives von den automatisierten Erkennungssystemen überlastet – oder es ist zu sehr damit beschäftigt, mit den neuesten Bedrohungen Schritt zu halten.
CrowdStrike ist ein führender Anbieter für Incident Response Services und kann Kontrolle, Stabilität und Ordnung in ein möglicherweise chaotisches Ereignis bringen. CrowdStrike entwickelt in enger Zusammenarbeit mit seinen Kunden Zwischenfall-Reaktionspläne, die auf die Strukturen und Möglichkeiten der Kundenteams zugeschnitten sind.
Wir bieten Orientierung und helfen Ihnen, Ihre Zwischenfallreaktionen durch Standardisierung und Optimierung Ihrer Prozesse zu verbessern. Außerdem analysieren wir die bestehenden Pläne sowie Kompetenzen und arbeiten anschließend gemeinsam an der Entwicklung standardisierter Playbooks, an denen Sie Ihre Maßnahmen während der incident response orientieren können. Darüber hinaus kann unser Services-Team Sie beim Testen Ihrer Playbooks mit Penetrations-Tests, Red Team/Blue Team-Übungen sowie Angriffssimulationen unterstützen.
Erfahren Sie, wie Sie mit CrowdStrike Ihre Incident Response beschleunigen und effektiver gestalten können: