Mit einem ausgeklügelten Incident Response Management gelingt es, angemessen auf Vorfälle zu reagieren, deren Folgen einzudämmen und die Sicherheit kontinuierlich zu erhöhen. Da hier besonders viel auf dem Spiel steht, handelt es sich um ein besonders verantwortungsvolles Gebiet, das ein höchst organisiertes, orchestriertes Vorgehen erfordert. Die hier aufgezeigten Best Practices sollen dabei unterstützen, Vorfälle erfolgreich zu bewältigen.
Was versteht man unter Incident Response Management?
Unter Incident Response Management verstehen wir einen strukturierten Prozess, um IT-Sicherheitsvorfälle zu erkennen, zu analysieren, einzudämmen, zu beheben und nachzubereiten. Es geht darum, mögliche Schäden zu verringern und den normalen Betrieb so schnell wie möglich wiederherzustellen.
Incident Response bildet einen wichtigen Bestandteil der Informationssicherheit und des Risikomanagements. Zum Einsatz kommt es zum Beispiel bei Malware-Infektionen, Phishing-Angriffen, Datenlecks, Sicherheitslücken oder physischen Sicherheitsvorfällen.
Wer ist für das Incident Response Management verantwortlich?
Es empfiehlt sich, für diese höchst verantwortungsvolle Aufgabe einen sogenannten Incident Handler einzusetzen. Ein solcher dämmt Sicherheitsvorfälle ein und entschärft sie. Ebenso koordiniert ein Incident Handler die Arbeit von Cybersicherheitsexperten, definiert sowie dokumentiert Rollen und zeichnet sich für Kommunikationskanäle verantwortlich – gemäß Best Practices, Standards und rechtlichen Vorgaben.
Wichtige Rollen beim Incident Response Management sind außerdem die folgenden:
- das Incident Response Team (IRT) oder Computer Security Incident Response Team (CSIRT) in operativer Hinsicht
- der Chief Information Security Officer (CISO) in strategischer Verantwortung
- das ITSM-Team bei nicht sicherheitsrelevanten Vorfällen (z. B. Systemausfällen); typischerweise unter der Leitung des Incident Managers
- gegebenenfalls SOCs (Security Operations Centers)
- gegebenenfalls spezialisierte Firmen für forensische Analyse und Incident Response
Welche Phasen gibt es im Security Incident Response Management?
Incident Response sollte eben keine spontane, unstrukturierte Krisenreaktion sein, sondern auf einem organisierten und standardisierten Prozess aufbauen, der alle erforderlichen Schritte abdeckt und so Risiken effektiv minimiert.
Ein dedizierter Security Incident Management Prozess deckt die folgenden Phasen ab:
- Preparation (Vorbereitung): Die nötigen Tools und Prozesse müssen genauso stehen wie Mitarbeiter durch Trainings von Incident-Szenarien vorbereitet sein sollten.
- Identification (Erkennung): Es wird bewertet, kommuniziert und dokumentiert, inwiefern ein Ereignis ein Incident ist.
- Containment (Eindämmung): Die Verantwortlichen isolieren die Schadsoftware und verhindern die Ausbreitung; ebenso analysieren sie die Ursachen für den Vorfall.
- Eradication (Beseitigung): Das Incident-Response-Team entfernt die Bedrohung, bereinigt die betroffenen Systeme und beseitigt die Ursache.
- Recovery (Wiederherstellung): Gepatcht und wieder vertrauenswürdig, gehen die Systeme in den Regelbetrieb zurück.
- Lessons Learned (Nachbereitung): Das Team analysiert den gesamten Prozess, dokumentiert ihn und leitet Verbesserungsmaßnahmen ein.
Best Practices
Um bestmöglich auf Vorfälle zu reagieren und Schäden – so weit wie möglich – zu vermeiden, braucht es die richtigen Praktiken, die strukturiert zum Einsatz kommen.
Hier finden sich die wichtigsten Best Practices, die das Incident Response Management erfahrungsgemäß erheblich verbessern können, im Überblick.
Best Practice #1: Incident Response Plan (IRP) erstellen
Ein fundierter Incident Response Plan bildet die Basis, um professionell auf Vorfälle zu reagieren und weitreichende negative Folgen abzuwenden. Wer über einen solchen verfügt, hat bereits einen großen Vorteil, denn viele Unternehmen haben keine festen Abläufe im Fall von Incidents. Insbesondere bei kritischen Infrastrukturen (KRITIS) oder beim Umgang mit sensiblen Daten sollte ein solcher Plan obligatorisch sein.
Praktisch sollte ein Incident Response Plan – anhand von Richtlinien und Prozessen – klar definieren, wie verschiedene Arten von Vorfällen zu behandeln sind. Das schließt Rollen und Verantwortungen ein: Sogenannte Eskalationspfade regeln, wer im Ernstfall welche Aufgaben übernimmt.
Best Practice #2: Tools orchestriert verwenden
Tatsächlich sehen sich viele Security-Teams ob einer zunehmenden Vielfalt an Cybersecurity-Tools überfordert, so dass in Folge einer fehlenden Kommunikation zwischen den Lösungen Medienbrüche, Reibungsverluste und verzögerte Reaktionszeiten entstehen. Als besonders kritisch erweisen sich dabei eine mangelnde Integration und Interoperabilität.
Eine mögliche Lösung dafür stellt ein SOAR (Security Orchestration, Automation and Response)-Software – wie STORM – dar, die verschiedene Tools über Schnittstellen miteinander verbindet, wodurch sich Daten zentral erfassen und Prozessautomatisierungen erstellen lassen. Dies ist ein äußerst professioneller und effektiver Weg, um einen fundierten Überblick zu erhalten und effizient zu agieren.
Über SOAR-Software hinaus kommen unter anderem folgende Systeme für das Incident Response Management zum Einsatz:
- Ticketing- und Incident-Response-Management-Systeme
- SIEM (Security Information and Event Management)-Systeme
- EDR (Endpoint Detection and Response)-Systeme
- Kolloborationstools
- Network Detection and Response (NDR)-Systeme
- Forensik-Tools
- Threat Intelligence Plattformen (TIPs)
- Backup- und Recovery-Lösungen
Best Practice #3: KI durchdacht einsetzen
Mit KI-gestützten Sicherheitssystemen lassen sich Anomalien schneller erkennen, erfolgversprechende Reaktionen proaktiv erzielen und wahrscheinliche Angriffskanäle vorhersagen.
Jedoch ist es fraglich, ob Organisationen allerdings durch KI beim Incident Management einen echten Vorteil erfahren, da Cyberkriminelle sie ebenfalls nutzen und damit neue Angriffsmöglichkeiten vorfinden. So führen Attacken mit KI-Technologien für betroffene Organisationen zu erheblichen Kosten, um sie zu beheben und zu bekämpfen. Wer sie wiederum nicht nutzt, droht, den Anschluss zu verlieren und ein leichtes Ziel zu sein.
Dabei sollte der KI-Einsatz auch nicht zu Lasten von grundlegenden Automatisierungen, einer guten Integration von Tools und der internen Zusammenarbeit gehen. Schließlich lassen sich bereits mit diesen scheinbar einfachen Mitteln hohe Zeitersparnisse erreichen.
Fest steht: Bevor sie KI flächendeckend einsetzen, sollten Unternehmen zunächst zeitaufwändige Routineaufgaben automatisieren, da dies ihre Sicherheitsteams bereits erheblich entlassen kann.
Best Practice #4: Teams/Mitarbeiter in den Mittelpunkt stellen
Die besten IT-Lösungen und Tools führen – für sich allein – noch nicht zu einem erfolgreichen Incident Response. Es braucht neben ihrer orchestrierten Nutzung auch klare, zielführende Prozesse und vor allem kompetente Teams.
Organisationen sind also gut beraten, ihre Teams stark aufzustellen und für den Ernstfall fit zu machen. Dazu gehören etwa regelmäßige Trainings wie Simulationsübungen oder Awareness-Schulungen, um Verdächtiges schnell und präzise erkennen und melden zu können.
Auch für Erpressungen durch Angreifer sollten probate Strategien bereitstehen; entscheidend dafür sind vor allem rechtliche Faktoren und klare Verhaltensregeln.
Best Practice #5: Cybersecurity mit ITSM kombinieren
Beim Incident Management handelt es sich um eine ITSM-Disziplin. Parallel zu ITSM-Teams gibt es oft Cybersecurity-Teams, die unabhängig von diesen arbeiten. Tauschen sich beide Teams nun enger aus – zum Beispiel bei der Absicherung von IT-Services –, erreichen sie ein höheres Sicherheitsbewusstsein und eine effektivere Gefahrenabwehr, beides wichtige Voraussetzungen für ein zielführendes Incident Response Management.
In der Praxis arbeiten Cybersecurity-Experten allerdings kaum mit ITSM-Teams zusammen. Hier sind Unternehmen gefragt, einen regeren Austausch sowie gemeinsame Projekte zu installieren und echte Kompetenz-Teams zu schaffen.
Best Practice #6: Klare Krisenkommunikation betreiben
Kommunikation schafft Transparenz und Vertrauen, vermeidet Gerüchte und erweist sich auch aufgrund von rechtlichen und regulatorischen Anforderungen als enorm wichtig. Einerseits muss sie funktionales Incident Response ermöglichen und andererseits direkt sowie indirekt Betroffene mit Informationen versorgen.
Um die Kommunikation zu beschleunigen, empfehlen sich vorgefertigte und standardisierte Prozesse für Meldungen. Ebenso sollte feststehen, welche Personengruppe zu welchem Zeitpunkt und wie umfangreich zu informieren sind. Neben Erstinformationen zählen dabei auch Statusmeldungen sowie im Nachgang Protokolle zu gelösten Incidents.
Best Practice #7: Dokumentation / Protokollierung
Nachdem die verantwortungsvolle und mitunter nervenaufreibende Arbeit an einem Sicherheitsvorfall getan ist, wartet erst noch eine ganz entscheidende Aufgabe: die Dokumentation. Denn sämtliche Schritte und Entscheidungen, die im Zusammenhang mit einem Incident getroffen wurden, gilt es vollständig zu protokollieren.
Das verleiht die Möglichkeit, Gelerntes bei zukünftigen Vorfällen anzuwenden, Verfahren zu optimieren und einen besseren Schutz zu installieren. Ebenso können rechtliche Faktoren – insbesondere bei schweren entstandenen Schäden – eine Rolle spielen.
Insgesamt erweist sich eine Post-Incident-Review als ungemein wichtig, um die entsprechenden Prozesse im nächsten Schritt verbessern zu können.
#8 Kontinuierliche Verbesserung
Kontinuierliche Verbesserung spielt nicht nur bei den ITIL®-Prozessen eine wichtige Rolle, sondern hat in vielerlei Hinsicht Sinn. So sollten die Verantwortlichen einen Incident Response Plan mindestens jährlich oder nach einem größeren Vorfall überprüfen – und gegebenenfalls anpassen beziehungsweise optimieren.
Als besonders wertvoll erweisen sich dabei Feedbacks, Reviews und Protokolle, die im Zuge des Incident Managements entstanden sind. Wer wichtige Erkenntnisse in die richtigen Prozesse und Systeme integriert, kann bei nachfolgenden Incidents schneller und effektiver reagieren.
Fazit: Incident Response Management erfordert Kontinuität
Die richtigen Maßnahmen beim Incident Response bewahren Unternehmen im Ernstfall vor schweren Schäden. Um dies erfolgreich zu bewerkstelligen, müssen bereits im Vorfeld die richtigen Maßnahmen, Schritte und Praktiken definiert und eingeübt sein. Incident Response – samt eines geeigneten Plans – sollte also kontinuierlich ein Thema sein und nicht erst bei einer akuten Bedrohungslage unstrukturiert und unkoordiniert zum Einsatz kommen.
Da es mitunter um erhebliche Vermögenswerte und die Reputation geht, sind Verantwortliche gut beraten, sich umfangreich mit Reaktionen auf Incidents auseinanderzusetzen und passende Best Practices zu implementieren. So können zum Beispiel Softwarelösungen zur Orchestrierung, Mitarbeiter-Awareness und ausgereifte Prozesse jeweils den entscheidenden Vorteil bedeuten.
Erfahren Sie, wie OTRS Sie beim Incident Response Management unterstützen kann.
