Incident Response Management
620f921aa763714fb41dd8b7_firefighters-115800_960_720-p-800.jpeg

21/2/2022

Ein Plan, der Existenzen rettet: Der Incident Response Management Plan

„Bei einem Hausbrand macht es einen großen Unterschied, dass wir schon vorher wissen, wo der Feuerlöscher hängt.“ Das Problem der IT-Sicherheit ist, dass es schwer ist, den Angreifern immer einen Schritt voraus zu sein – denn genau das ist es ja, worum es geht: Hackergruppen arbeiten rund um die Uhr an neuen Möglichkeiten für Cyber-Angriffe. Das machtes manchmal unmöglich, den nächsten Angriff vorherzusehen. Das liest sich vielleicht so, als sei gute IT-Sicherheit unmöglich und als sollte man es doch vielleicht direkt bleiben lassen – aber genau das Gegenteil ist der Fall.

IT-Expert:innen kennen den Markt und können durch viele Analysen sehr gute Prognosen anstellen. Das Wissen hilft dabei, Angriffe schnell zu erkennen und auch schon die passende Lösung parat zu haben. Ein Verlassen auf eine solche Art der Prävention ist aber nur für Expert:innen anzuraten, die eine Zeitmaschine besitzen. Es liegt aber leider in der Natur der Sache, dass sich Cyberkriminelle immer neue Möglichkeiten ausdenken. Vorbereitung ist trotzdem möglich: Durch einen Incident Response Management Plan.

Unsere IT-Expert:innen sind immer auf dem neuesten Stand und haben jahrelange Erfahrungen im Umgang mit Cyber-Attacken. Gemeinsam identifizieren wir ihre schützenswerten Assets, ihre kritischen Geschäftsprozesse und entwickeln mit Ihnen gemeinsam die perfekte Verteidigungs-Strategie. Dabei berücksichtigen wir anerkannte Best Practices und immer die aktuellsten Industrie-Standards.

Die Phasen eines IRMP

Ein IRMP bezieht sechs Phasen mit ein, die auch Überschneidungen haben können:

Phase 1 – Vorbereitung

Diese Phase 1 dient der Vorbereitung auf einen Sicherheitsvorfall. Diese Phase ist von essenzieller Bedeutung. Strenggenommen gehört die Erstellung des Incident Response Management Plans bereits in diese Phase 1.

Phase 2 – Identifizierung

Phase2 dient der Identifizierung eines Sicherheitsvorfalls. Idealerweise wird der Sicherheitsvorfall so früh wie möglich über die Alarmierung durch ein SIEM oder ein SOC identifiziert. Fehlalarme werden in dieser Phase qualifiziert.

Phase 3 – Eindämmung und Aufklärung (Forensik)

Nach der Identifikation muss der Angriff in Phase 3 in einem ersten Schritt bestmöglich eingedämmt und anschließend aufgeklärt werden.

Phase 4 – Beseitigung

Inder Phase 4 erfolgt die Beseitigung der Schadsoftware und der bekannten Einfallstore und Schwachstellen

Phase 5 – Wiederherstellung

In Phase 5 kann nun der Wiederaufbau der IT-Infrastruktur beginnen.

Phase 6 – Post-Incident

Phase 6 schließt den Sicherheitsvorfall mit einer kritischen Betrachtung und anschließenden Verbesserung von Plänen und Prozessen ab.

Einen IRMP ist also wie eine Notfall-Karte für ihr Unternehmen zu zeichnen – nur eben im digitalen Bereich. Sollte ein Incident eintreten, können sofort Gegenmaßnahmen eingeleitet werden. Dies kann den Unterschied machen zwischen „Zwischenfall“ und „Betriebsausfall“ und damit zusammenhängend der Erhaltung der Existenzen der Mitarbeitenden und des ganzen Betriebs. Bevor die Daten gelöscht werden - Löschen wir den Brand.

Philipp_Lessig.png

By Philipp Lessig
Content Creator