Incident Response

Incident Response umfasst alle organisierten Massnahmen, mit denen eine Organisation auf einen Sicherheitsvorfall reagiert, um Schaden zu begrenzen, den Normalbetrieb wiederherzustellen und aus dem Ereignis zu lernen. Ein Sicherheitsvorfall kann von einer Malware-Infektion über ein Datenleck bis hin zu einem grossflächigen Ransomware-Angriff reichen.

Ein etablierter Ablauf gliedert sich in die Phasen Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung, Wiederherstellung sowie Nachbereitung. Besonders die Vorbereitung mit klaren Rollen, Eskalationswegen und einem dokumentierten Plan entscheidet darüber, ob ein Team im Ernstfall handlungsfähig ist oder in Hektik verfällt.

Die Nachbereitung in Form einer Lessons-Learned-Analyse ist oft der wertvollste Schritt, wird aber häufig vernachlässigt. Sie deckt auf, welche Schwachstellen ausgenutzt wurden und wie sich ähnliche Vorfälle künftig verhindern lassen. Reife Organisationen üben ihre Pläne regelmässig in Tabletop-Szenarien, bevor der Ernstfall eintritt.